VPN trotz CGNAT(Starlink) am Asus Router

[vocaris]

Also ich bin nicht im heimischen Netzwerk. Das ist ja mein Problem.
Ich kann nur auf den ASUS Router des heimischen Netzwerks per Asus Router App.
Wo soll ich was ausführen?
Ich kann den VPS (Oracle) aufrufen. Dort läuft WG in einem Docker Container.
Und ich kann vom Notebook eine WG Verbindung zum VPS aufbauen.

Was soll ich wo eingeben?

 

[redjack1000]

Was soll ich wo eingeben?

Auf dem Laptop läuft welches Betriebssystem?

CU
redjack

 

[vocaris]

Win 11.
Aktuell bin ich mit dem Terminal auf der VPS Maschine. Habe dort jetzt SU Recht und befinde mich im Docker Container von wg.
Dort kann ich traceroute ausführen. Aber dahinter müsste ja noch was kommen.

 

[redjack1000]

Dann benutze tracert und zeige uns screenshots.

Cu
redjack

 

[vocaris]

Hier der Versuch auf dem VPS im WG container:

/app # traceroute 192.168.8.1
traceroute to 192.168.8.1 (192.168.8.1), 30 hops max, 46 byte packets
1 172.17.0.1 (172.17.0.1) 0.010 ms 0.006 ms 0.004 ms
2 140.91.198.61 (140.91.198.61) 0.239 ms 140.91.198.205 (140.91.198.205) 0.253 ms 140.91.198.145 (140.91.198.145) 0.212 ms
3 62.67.24.22 (62.67.24.22) 0.635 ms 0.640 ms 0.667 ms
4 * * *
5 * * *

Er kommt nicht durch. Ich schätze, dass man auf dem Asus Router die Durchgabe der Anfrage in das interne Netzwerk zulassen muss. Aber ich weiß nicht wo und ob das über die ASUS Router App überhaupt möglich ist.

 

[redjack1000]

Welche von den Adressen ist denn der Asus Router?

Cu
redjack

 

[vocaris]

Keine. Der Router hat die Adresse, die ich angefragt habe.192.168.8.1

 

[redjack1000]

Ich schätze, dass man auf dem Asus Router die Durchgabe der Anfrage in das interne Netzwerk zulassen muss.

Dann ist die Einschätzung falsch, da die Anfrage nicht mal bei der IP-Adresse 192.168.8.1 ankommt. Finde heraus, warum die Pakete den Tunnel bei der Adresse 172.17.0.1 verlassen.

Wenn so ein Tunnel läuft, tauchen im Normalfall, keine öffentlichen IP-Adressen auf

Cu
redjack

 

[vocaris]

Korrekt. Es erreicht den Router nicht. Ich "gehe" davon aus, auf der Router Seite im Bereich Firewall oder sonst wo eine Erlaubnis gegeben werden muss, dass die Anfrage, die von außen kommt an das interne LAN weitergegeben werden darf.

Das sagt Perplexity dazu:

Die traceroute-Ausgabe zeigt, dass die Pakete vom WireGuard-Docker-Container auf deinem VPS bis zu IP-Adressen außerhalb deines Heimnetzes (öffentliche IPs) weitergeleitet werden und nicht ins lokale Heimnetz (192.168.8.1) gelangen.

---

Interpretation​

• Die Adresse 172.17.0.1 ist die Docker-Bridge im VPS (normaler Starthop für Container-Traffic).
• Die nächsten Hops (140.91.198.x und 62.67.24.x) sind öffentliche IPs im Internet, was bedeutet, dass der Verkehr nicht ins interne VPN oder Heimnetz geroutet wird.
• Die private IP 192.168.8.1 (dein Router im Heimnetz) wird nicht erreicht, die Pakete verlassen das VPN-Subnetz und gehen ins öffentliche Internet.
• Das bedeutet, dass Routing auf dem VPS oder im Container in Richtung VPN-Heimnetz fehlt oder falsch konfiguriert ist.

Wie gesagt, läuft der WG auf dem VPS in einem Container.
Bin in den Container gegangen und habe dort:
ip route add 192.168.8.0/24 dev wg0
ausgeführt. Dann dort traceroute 192.168.8.1.
Dann kommt aber:

/app # traceroute 192.168.8.1
traceroute to 192.168.8.1 (192.168.8.1), 30 hops max, 46 byte packets
1traceroute: sendto: Required key not available

Ich bin hier wissenstechnisch am Ende. Ist das jetzt ein Problem auf der VPS (wg Container) Seite oder auf Seiten des Routers?

 

[redjack1000]

Hat der Asus Router eine VPN Verbindung zum VPS?

CU
redjack

 

[vocaris]

Ja, würde ich behaupten. Hier ein Bilder der VPS (WG) Oberfläche.
Es besteht eine Verbindung vom VPS zum Asus Router.
Dort ist unter VPN Fusion die entsprechende CFG Datei eingebunden und der VPN ist dort auch gestartet.

 

[redjack1000]

Nimm ein Gerät aus dem Heimnetz, das kein WG Tunnel aufgebaut hat und pinge mal die WG IP vom VPS.

CU
redjack

 

[vocaris]

Sorry. Das verstehe ich nicht.
Also im ASUS Router (Heimnetz) ist der VPN Fusion Eintrag aktuell für alle Geräte aktiv. Ich soll das somit ausschalten und z.B. nur 5 ausgewählte Geräte über den Tunnel laufen lassen?
Aber von wo soll ich die WG IP vom VPS anpingen? Woher bekomme ich denn die WG IP.
Ist das die Domian IP meines VPS, worauf ein WG Docking Container läuft?
Wie zu Anfang beschrieben. Ich bin nicht zu Hause und kann vom heimische Netzwerk nichts ausführen.

Deshalb verstehe ich den Auftrag nicht. Ggf. für "ganz dumm" beschreiben, was ich tun soll.

 

[redjack1000]

Deshalb verstehe ich den Auftrag nicht. Ggf. für "ganz dumm" beschreiben, was ich tun soll.

Ping die IP-Adresse vom VPS, von einem Gerät aus dem Heimnetz.

CU
redjack

 

[vocaris]

Ich bin nicht zu Hause. Sondern 3 Monate im Ausland. Ich habe kein Zugriff auf Geräte im Heimnetzwerk.
Deshalb bastle ich das alles hier, damit ich wieder Zugriff bekomme.

 

[redjack1000]

Ich habe kein Zugriff auf Geräte im Heimnetzwerk.
Deshalb bastle ich das alles hier, damit ich wieder Zugriff bekomme.

Dafür kann ich dir keine Lösung anbieten.

CU
redjack

 

[h00bi]

Nimm tailscale. Ernsthaft.
Einen wireguard relay Server zu betreiben ist nicht so trivial, wie es hier dargestellt wurde und wie du selbst auch schon gemerkt hast.

Es war auch nicht ideal deine Frage als Netzwerk-Laie im Forum für "Professionelle IT-Netze und -Systeme" zu posten, hier wird eigentlich ein gewisses Wissenslevel vorausgesetzt.

 

[Web-Schecki]

Naja, also zumindest eine VPN-Verbindung vom VPS zum Router herzustellen sollte nun kein Hexenwerk sein. Der Router muss dann natürlich als wireguard-Endpunkt für das Heimnetzwerk konfiguriert sein, aber das muss bei tailscale ja auch gemacht werden.
Der relay-Teil sollte bei wireguard tendenziell einfach sein, weil wireguard eigentlich genau darauf ausgelegt ist.
So wie ich es verstehe ist der VPS aber nicht korrekt konfiguriert, um Pakete an 192.168.8.0/16 in den Tunnel zum Endpunkt 10.8.0.2 zu schicken. Das wäre wohl der erste Schritt.

Ich will aber auch nichts gegen tailscale sagen, wenn das wirklich einfacher ist, wäre das vielleicht sinnvoller.

 

[vocaris]

Also ich habe eine Alternativlösung gefunden. Auf meine Synology kann ich ja per Quickconnect zugreifen. Leider lässt es diese Art der Verbindung aber nicht zu, das Tailscale Paket final zu installieren/konfigurieren.
Ich habe dann das Teamviewer Paket installiert und konnte dort einen generierten Token einsetzen udn so am Ende eine TV Verbindung herstellen und so die Tailscale Installation finalisieren und das Subnet Routing von der defekten Pi3 Instanz auf das NAS umstellen. so kam ich dann wieder in mein Heimnetzwerk, habe die PI Instanz repariert und jetzt läuft wieder alles. Aber das Problem mit dem ursprünglichen Weg via VPS => WG Container Instanz und Einrichten einer VPN Fusion Verbindung des Asus Routers nervt mich schon. Vor allem verstehe ich nicht wo das Problem liegt.
Alles Clients haben als AllowedIPs = 192.168.8.0/24 eingestellt.
Jetzt muss der Router, auf dem der VPN Fusion mit WG eingerichtet ist natürlich wissen, wohin er die Antworten der Netzgeräte schicken soll. Aber dafür habe ich im Router das statische Routen aktiviert und verbinde dort die WG IPs 10.8.0.0 mit dem Router/Gateway 192.168.8.1.
Ich verstehe einfach nicht, was hier das Problem ist.

t

 

[Web-Schecki]

Ich denke, 192.168.8.1 ist bereits das Standardgateway im lokalen Netz?! Dementsprechend landen ohnehin alle Pakete, die nicht für das lokale Netz, also für 192.168.8.0/24 bestimmt sind, erstmal dort. Die statische Route dürfte in der Form schlicht überflüssig sein.
Du möchtest ja aber, dass die Pakete für 10.8.0.0/24 vom LAN-interface auf das wireguard-Interface geroutet werden, damit sie von wireguard verarbeitet werden. Wie man das für den Router einstellt und ob das überhaupt ohne Weiteres geht, weiß ich aber nicht. Vielleicht unter "Schnittstelle" etwas anderes auswählen? LAN klingt auf jeden Fall falsch