Support Wireguard vom VPS ins Heimnetz

[elmorki]

Guten Abend zusammen,

auf meinem VPS bei habe ich die Fritz!Box ins bestehende Wireguard eingebunden. Die config auf dem Server sieht wie folgt aus:

Spoiler: Server-config

[Interface]


Address = 10.71.72.1/24


ListenPort = 500


PrivateKey = xxx


PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

### Client fritzbox


[Peer]


PublicKey = xxx


PresharedKey = xxx


AllowedIPs = 10.71.72.3/32, 10.0.1.0/24

entsprechend habe ich die Fritzbox mit folgender config angebunden:

Spoiler: fritzbox config

[Interface]
PrivateKey = xx
Address = 10.71.72.2/32,fd9e:750b:4ac1:e97::3/128

[Peer]
PublicKey = x
PresharedKey = xxx
Endpoint = xxx:500
AllowedIPs = 10.71.72.1
PersistentKeepalive = 25

die Verbindung kommt aus zustande und ich kann vom Server aus einen ping auf die 10.71.72.2 ( WG-IP der Box ) abgeben. aus meinem Heimnetz kann ich den Server 10.71.72.1 pingen.

Sobald ich allerdings vom Server aus die Heimnetz-IP der Fritzbox ( 10.0.1.1 ) pinge, erhalte ich zwar eine Antwort, jedoch von 10.71.72.2 ( also der WG-Adresse ). Das Heimnetz als auch die Fritzbox sind nicht über ihre Heimadressen erreichbar.

Kennt jemand eine Lösung hierzu?

Gruß und schonmal Danke für Eure Ideen

 

[tem_invictus]

Hast du eine Statische Route in der Fritzbox hinzugefügt? (Netzwerk/Netzwerkeinstellungen/IPv4Routen)

 

[elmorki]

Hi,

das funktioniert leider nicht da eine statische Route zu 10.71.72.0 über 10.0.1.1 durch die Fritz!box mit „Netzwerkkonflikt“ quittiert wird

 

[salidos]

Nochmal bitte kurz dein Aufbau

 

[tem_invictus]

Ich hoffe nicht, dass das dein wirklicher private Key ist, wenn ja mal einen neuen erzeugen und den alten löschen!!!

Ja falsch gedacht, du nutzt die interne Wireguard Funktion der Fritzbox korrekt?
Dann macht die das schon alles alleine.

Ansonsten kurz ein zwei Kleinigkeiten geändert:

Spoiler: server.config

[Interface]
PrivateKey = [verborgen]
Address = 10.71.72.1/24
ListenPort = 500

[Peer]
PublicKey = [verborgen]
AllowedIPs = 10.71.72.2/32,10.0.1.0/24 <--- hier muss dein privates netz rein
PersistentKeepalive = 25

Spoiler: fritzbox.config

[Interface]
Address = 10.71.72.2/32
PrivateKey = [verborgen]

[Peer]
Endpoint = xxx:500
PublicKey = [verborgen]
AllowedIPs = 10.71.72.0/24
PersistentKeepalive = 25

Hast du auf dem VPS die Datei "/etc/sysctl.conf" angepasst?
Da muss "net.ipv4.ip_forward" auskommentiert werden und auf 1 gesetzt werden.

Und du bräuchtest noch eine iptables rule:
Hier einmal checken, ob dein Interface auch eth0 heißt.

iptables -t nat -A POSTROUTING -s 10.71.72.0/24 -o eth0 -j MASQUERADE

 

[elmorki]

Danke,

die config bei mir sieht so aus wie Du es geschrieben hattest. Ja mein Interface heisst auch eth0. habe die iptables-rule jetzt mal auf der kommndozeile auf dem Server abgesetzt oder gehört die mit in die wg0.conf des servers? Das Ergebnis lautet wie bisher nun immenoch:

Spoiler: ping

PING 10.0.1.1 (10.0.1.1) 56(84) bytes of data.


64 bytes from 10.71.72.3: icmp_seq=1 ttl=64 time=27.5 ms (DIFFERENT ADDRESS!)


64 bytes from 10.71.72.3: icmp_seq=2 ttl=64 time=23.9 ms (DIFFERENT ADDRESS!)


64 bytes from 10.71.72.3: icmp_seq=3 ttl=64 time=24.3 ms (DIFFERENT ADDRESS!)


64 bytes from 10.71.72.3: icmp_seq=4 ttl=64 time=22.9 ms (DIFFERENT ADDRESS!)

Die Weiterleitungen sind entsprechend gesetzt und meine anderen clients laufen auch einwandfrei. Zuvor hatte ich es über einen separaten Server ein meinem Heimnetz laufen und den wollte ich mir nun sparen, indem ich es direkt über die Friztbox laufen lasse.

ich habe bereits folgende Regeln in der wg0.conf des servers:

Spoiler: wg0.conf

PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

 

[tem_invictus]

Die iptables-rule ist erst mal fürs terminal zum testen.

Hast du wireguard neugestartet nach den Änderungen?
Und guck mal auf dem VPS, ob auch wirklich ein Handshake erfolgt.

sudo wg

 

[elmorki]

Ja habe ich getan. Handshake erfolgt.Ich komme auch aus dem Heimnetz auf den VPS. Nur der Ping sieht aus wie oben geschrieben. Zu der Frage von @salidos zum Aufbau nochmal:

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[tem_invictus]

Zeig bitte jetzt noch mal deine Server und Fritzbox Config. (private und Public Key verbergen)

 

[elmorki]

Server config:

Spoiler: wg0.conf

[Interface]


Address = 10.71.72.1/24


ListenPort = 500


PrivateKey = xxx


PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE


PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE



### Client Fritzbox


[Peer]


PublicKey = xxx


PresharedKey = xxx


AllowedIPs = 10.71.72.3/32,10.0.1.0/24

und

Spoiler: fritzbox.conf

[Interface]
PrivateKey = xxx
Address = 10.71.72.3/32


[Peer]
PublicKey = xxx
PresharedKey = xxx
Endpoint = vpn.xxx.xxx:500
AllowedIPs = 10.71.72.0/24
PersistentKeepalive = 25

 

[salidos]

Aus welchem Grund liegt das LAN Netzwerk im 10.x.x.x Bereich?
Welche Funktion soll die WG Fritzbox haben?

 

[elmorki]

Aus welchem Grund liegt das LAN Netzwerk im 10.x.x.x Bereich?

Warum nicht? ob es nun 192.x.x.x oder 10.x.x.x ist ist doch egal. Einfach um Konflikte mit Netzwerken zu vermeiden in denen ich mich befinde und dann nach Hause verbinde

 

[salidos]

192.x.x.x oder 10.x.x.x ist ist doch egal

Nicht wirklich.
Aber zu deinem eigentlichen Problem:
Du arbeitest mit unterschiedlichen Subnetzen, da muss das Verbindungstück schon wissen, wo es Pakete hinschicken soll.
Ohne statische Routen, wird das kaum funktioniere. VPN hin oder her.

Nur nochmal kurz für mich:

Der VPN Server liegt im VPS.
Die WG Fritzbox soll da angebunden werden.
Die Netzwerkgeräte hinter der WG Fritzbox sollen über VPN erreichbar sein und auch ausschließlich die VPN Verbindung nach außen nutzen.
Richtig?

 

[tem_invictus]

In den Fall aber schon.

Eine Sache habe ich noch vergessen oben, mach mal am VPS:
Das aktiviert die "/etc/sysctl.conf" direkt ohne Neustart.

sysctl -w net.ipv4.ip_forward=1

Und nimm erstmal die ganzen PostUP/PostDown Sachen raus aus der Config, bis es wirklich läuft.

Ich hab die Fritzbox Wireguard Funktion noch nicht selber probiert. Ich habe eine Ubuntu VM als Wireguard Gateway eingerichtet.
Vielleicht hat noch jemand eine Idee.

 

[elmorki]

Nicht wirklich.
Aber zu deinem eigentlichen Problem:
Du arbeitest mit unterschiedlichen Subnetzen, da muss das Verbindungstück schon wissen, wo es Pakete hinschicken soll.
Ohne statische Routen, wird das kaum funktioniere. VPN hin oder her.

Nur nochmal kurz für mich:

Der VPN Server liegt im VPS.
Die WG Fritzbox soll da angebunden werden.
Die Netzwerkgeräte hinter der WG Fritzbox sollen über VPN erreichbar sein und auch ausschließlich die VPN Verbindung nach außen nutzen.
Richtig?

Richtig. VPN-Server liegt auf nem VPS. Fritzbox verbindet sich zum VPS und ich möchte vom VPS aus Zugriff auf mein Privates Netz hinter der Fritzbox haben. Die Geräte im Lan sollen ganz normal über die Fritzbox ins Internet verbinden. Ich brauche lediglich zugriff aufs Lan vom VPN aus