WireGuard, Pi-hole und Nextcloud auf einem mini PC - WireGuard funktioniert nicht.

[user3402]

Hallo zusammen,

ich habe auf einem beelink Mini S12 Ubuntu Server 24.04.2 installiert. Darauf laufen Nextcloud, Pi-hole (unbound) und WireGuard.

Da Nextcloud und Pi-hole Port 80 verwenden, habe ich den Port von Pi-hole in der Datei /etc/pihole/pihole.toml auf Port 81 gesetzt. Nextcloud ist unter 192.168.178.50 aufrufbar, Pi-hole unter 192.168.178.50:81/admin/login. So weit, so gut.

Nun das Problem:

WireGuard scheint nicht zu funktionieren. Weder lokale noch Internetadressen lassen sich auf meinem iPhone außerhalb des WLANs aufrufen. Port-Freigabe ist in der Fritzbox korrekt erstellt.

Das WG-Profil auf meinem iPhone habe ich schon x mal geprüft, Log ist auch unauffällig.

2025-07-15 15:44:16.402963: [NET] Interface state was Down, requested Up, now Up

2025-07-15 15:44:16.403056: [NET] Device started

2025-07-15 15:44:16.403283: [NET] Network change detected with satisfied route and interface order [pdp_ip0, utun3]

2025-07-15 15:44:16.404041: [NET] DNS64: mapped XXX to itself.

2025-07-15 15:44:16.404155: [NET] peer(XXX) - UAPI: Updating endpoint

2025-07-15 15:44:16.404399: [NET] Routine: receive incoming v4 - stopped

2025-07-15 15:44:16.404469: [NET] Routine: receive incoming v6 - stopped

2025-07-15 15:44:16.404771: [NET] UDP bind has been updated

2025-07-15 15:44:16.404843: [NET] Routine: receive incoming v4 - started

2025-07-15 15:44:16.404841: [NET] Routine: receive incoming v6 - started

2025-07-15 15:44:16.470263: [NET] peer(XXX) - Received handshake response

2025-07-15 15:44:41.471114: [NET] peer(XXX) - Sending keepalive packet

Testweise habe ich beim Pi-hole die interface listening mode auf "all" statt "local" gestellt, geändert hat sich nichts. Ich betreibe momentan ein Pi-hole und Wireguard auf einem Raspberry Pi 3 und Nextcloud auf einem Raspberry Pi B+, da funktioniert alles tadellos. Die Portfreigabe bei dem alten Pi-hole habe ich in der Fritzbox natürlich deaktiviert.

/etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820

PrivateKey = XXX
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
#iphone
PublicKey = XXX
Endpoint = XXX.XXX:51820
AllowedIPs = 10.8.0.2/32

systemctl status wg-quick@wg0
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
     Loaded: loaded (/usr/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
     Active: active (exited) since Tue 2025-07-15 13:11:49 UTC; 30min ago
       Docs: man:wg-quick(8)
             man:wg(8)
             https://www.wireguard.com/
             https://www.wireguard.com/quickstart/
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
    Process: 1862 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=0/SUCCESS)
   Main PID: 1862 (code=exited, status=0/SUCCESS)
        CPU: 38ms

Ich habe den Eindruck, dass das Problem irgendwo bei WG oder dem DNS selbst liegt. Aber was übersehe ich?

Würde mich über Hilfestellung freuen.

 

[Helge01]

Auf die Schnelle vermisse ich den DNS Eintrag unter [Interface].

Mein Fehler, ist ja die Server Konfiguration.

 

[Blutomen]

Warum nutzt du nicht einfach die WG Funktion der Fritz!Box und verbindest dich damit?
Sofern nötig, kannst du die Verbindung auch nur auf den einen Client beschränken.

 

[user3402]

Warum nutzt du nicht einfach die WG Funktion der Fritz!Box und verbindest dich damit?

Das wäre natürlich auch eine Option. Habe ich aus Gewohnheit bisher nicht in Erwägung gezogen und weil ich mir nicht sicher bin, ob es dadurch Performance-Einbußen gibt. Habe eine 7590, falls das wichtig ist. Werde ich bei Gelegenheit testen.

 

[wunnI3]

Ich hab gerade kein Ubuntu zur Hand, aber ist eth0 deine LAN-Schnittstelle?

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Wenn du daran nichts gedreht hast, ist es in der Regel sowas wie ens* oder enp* .

 

[Helge01]

Wie von @wunnI3 schon geschrieben solltest du überprüfen wie deine Schnittstelle (ifconfig) bezeichnet ist. Unter Ubuntu ist es meist enpXsX.

enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

 

[user3402]

Danke für den Einwurf bezüglich der Schnittstelle. War tatsächlich enp1s0, habe ich geändert.

Ich komme außerhalb meines WLANs jetzt zumindest auf meine Nextcloud und auf die Admin-Oberfläche vom Pi-hole, nicht aber auf meine FritzBox (192.168.178.1) oder ins Internet.

 

[wunnI3]

Edit: Hier stand Quatsch.

Stichwort AllowedIPs: Was ist da bei deiner Client-.Config angegeben? Nur das 10.8.0.0-Netz oder auch 0.0.0.0/0 (ggf ::/0 für IPv6), um alles durch den Tunnel zu leiten?

 

[user3402]

Funktioniert mit den AllowedIPs leider immer noch nicht.

Und komischerweise kann ich mich jetzt auch nicht mehr ssh verbinden.

ssh: connect to host 192.168.178.50 port 22: Connection timed out

Auch nach einem Neustart des mini PCs nicht mehr.

Vielleicht setz ich das Ding nochmal neu auf und nutze die integrierte Funktion für WG in der Fritzbox. Keine Ahnung wo das Problem ist.

 

[wunnI3]

@user3402 : Ich hatte es erst falsch beschrieben. Deine Server-WG-AllowedIPs war schon richtig. Wenn du es dort geändert hast, routet der gerade Mist. Sorry, hab etwas gepennt.

Schaust du nochmal in deine Client-Config, was dort in AllowedIPs steht?

 

[user3402]

Kein Ding, ist/war sowieso kein produktives Setup.

Auf meinem iPhone sieht die Config so aus:

 

[wunnI3]

Danke, Also haben wir ein routing-Problem, denn das scheint zu passen.

Spontane erste Fragen:

• net.ipv4.ip_forward ist an? (Prüfen mit "sysctl net.ipv4.ip_forward" )
• Firewall (z.B. ufw vorhanden bzw aktiv und könnte dazwischenfunken?)

 

[user3402]

Ich meine ip4 forwarding war aktiviert, aber kann jetzt auch nicht mehr nachgucken. Hast du ne Idee wie ich mich wieder via ssh mit dem Ding verbinden kann? Ansonsten setz ich das Ding morgen noch mal in Ruhe frisch auf.

 

[wunnI3]

Direkt am Rechner geht gerade nicht? Du müsstest wireguard mal stoppen, dass die AllowedIP-Einstellung wieder zurückgesetzt werden kann.

Per SSH übers VPN sollte sonst gehen, sofern der SSH-Daemon auf allen Interfaces lauscht.

 

[user3402]

Vielleicht setz ich das Ding nochmal neu auf und nutze die integrierte Funktion für WG in der Fritzbox.

Wollte nur mal kurz rückmelden, dass ich meinen Plan jetzt so umgesetzt habe. Funktioniert wunderbar, ich frage mich warum ich das nicht eher so gemacht habe. Hätte mir viel Zeit und Kopfzerbrechen erspart.

Danke für diesen Denkanstoß und eure Hilfe.