I'm unknown
Rear Admiral
- Registriert
- Feb. 2005
- Beiträge
- 5.500
Sieht für mich gut aus, bis auf den Bereich Allowed IPs.
Wenn du 172.16.5.0/24 erlaubst benötigst du 172.16.5.2/32 nicht mehr da die in dem Bereich bereits enthalten ist (genauso wie 172.16.5.1/32).
Außerdem vermute ich dass du die Probleme bei erlaubtem Routing hast weil bei Allowed IPs auch der Adressbereich deines LANs enthalten ist.
Da ich bereits mit dem RC von OpenWRT 22.03 unterwegs bin gibt es keine Screenshots mehr (das WireGuard Menü wurde überarbeitet) sondern direkt die Inhalte aus den Konfigurationsdateien.
Die allowed ips auf dem Router sind bei mir nur vermerkt damit ich eine zentrale Liste mit den verwendeten IPs habe und man könnte diese auch weglassen (daher als Kommentar vermerkt). Das einzige was sich damit einschränken lässt ist, dass der Client nur IPs aus diesem Bereich verwenden kann.
Geroutet wird je nach Client Konfig trotzdem alles. Wären die Zeilen nicht auskommentiert könnte der Client z.B. nicht mit 192.168.123.6 eine nutzbare Verbindung aufbauen. Wäre in der Zeile 192.168.123.0/24 eingetragen könnte der Client frei von 192.168.123.2 - 192.168.123.254 wählen.
Die Firewall Regel sieht bei mir genauso aus - nur eben nicht auf IPv4 beschränkt
Und hier die Konfig vom Windows Client - die beiden DNS sind dieselben welche auch im internen LAN verwendet werden. Und ich route den kompletten Traffic ins VPN (0.0.0.0/0 für IPv4 und ::/0 für IPv6), du möchtest anscheinend nur den Datenverkehr ins LAN über WireGuard leiten.
Wenn du 172.16.5.0/24 erlaubst benötigst du 172.16.5.2/32 nicht mehr da die in dem Bereich bereits enthalten ist (genauso wie 172.16.5.1/32).
Außerdem vermute ich dass du die Probleme bei erlaubtem Routing hast weil bei Allowed IPs auch der Adressbereich deines LANs enthalten ist.
Da ich bereits mit dem RC von OpenWRT 22.03 unterwegs bin gibt es keine Screenshots mehr (das WireGuard Menü wurde überarbeitet) sondern direkt die Inhalte aus den Konfigurationsdateien.
Die allowed ips auf dem Router sind bei mir nur vermerkt damit ich eine zentrale Liste mit den verwendeten IPs habe und man könnte diese auch weglassen (daher als Kommentar vermerkt). Das einzige was sich damit einschränken lässt ist, dass der Client nur IPs aus diesem Bereich verwenden kann.
Geroutet wird je nach Client Konfig trotzdem alles. Wären die Zeilen nicht auskommentiert könnte der Client z.B. nicht mit 192.168.123.6 eine nutzbare Verbindung aufbauen. Wäre in der Zeile 192.168.123.0/24 eingetragen könnte der Client frei von 192.168.123.2 - 192.168.123.254 wählen.
Bash:
# OpenWRT /etc/config/network
config interface 'lan_wg'
option proto 'wireguard'
option private_key 'ROUTER_PRIVATE_KEY'
option listen_port '51820'
option ip6weight '123'
list addresses '192.168.123.1/24'
list addresses 'fd00:0815:123::1/64'
option delegate '0'
config wireguard_lan_wg
option public_key 'ROUTER_PUBLIC_KEY'
option route_allowed_ips '1'
option description 'CLIENT_NAME'
option persistent_keepalive '25'
# list allowed_ips '192.168.123.5/32'
# list allowed_ips 'fd00:0815:123::5/128'
Die Firewall Regel sieht bei mir genauso aus - nur eben nicht auf IPv4 beschränkt
Bash:
# OpenWRT /etc/config/firewall
config rule
option name 'lan_wg: wan access'
list proto 'udp'
option src 'wan'
option dest_port '51820'
option target 'ACCEPT'
Und hier die Konfig vom Windows Client - die beiden DNS sind dieselben welche auch im internen LAN verwendet werden. Und ich route den kompletten Traffic ins VPN (0.0.0.0/0 für IPv4 und ::/0 für IPv6), du möchtest anscheinend nur den Datenverkehr ins LAN über WireGuard leiten.
INI:
; Wireguard Client Config aus Windows
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 192.168.123.5/32, fd00:0815:123::5/128
DNS = 192.168.223.1, fd00:0815:223::1
[Peer]
PublicKey = ROUTER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = subdomain.DNSSERVICE.com:51820
Wenn du dich per Mobilfunknetz und der dyndns Adresse am Router anmelden kannst wird der Fehler woanders liegen. Im LAN kannst du deinen Konfigwunsch nicht testen, da geht ja auch ohne Wireguard der Zugriff.Xiaolong schrieb:Der dyndns kann es nicht sein, da ich darüber in das Adminpanel reinkomme.