ComputerBase Menü
Aktuelles

Tp Link MR600 VPN mit wireguard

J

jumbo125

Cadet 4th Year
Registriert
Sep. 2022
Beiträge
89
Hallo zusammen

Ich versuche bei meinem Bruder eine vpn aufzubauen, aber ohne Erfolg...
Bei mir war es kein Problem...

Zur Situation:
Bei ihm läuft ein raspberry mit vpn wireguard Server. Hierfür verwende ich easy wireguard https://github.com/wg-easy/wg-easy

Meine ddns mache ich über dynudns.
Wenn man nun von außen auf meine ddns zugreift, soll der Router auf den raspberry zum wireguard Server und danach ins Netzwerk.

Nun zum router: hier habe ich den Punkt port forwarding nicht gefunden
Ich glaube es heißt hier Virtueller Server.
Hier habe ich die ip vom raspberry eingetragen und den wireguard Port 51820 UDP

Der Router vergibt meine ipadressen and die Geräte. Die beginnen alle mit 192.168.1.xx

Soweit so gut.
Ich kann von mir zuhause über den wireguard client eine aktive Verbindung aufbauen.

ABER 1. Kann ich den raspberry Server nicht erreichen. 2. Sobald ich mich mit dem vpn Tunnel verbinde, habe ich am Client kein Internet mehr.

Muss ich am Router noch was ändern? Oder muss beim easy wireguard etwas geändert werden, da der Router normalerweise alle ips mit 192.168.1.xx vergibt. Es gibt ja auch die Router, welche mit 10.0.0.xx ihre IP range haben

Wireguard bietet ja noch eine Menge an Einstellungen.
Die client ip Adressen range oder etwas anderes

Danke euch
WG_DEFAULT_ADDRESS10.8.0.x10.6.0.xClients IP address range.
WG_DEFAULT_DNS1.1.1.18.8.8.8, 8.8.4.4DNS server clients will use.
WG_ALLOWED_IPS0.0.0.0/0, ::/0192.168.15.0/24, 10.0.1.0/24Allowed IPs clients will use.
 
2 wichtige sachen
1. beide Netzwerke müssen verschiede ip haben . Zb dein Bruder 192.168.1.x , du zb 192.168.10.x
2. der Server (dorthin wo du einwählst) muss eine öffentlich erreichbare IPv4 haben. Bei ds-Lite/cgn (kabelinternet/Glasfaser musst du entweder mit ipv6 verbinden oder auf dualstack umstellen lassen
 
Zu 1.
Meine Ips beginnen alle mit 10.0.0.xx
Seine mit 192.168.1.xxx
Zu 2.
Er nutzt einen DDNS damit die ip öffentlich erreichbar ist. Reicht das nicht?
 
jumbo125 schrieb:
Meine ddns mache ich über dynudns.
Wenn man nun von außen auf meine ddns zugreift, soll der Router auf den raspberry zum wireguard Server und danach ins Netzwerk.
Zum Vergrößern anklicken....
Ich verstehe kein Wort. Was hat denn dein ddns damit zu tun? Es geht doch um deinen Bruder. Willst du seine Zugriffe über dein Netz tunneln, oder wie?

Und lies noch mal den Satz: "Wenn man nun von außen auf meine ddns zugreift, soll der Router auf den raspberry zum wireguard Server und danach ins Netzwerk.". Der Router soll auf den Raspi??? Was soll er da?

Also: Beschreibe präzise und lesbar: Was genau hast du vor?

jumbo125 schrieb:
Soweit so gut.
Ich kann von mir zuhause über den wireguard client eine aktive Verbindung aufbauen.
Zum Vergrößern anklicken....
Ist das sicher, dass die Verbindung besteht? Das hast du anhand der Logs kontrolliert? Nur weil Wireguard eine aktive Verbindung anzeigt, heißt das nicht, dass Daten fließen.

jumbo125 schrieb:
Sobald ich mich mit dem vpn Tunnel verbinde, habe ich am Client kein Internet mehr.
Zum Vergrößern anklicken....
Dann ist die Konfiguration falsch, vor allem im Bereich Allowed IPs.

jumbo125 schrieb:
Hierfür verwende ich easy wireguard https://github.com/wg-easy/wg-easy
Zum Vergrößern anklicken....
Das ist grundsätzlich eine schlechte Idee. Diese Dinger funktionieren nur, wenn das eigene Setup zu 100% zur Vorstellung des Erstellers der Scripte passt. Will man nur eine Kleinigkeit anders machen, hat man verloren. Zumal Docker weitere IP-Subnetze ins Spiel bringt, die das Setup enorm komplex machen. Du hast ja die beiden lokalen Netze, das VPN Transportnetz und die Docker-Netze, und alle müssen perfekt aufeinander abgestimmt sein. Das ist nicht trivial.

Ich empfehle ein manuelles Aufsetzen des Wireguard Servers. Dann passt die Konfiguration besser.
 
  • Gefällt mir
Reaktionen: jumbo125
Ja es dürfen keine ip Bereiche verwendet werden, die identisch sind. Das ist bei Fritzboxen ja der Fall und anderen Routern auch. Also 192.168.178.x. 192.168.1.x, 192.168.2.x, 192.168.254.x verbieten sich, weil diese vielfach genutzt sind.
Es müssen darüber hinaus auch noch ips für Clients oberhalb des dchp Range frei sein.
Setzt man den Range von 10 bis 254 gehts nicht. Die Clients werden oberhalb des Endes des Range vergeben.
Also ich habe bei mir dchp Range von 10-100. Die vpn Clients werden dann ab 101 eingefügt. Es muss dort also Platz sein.
Dann zu ipv4 und ipv6 öffentliche Adressen.
Bei DG z. B. hat man nur eine öffentliche ipv6. Das heist man kann nur über ipv6 dorthin verbinden. Was von Dual Stack Zugängen und vom Mobil-Netz gut geht. Ebenso von DG, also DS-Lite.
Nimmt man bei Dual Stack den Haken bei ipv6 raus, gehts nicht.
Ich erwähne das, weil das vielfach gemacht wurde für die alten ipsec Verbindungen beim alten Fritz bis Os 7,13.
Das dortige ipsec hatte ipv6 nicht implementiert und man muste den Haken raus nehmen, sonst lief es nicht. Beim aktuellen FriztOS ist auch bei ipsec ipv6 implementiert.
Einige Anbeiter vergeben gar keine öffentliche ip. Northern Access vergibt nur private ipv4 hinter einer Firewall.
DYNDNS wird doch nur für neue unbekannte öffentliche ips verwendet. Man kann das am Anfang auch weg lassen, wenn man die ip kennt. Aber wenn der Client eine neue bekommt, wars das. Früher haben die Router ja alle 24Std neue ips bekommen. Das ist heute nicht mehr so.
Da geht einiges durcheinander:
#1
"Der Router (unbekannt vom Bruder) vergibt meine ipadressen and die Geräte. Die beginnen alle mit 192.168.1.xx"
#3
"Meine Ips beginnen alle mit 10.0.0.xx
Seine mit 192.168.1.xxx"

Heist Du hast weder Deine noch die Deines Bruders geändert. So wird das nix.
Am besten biede ändern.
In der jetzigen konfig heist das, das aus Client-Netzen mit 192.168.1.x und aus 10.0.0.x nicht verbunden werden kann und das sind einige. Untereinander müste es schon gehen.
Mit 10.0.0.x geht das bei Dir weil der Bereich eher selten verwendet wird.
Ich ändere deshalb immer die ip des Netzes wenn ich Router konfiguriere. Wenn dann später vpn gebraucht wird, muss man nicht alles noch mal anpacken.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: jumbo125
okay, vorweg danke für eure Hilfe.
ich schreib nun am PC und nicht mehr am smartphone. Hoffe dadurch ist es für alle leichter.

Hier nochmal meine Herangehensweise: (ich lasse das mein, sein...... das bringt nur verwirrung. ich schreibe einfach in seinem namen :-) )

ich (mein Bruder) habe einen TP-Link MR 600 Router.
Dieser wechselt alle 24h die WAN (Internet-Ip Adresse). Um dennoch immer auf ihn zuzugreifen, nutzt ich den Service von DynuDns.

Das heißt meine wechselnde IP-Adresse ist über meinen DDNS-Domain erreichbar.
Nun möchte ich, dass eine Verbindung von außen auf meine DDNS Domain direkt zum Raspberry weitergeleitet wird. auf diesem läuft ein Server.

Das wollte ich mit port forwarding lösen. Diesen Punkt habe ich im Router nicht gefunden, jedoch den Punkt "virtueller Server".
Hier habe ich eingestellt:

einkommender Port: 80,
Ip-Adressenweiterleitung: 192.168.1.80 (das ist mein Raspberry) und Port für weiterleitung:80 (also direkt auf den laufenden server am Raspberry)

DAS funktioniert!
So, nun kann jeder mit meiner DDNS-Domain:80 auf meinen Server am Raspberry.

Hier soll Wireguard ins Spiel kommen

Daher habe ich Wireguard am Raspberry installiert.

Anstatt auf den Port 80 (Nginx Server am Raspberry) soll die WEiterleitung zu 51820 erfolgen.
Das heißt ich habe den virtuellen Server eintrag bearbeitet.
Statt:

einkommender Port: 80,
Ip-Adressenweiterleitung: 192.168.1.80
Port für weiterleitung: 80 (also direkt auf den laufenden server am Raspberry)

steht nun
einkommender Port: 51820,
Ip-Adressenweiterleitung: 192.168.1.80
Port für weiterleitung: 51820 (also direkt auf den laufenden WIREGUARD VPN server)

So.
Auf einen Windows PC AU?ERHALB des netzwerks habe ich Wireguard Client installiert. Der läuft mit dem Internet auf meinem Handy.
Dort habe ich das Zertifikat eingefügt und den Tunnel aktiviert.

1. Ich verliere sofort das Internet.
2. Der aufruf einer Ip-Adresse aus dem Netztwerk funktioniert auch nicht.
3. wenn ich im cmd arp-a ausführe, findet er sämtliche adressen aus meinem Heimnetzwerk, daher muss doch die verbindung aktiv sein.
Ergänzung ()

riversource schrieb:
Ich verstehe kein Wort. Was hat denn dein ddns damit zu tun? Es geht doch um deinen Bruder. Willst du seine Zugriffe über dein Netz tunneln, oder wie?
Zum Vergrößern anklicken....

Verzeihung. hoffe der letzte beitrag ist besser
 
jumbo125 schrieb:
Statt:

einkommender Port: 80,
Ip-Adressenweiterleitung: 192.168.1.80
Port für weiterleitung: 80 (also direkt auf den laufenden server am Raspberry)

steht nun
einkommender Port: 51820,
Ip-Adressenweiterleitung: 192.168.1.80
Port für weiterleitung: 51820 (also direkt auf den laufenden WIREGUARD VPN server)
Zum Vergrößern anklicken....
Und du hast auch von TCP auf UDP umgestellt?

jumbo125 schrieb:
1. Ich verliere sofort das Internet.
Zum Vergrößern anklicken....
Wie gesagt, allowed IPs falsch. Die Routen werden aktiv, sobald du Wireguard startest.

jumbo125 schrieb:
2. Der aufruf einer Ip-Adresse aus dem Netztwerk funktioniert auch nicht.
Zum Vergrößern anklicken....
Ich vermute, dass der Tunnel nicht existiert. Wie gesagt, die Logs geben Aufschluss.

jumbo125 schrieb:
3. wenn ich im cmd arp-a ausführe, findet er sämtliche adressen aus meinem Heimnetzwerk, daher muss doch die verbindung aktiv sein.
Zum Vergrößern anklicken....
Klar, Layer 2 ist ja auch noch aktiv. Nur die Layer 3 Routen sind falsch.

Und ich hoffe, du hast dieses unsägliche Docker Teil entsorgt.
 
  • Gefällt mir
Reaktionen: jumbo125
ja, habe ich von tcp auf udp umgestellt.

was genau schreibe ich in die allowed IPS?

auf der tp-link seite habe ich diesen eintrag gefunden
aber dämlich abschreiben soll ja auch nicht das ziel sein.
könnt ihr mir nochmal kurz sagen, was in die allowed ips gehört?
bevorzugter DNS ist mir auch unklar. Da wird überall 8.8.8.8 oder 1.1.1.1 reingeschrieben... muss man dort nicht den dns server von dem MR 600 Router reinschreiben??
 

Anhänge

  • Unbenannt.JPG
    Unbenannt.JPG
    36 KB · Aufrufe: 40
jumbo125 schrieb:
was genau schreibe ich in die allowed IPS?
Zum Vergrößern anklicken....
Da darf halt die Default Route nicht rein, sondern nur das Ziel-Subnetz. Du willst doch auch später garantiert nicht deinen ganzen Internet-Traffic durch das Netz deines Bruders schleusen.

Aber sowas passiert durch die Verwendung von Tools wie easy wireguard. Die denken halt an Road-Warrior und ähnliches, aber euren Anwendungsfall haben die nicht auf dem Schirm. Folglich kommt da für euch nichts Brauchbares raus, die Konfigs, die da rausfallen, müsst ihr alle von Hand anpassen. Da könnt ihr es auch direkt selber machen.
 
okay
ich glaube das schaffe ich nicht...
:-(
 
Zuletzt bearbeitet:
Wenn du erwartet hast, das mit 2 Mausklicks in 30 Sekunden zu erledigen, dann muss ich dich enttäuschen. Das wird nichts werden. So ein Setup erfordert schon, dass man sich mit der Materie befasst, vor allem mit den Grundlagen IP Routing. Wer soll Zugriff haben auf welche Bereiche der beiden Heimnetze? Wie sehen die Transportnetze aus? Damit man genau weiß, welche Adressbereiche man wo wofür einsetzen will, wie die Routen dafür aussehen sollen, wann man NAT machen will und wann nicht, usw. usw. Dann klappt das auch.
 
  • Gefällt mir
Reaktionen: redjack1000
jumbo125 schrieb:
Bei mir war es kein Problem.
Zum Vergrößern anklicken....
Ohne den Thread überhaupt gelesen zu haben … vielleicht hilft der Einwurf trotzdem: Welchen Internet-Router und welchen Internet-Anbieter nutzt Du? Der MR600 Deines Bruders ist ein LTE-Router. Nutzt Dein Bruder den über LTE? Dann hast Du das Problem, dass sein Mobilfunk-Anbieter bereits eine Firewall schaltet. Über die hast Du erstmal keine Kontrolle, außer … welchen Mobilfunk-Anbieter nutzt Dein Bruder?
jumbo125 schrieb:
einkommender Port: 80 […] funktioniert!
Zum Vergrößern anklicken....
OK. Hätte ich jetzt nicht erwartet. Daher bitte mehr Details rundherum.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
OpenWRT mit Wireguard Client und Server hinter FritzBox
Antworten
10
Aufrufe
1.430
Kratzlos
K
D
Wireguard Client IP herausfinden?
Antworten
8
Aufrufe
817
Der_Picknicker
D
Zaiga
Wireguard - VPN
Antworten
4
Aufrufe
946
riversource
R
U
  • Frage
VPN(Wireguard)-Client nicht erreichbar wegen LTE?
Antworten
5
Aufrufe
723
blablub1212
B
Y
Wireguard fritzbox mit vpn server verbinden
Antworten
7
Aufrufe
4.026
riversource
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz