ComputerBase Menü
Aktuelles

WireGuard auf OpenWRT - Keine Verbindung

Sieht für mich gut aus, bis auf den Bereich Allowed IPs.
Wenn du 172.16.5.0/24 erlaubst benötigst du 172.16.5.2/32 nicht mehr da die in dem Bereich bereits enthalten ist (genauso wie 172.16.5.1/32).

Außerdem vermute ich dass du die Probleme bei erlaubtem Routing hast weil bei Allowed IPs auch der Adressbereich deines LANs enthalten ist.

Da ich bereits mit dem RC von OpenWRT 22.03 unterwegs bin gibt es keine Screenshots mehr (das WireGuard Menü wurde überarbeitet) sondern direkt die Inhalte aus den Konfigurationsdateien.

Die allowed ips auf dem Router sind bei mir nur vermerkt damit ich eine zentrale Liste mit den verwendeten IPs habe und man könnte diese auch weglassen (daher als Kommentar vermerkt). Das einzige was sich damit einschränken lässt ist, dass der Client nur IPs aus diesem Bereich verwenden kann.

Geroutet wird je nach Client Konfig trotzdem alles. Wären die Zeilen nicht auskommentiert könnte der Client z.B. nicht mit 192.168.123.6 eine nutzbare Verbindung aufbauen. Wäre in der Zeile 192.168.123.0/24 eingetragen könnte der Client frei von 192.168.123.2 - 192.168.123.254 wählen.
Bash: 
# OpenWRT /etc/config/network

 config interface 'lan_wg'
         option proto 'wireguard'
         option private_key 'ROUTER_PRIVATE_KEY'
         option listen_port '51820'
         option ip6weight '123'
         list addresses '192.168.123.1/24'
         list addresses 'fd00:0815:123::1/64'
         option delegate '0'
 
 config wireguard_lan_wg
         option public_key 'ROUTER_PUBLIC_KEY'
         option route_allowed_ips '1'
         option description 'CLIENT_NAME'
         option persistent_keepalive '25'
#        list allowed_ips '192.168.123.5/32'
#        list allowed_ips 'fd00:0815:123::5/128'

Die Firewall Regel sieht bei mir genauso aus - nur eben nicht auf IPv4 beschränkt
Bash: 
# OpenWRT /etc/config/firewall

config rule
         option name 'lan_wg: wan access'
         list proto 'udp'
         option src 'wan'
         option dest_port '51820'
         option target 'ACCEPT'

Und hier die Konfig vom Windows Client - die beiden DNS sind dieselben welche auch im internen LAN verwendet werden. Und ich route den kompletten Traffic ins VPN (0.0.0.0/0 für IPv4 und ::/0 für IPv6), du möchtest anscheinend nur den Datenverkehr ins LAN über WireGuard leiten.
INI: 
; Wireguard Client Config aus Windows

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 192.168.123.5/32, fd00:0815:123::5/128
DNS = 192.168.223.1, fd00:0815:223::1

[Peer]
PublicKey = ROUTER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = subdomain.DNSSERVICE.com:51820

Xiaolong schrieb:
Der dyndns kann es nicht sein, da ich darüber in das Adminpanel reinkomme.
Zum Vergrößern anklicken....
Wenn du dich per Mobilfunknetz und der dyndns Adresse am Router anmelden kannst wird der Fehler woanders liegen. Im LAN kannst du deinen Konfigwunsch nicht testen, da geht ja auch ohne Wireguard der Zugriff.
 
Xiaolong schrieb:
Das sind die normalen Firewallregeln:
Anhang anzeigen 1249126
Zum Vergrößern anklicken....
Ich vermute* hier liegt das Problem.

Bei Dir fehlt das WG Interface.
firewall zone.png

zone setting.png

So sieht es bei mir aus und ich hab den Eindruck, es läuft. 😉
status.png

Ich hab mich mit dem Smartphone über die Datenverbindung mit OpenWRT verbunden und wenn ich damit surfe, erscheint meine WAN-IP von zu hause.

*(Tatsächlich habe ich OpenWRT zum ersten mal ausprobiert (in einer VM) und kann daher nicht alles wie gewohnt testen bzw. kenne mich nicht wirklich aus.)
Ich bin nach dieser Anleitung vorgegangen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Xiaolong
@Bob.Dig : Danke!!

Ich habe mal OpenWRT auf Version 22.03 geupdated und bin dann stumpf nach der oberen Anleitung von dir vorgegangen, mit angepassten Keys und IP-Adressen natürlich. Habe diesmal auch nicht über das LuCi gearbeitet, sondern die Daten in die Files direkt kopiert.
Nun, Versuch#1 und der Karren läuft. Habe von außen Zugriff auf mein NAS, jetzt kann ich den WebDAV Port endlich schließen! Großes Dankeschön.

@I'm unknown : Auch dir ein Danke für die Hilfe, aber anscheinend sollte es erst nach dem Firmwareupdate gehen.

Jetzt habe ich ein anderes Problem, aber dafür kommt ein neuer Thread :)

Zur Info, diese Anleitung habe ich auch auf der alten 19er Version befolgt, da hat es nicht funktioniert. Den Fehler da jetzt aber zu suchen hat auch nur noch akademischen Wert.
 
@Xiaolong Schön. Ich bin dafür runter auf OpenWrt 21.02.3. 😁
Bei mir hat sich, warum auch immer, WG auf dem "Router" nach ner Weile einfach beendet.
Hab daher noch mal neu installiert und jetzt tritt das Problem nicht mehr auf. Ich hab dieses mal aber auch nur luci-app-wireguard installiert und nicht wg-installer-server V27. Keine Ahnung, ob ein Zusammenhang besteht.

Muss sagen, alles sehr verwirrend mit OpenWRT. Und müßig war es auch. Zwar bietet mir die Status Page einen QR Code an, aber der private Key darin sei random. Was hab ich davon? Ich muss ja den public Key dazu noch irgendwie in den Router bekommen... Wahnsinn.
Screenshot 2022-08-13 184251.png

Da fehlt doch ein Button das dann gleich als Peer hinzuzufügen...
Aber hey, habe durch all das zufällig entdeckt, dass WGforAndroid eine Applications Auswahl hat. D.h. wohl ich kann einzelnen Apps den Zugriff gewähren oder verbieten und hab damit effektiv eine App-Firewall auf dem Smartphone. 😍
Bisher nutze ich nur OpenVPN auf dem Phone.
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
Aber hey, habe durch all das zufällig entdeckt, dass WGforAndroid eine Applications Auswahl hat. D.h. wohl ich kann einzelnen Apps den Zugriff gewähren oder verbieten und hab damit effektiv eine App-Firewall auf dem Smartphone. 😍
Bisher nutze ich nur OpenVPN auf dem Phone.
Zum Vergrößern anklicken....
Schön, dass die Hilfe hier in beide Richtungen funktioniert hat :) Freut mich.
 
Sagen wir so, ich überlege ernsthaft auf dem Phone zu WG zu wechseln. Gegenstelle bleibt bei mir aber pfSense und nicht dieses OpenWRT-Chaos. 😉
 
Xiaolong schrieb:
Zur Info, diese Anleitung habe ich auch auf der alten 19er Version befolgt, da hat es nicht funktioniert. Den Fehler da jetzt aber zu suchen hat auch nur noch akademischen Wert.
Zum Vergrößern anklicken....
Ok, damit hatte ich WireGuard nie am Laufen, die 21.02 hatte mir der selben Konfig jedoch ebenfalls keine Probleme...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
OpenWRT mit Wireguard Client und Server hinter FritzBox
Antworten
10
Aufrufe
1.427
Kratzlos
K
CoMo
OpenWrt als Wireguard Client
Antworten
12
Aufrufe
459
CoMo
CoMo
interface31
Wireguard User in Domäne Zugriff auf Netzwerk
Antworten
4
Aufrufe
435
interface31
interface31
J
Tp Link MR600 VPN mit wireguard
Antworten
11
Aufrufe
972
norKoeri
N
T
Kann den Openwrt Router nicht aus dem Netzwerk der Fritzbox aufrufen.
2
Antworten
23
Aufrufe
3.360
bsod90
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz