Wireguard VPN nach Migration erreicht keine lokalen IPs mehr

[Funkener]

Hallo zusammen,

ich habe meinen Wireguard VPN von meiner VM auf meinem NAS nun auf den Raspberry Pi verlegt, auf welchem der DNS Service Pi Hole läuft.

Ich habe einfach alle Dateien übertragen und keine neuen Keys generiert. Daher sollte auch alles wieder auf Anhieb funktionieren. Tut es aber nicht.

Mein Problem ist, dass ich nun keine anderen Geräte mehr via VPN in meinem Netzwerk erreichen kann. 192.168.1.2 ist mein Pi Hole und Wireguard. 192.168.1.30 ist dann z.B. mein NAS. Ich kann es via VPN aber nicht erreichen. Ich kann nur 192.168.1.2 erreichen. Meinen Router mit 192.168.1.1 kann ich auch nicht erreichen. Das ging vorher alles, über die NAS VM.

Ich vermute, dass es daran hapert, dass das Wireguard Gerät auch gleichzeitig der DNS Server in meinem lokalen Netzwerk ist. Aber ich logisch kann ich es mir nicht erklären. Warum sollte ich nicht auf .30 kommen? Alle Geräte können ja auch weiterhin DNS anfragen und ich setze über meine Wireguard Config den DNS Server auf 127.0.0.1.

Hat jemand eine Idee woran es scheitert?

 

[n8mahr]

hast du denn tatsächliche datenübertragung bei der verbindung? oder erstellt er nur den tunnel, der aber keine daten übertragen kann? weil, dann ist wahrscheinlich (!) der schlüssel nicht korrekt.

 

[Funkener]

Also die VPN Verbindung zu dem Raspberry Pi mit Wireguard besteht definitiv, da ich mein Pi Hole über 192.168.1.2 ja erreiche (mit Mobilfunknetz getestet).

 

[Q-6600]

Befindest du dich beim Testen im selben Netzbereich auf das du zugreifen willst? Du wirst bestimmt eingestellt haben, dass der gesamte Verkehr über das VPN gehen soll und deswegen dein lokales Netz nicht bekannt ist.
Wenn du dich von draußen mit einem anderen lokalen Netzbereich einwählst, solltest du deine Geräte im 192.168.1.0/24-Netz auch wieder erreichen können.

Wenn du den VPN-Clients als DNS die 127.0.0.1 mitteilst, greifen sie zur Namensauflösung auf sich selbst zu. Da muss du schon die "richtige" IP deines DNS-Servers angeben.

 

[riversource]

Alle Geräte können ja auch weiterhin DNS anfragen und ich setze über meine Wireguard Config den DNS Server auf 127.0.0.1.

Du pusht aber nicht 127.0.0.1 an die VPN Clients, oder? Weil dann fragen die sich nämlich selbst nach der Namensauflösung und nicht den Pi.

Macht der Raspi IP-Forwarding? Machst du NAT für den VPN Tunnel oder gibts ne Subnetzroute dafür?

 

[Funkener]

Ich nutze meinen Mobilfunkverbindung um alles zu testen. Meine Wireguard Config ist so eingestellt, dass nur mein lokaler Traffic durch den VPN geht, da der VPN nur den Sinn haben soll meine Geräte zuhause von unterwegs zu erreichen. Daher ist "192.168.1.0/24" auch nur als erlaubter Bereich in der Config hinterlegt. Und vorher hat ja alles bestens geklappt. Nur auf dem Raspberry Pi erreiche ich nur diesen selber, aber keine anderen Geräte mehr.

Und meine Vermutung ist dann eben, dass das Pi Hole Probleme macht. Übrigens ist der Raspberry Pi via WiFi verbunden. War meine VM ja nicht. Aber ob das ein Grund sein könnte?!

Du pusht aber nicht 127.0.0.1 an die VPN Clients, oder?

Da hat sich ein Fehler eingeschlichen. Ich meinte, dass ich 192.168.1.2 zu den Clients via Wireguard Config pushe. 127.0.0.1 geht natürlich nicht, ja.

 

[riversource]

Welches Transportnetz nutzt du in Wireshark?

Ich tippe immer noch auf IP-Forwarding und/oder fehlendes Routing - entweder NAT oder statische Route.

 

[Funkener]

Welches Transportnetz nutzt du in Wireshark?

[Interface]
PrivateKey = XXX
Address = 10.5.5.2/24
DNS = 192.168.1.2

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.1.0/24
Endpoint = xxxxxxxx:61951
PersistentKeepalive = 25

Aber daran kann es kaum liegen, da es in der VM ja geht. Mit der gleichen Config. Lasse eben nur den Traffic durch Router an den VPN nicht mehr zur VM leiten, sondern zum Raspberry Pi.

 

[riversource]

Macht Stubby vielleicht Probleme?

Nein.

Wie ist denn das mit dem IP-Forwarding und dem Routing? Wie hast du das eingerichtet?

 

[Funkener]

Ich weiß gerade nicht was Du meinst. Habe einfach nur den Wireguard Server, welcher mich in das Netz zuhause lässt, wo alle Geräte via DHCP von meinem Router ihre IPs bekommen. Habe kein besonderes Forwarding eingerichtet. Habe mal die Einstellungen meines Pi Holes angehangen.

 

[riversource]

Du solltest nicht auf Verdacht wild in der Gegend herumklicken, damit machst du mehr kaputt als gut. Geh systematisch an die Sache heran und eliminiere mögliche Fehlerursachen.

Habe kein besonderes Forwarding eingerichtet.

Das ist schlecht, dann standardmäßig ist das deaktiviert. Was ergibt auf dem Raspi ein

sysctl net.ipv4.ip_forward

Darüber hinaus musst du das Routing konfigurieren. Entweder muss der Raspi NAT für den VPN Tunnel machen, oder du musst deinen Geräten im Netz sagen, wo sie 10.5.5.0/24 finden. Letzteres erreichst du am einfachsten über eine statische Route im Router. Außerdem hat letzteres den Vorteil, dass du aus deinem LAN zu Hause auch die VPN Clients erreichen kannst. Das geht bei der NAT Variante nicht, da funktioniert nur der Zugriff von den VPN Clients ins LAN (was ggf. auch gewünscht sein kann).

 

[Funkener]

Stimmt! Das habe ich aber tatsächlich bereits gemacht gehabt. Wert ist auf "1".

Ich möchte nicht, dass andere Geräte meinen VPN Client erreichen können. Wie mache ich das denn mit dem NAT? Ich dachte Wireguard macht das irgendwie selber alles mit dem eigenen Netzwerkadapter. Bei der VM habe ich glaube auch nichts anderes einstellen müssen. Aber vielleicht habe ich es auch nur verdrängt...

Edit: MOMENT MAL! In der Wireguard Config auf dem Server ist ein Netzwerkadapter hinterlegt... -.- daran wird es wohl liegen.. denn den gab es eben nur bei der VM.

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

 

[riversource]

Du brauchst eine Regel oben in der "Interface" Section deiner Wireguard Config, so ähnlich wie diese:

PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Achte darauf, das richtige Ethernet Interface anzugeben.

 

[Funkener]

Du brauchst eine Regel oben in der "Interface" Section deiner Wireguard Config

Ja, mir ist gerade selber aufgefallen, dass der Adapter gar nicht passt... Habe ich nicht dran gedacht, da ich dachte ich muss nur die Configs kurz übertragen.

Damit wäre es wohl gelöst, denn nun kann ich alles erreichen. Danke nochmal an alle!