Wireguard vom VPS ins Heimnetz

[elmorki]

Guten Abend zusammen,

auf meinem VPS bei habe ich die Fritz!Box ins bestehende Wireguard eingebunden. Die config auf dem Server sieht wie folgt aus:

Spoiler: Server-config

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

entsprechend habe ich die Fritzbox mit folgender config angebunden:

Spoiler: fritzbox config

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

die Verbindung kommt aus zustande und ich kann vom Server aus einen ping auf die 10.71.72.2 ( WG-IP der Box ) abgeben. aus meinem Heimnetz kann ich den Server 10.71.72.1 pingen.

Sobald ich allerdings vom Server aus die Heimnetz-IP der Fritzbox ( 10.0.1.1 ) pinge, erhalte ich zwar eine Antwort, jedoch von 10.71.72.2 ( also der WG-Adresse ). Das Heimnetz als auch die Fritzbox sind nicht über ihre Heimadressen erreichbar.

Kennt jemand eine Lösung hierzu?

Gruß und schonmal Danke für Eure Ideen

 

[tem_invictus]

Hast du eine Statische Route in der Fritzbox hinzugefügt? (Netzwerk/Netzwerkeinstellungen/IPv4Routen)

 

[elmorki]

Hi,

das funktioniert leider nicht da eine statische Route zu 10.71.72.0 über 10.0.1.1 durch die Fritz!box mit „Netzwerkkonflikt“ quittiert wird

 

[salidos]

Nochmal bitte kurz dein Aufbau

 

[tem_invictus]

Ich hoffe nicht, dass das dein wirklicher private Key ist, wenn ja mal einen neuen erzeugen und den alten löschen!!!

Ja falsch gedacht, du nutzt die interne Wireguard Funktion der Fritzbox korrekt?
Dann macht die das schon alles alleine.

Ansonsten kurz ein zwei Kleinigkeiten geändert:

Spoiler: server.config

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Spoiler: fritzbox.config

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Hast du auf dem VPS die Datei "/etc/sysctl.conf" angepasst?
Da muss "net.ipv4.ip_forward" auskommentiert werden und auf 1 gesetzt werden.

Und du bräuchtest noch eine iptables rule:
Hier einmal checken, ob dein Interface auch eth0 heißt.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

 

[elmorki]

Danke,

die config bei mir sieht so aus wie Du es geschrieben hattest. Ja mein Interface heisst auch eth0. habe die iptables-rule jetzt mal auf der kommndozeile auf dem Server abgesetzt oder gehört die mit in die wg0.conf des servers? Das Ergebnis lautet wie bisher nun immenoch:

Spoiler: ping

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Die Weiterleitungen sind entsprechend gesetzt und meine anderen clients laufen auch einwandfrei. Zuvor hatte ich es über einen separaten Server ein meinem Heimnetz laufen und den wollte ich mir nun sparen, indem ich es direkt über die Friztbox laufen lasse.

ich habe bereits folgende Regeln in der wg0.conf des servers:

Spoiler: wg0.conf

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[tem_invictus]

Die iptables-rule ist erst mal fürs terminal zum testen.

Hast du wireguard neugestartet nach den Änderungen?
Und guck mal auf dem VPS, ob auch wirklich ein Handshake erfolgt.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

 

[elmorki]

Ja habe ich getan. Handshake erfolgt.Ich komme auch aus dem Heimnetz auf den VPS. Nur der Ping sieht aus wie oben geschrieben. Zu der Frage von @salidos zum Aufbau nochmal:

 

[tem_invictus]

Zeig bitte jetzt noch mal deine Server und Fritzbox Config. (private und Public Key verbergen)

 

[elmorki]

Server config:

Spoiler: wg0.conf

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

und

Spoiler: fritzbox.conf

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[salidos]

Aus welchem Grund liegt das LAN Netzwerk im 10.x.x.x Bereich?
Welche Funktion soll die WG Fritzbox haben?

 

[elmorki]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Warum nicht? ob es nun 192.x.x.x oder 10.x.x.x ist ist doch egal. Einfach um Konflikte mit Netzwerken zu vermeiden in denen ich mich befinde und dann nach Hause verbinde

 

[salidos]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Nicht wirklich.
Aber zu deinem eigentlichen Problem:
Du arbeitest mit unterschiedlichen Subnetzen, da muss das Verbindungstück schon wissen, wo es Pakete hinschicken soll.
Ohne statische Routen, wird das kaum funktioniere. VPN hin oder her.

Nur nochmal kurz für mich:

Der VPN Server liegt im VPS.
Die WG Fritzbox soll da angebunden werden.
Die Netzwerkgeräte hinter der WG Fritzbox sollen über VPN erreichbar sein und auch ausschließlich die VPN Verbindung nach außen nutzen.
Richtig?

 

[tem_invictus]

In den Fall aber schon.

Eine Sache habe ich noch vergessen oben, mach mal am VPS:
Das aktiviert die "/etc/sysctl.conf" direkt ohne Neustart.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Und nimm erstmal die ganzen PostUP/PostDown Sachen raus aus der Config, bis es wirklich läuft.

Ich hab die Fritzbox Wireguard Funktion noch nicht selber probiert. Ich habe eine Ubuntu VM als Wireguard Gateway eingerichtet.
Vielleicht hat noch jemand eine Idee.

 

[elmorki]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Richtig. VPN-Server liegt auf nem VPS. Fritzbox verbindet sich zum VPS und ich möchte vom VPS aus Zugriff auf mein Privates Netz hinter der Fritzbox haben. Die Geräte im Lan sollen ganz normal über die Fritzbox ins Internet verbinden. Ich brauche lediglich zugriff aufs Lan vom VPN aus