WireGuard, Speedport und SMB

[Phlyton]

Hi, ich komme mal wieder mit einer Netzwerkfrage, nachdem ich einfach nicht mehr weiterkomme. Der Speedport ist jedenfalls doof. Das wisst ihr und ich weiß es nach unzähligen google ergebnissen nun auch. Naja aber ich habe ihn halt jetzt rumstehen und er muss jetzt...

Also, zur Situation: Habe mich etwas mit VPN beschäftigt, da ich von Unterwegs auf mein Heimnetz zugreifen möchte. ( hatte hier zwecks SSH, bzw SFTP gefragt - und das läuft auch, das funktioniert nur halt extrem langsam, also SFTP ist mega langsam... )

Jetzt habe ich herausgefunden, dass der SpeedPort WireGuard VPN unterstützt. Hatte mir das einfacher vorgestellt, nämlich so: man verbindet sich per Android App von Wireguard direkt mit dem VPN Server ( der VPN Server wäre ja in dem Fall der Speedport, oder?) Und ist dann quasi im Heimnetz. Nun, soweit funktioniert die Verbindung auch, auch der DynDNS Service klappt. Wenn ich ganz einfach eine Seite im Internet aufrufe, zeigt sie mir die WAN IP des SpeedPorts an.

aber nun das Problem: Ich komme auf keine einzige Dateifreigabe,
1. nicht auf meine SMB Shares die ich in Windows freigegeben habe. Also über Dateimanager+ z.B. oder die Android-interne Networkstorage integration. Dort habe ich meinen PC als Freigabe hinterlegt und dachte sobald ich mit dem VPN verbunden bin müsste ich da draufkommen, als wäre ich im Lokalen Netz.
2. nicht auf den "netzwerkspeicher" den man direkt per USB mit dem Speedport verbinden kann.
( ich kann den Netzwerkspeicher des Speedports auch nur über SMBV1 erreichen, das ich extra enablen musste, von daher würde ich es sowieso nicht nutzen wollen, aber als ein POC wäre es nett wenn es ginge...)

Ich habe das jetzt so verstanden, dass hier zwei verschiedene Subnetze aufgebaut werden, das 192.168.2.0/24 und das 100.200.200.0/24 - deshalb habe ich in der Defender Firewall dieses Subnetz hinzugefügt

Ich habe in der Config-Datei von WireGuard auch schon versucht den Addressbereich einfach auf 192.168.2.0/24 zu ändern, aber dann hat gar nichts mehr funktioniert.

Frage ist halt jetzt: Stelle ich mich blöd an oder sind es die anderen?

wie immer bin ich sehr dankbar für eure Tipps und hinweise

 

[Brati23]

Kannst Du mit Deinem Telefon über das Mobile Netz (WLAN aus) Deinen Router erreichen?
Ich musste im Defender nichts freigeben um die shares usw. zu sehen.

 

[Malaclypse17]

Was steht denn in der vom Router generierten Client Config drin? (Drauf achten die Schlüssel wegzulassen oder zu zensieren).

 

[Phlyton]

Ja komme von unterwegs auf 192.168.2.1 falls du das meinst 👍

Ergänzung (29. Juli 2023)

Was steht denn in der vom Router generierten Client Config drin? (Drauf achten die Schlüssel wegzulassen oder zu zensieren).

[Interface]
PrivateKey = 2KgKxRf6 REDACTED XAGTgXw=
Address = 10.200.200.1/24
DNS = 192.168.2.1

[Peer]
PublicKey = EaiWj9eB+v. REDACTED yzsXVODaCU=
PresharedKey = prMJAc5 REDACTED fd3rZRXFc+M=
AllowedIPs = 192.168.2.0/24
Endpoint = DYNDNSDOMAIN:53280
PersistentKeepalive
= 21

 

[Renegade334]

[Interface]
PrivateKey = 2KgKxRf6 REDACTED XAGTgXw=
Address = 10.200.200.1/24
DNS = 192.168.2.1

[Peer]
PublicKey = EaiWj9eB+v. REDACTED yzsXVODaCU=
PresharedKey = prMJAc5 REDACTED fd3rZRXFc+M=
AllowedIPs = 192.168.2.0/24
Endpoint = DYNDNSDOMAIN:53280
PersistentKeepalive
= 21

Nun, soweit funktioniert die Verbindung auch, auch der DynDNS Service klappt. Wenn ich ganz einfach eine Seite im Internet aufrufe, zeigt sie mir die WAN IP des SpeedPorts an.

Das wundert mich gerade etwas. Nach der Config wäre ich davon ausgegangen, dass nur Traffic zu 192.168.2.0/24 getunnelt wird und nicht der zum Internet.

Im Client und Server ist auch jeweils das Heimnetz eingetragen (also nicht nur am Server oder nur im Client)?
Hast du es schon mit der IP oder dem FQDN getestet, oder nur mit den NetBios Namen?

Ansonsten würde ich testweise auch mal die Windows Firewall am PC zuhause ausmachen um das als Problem auszuschließen.

 

[Phlyton]

Hast du es schon mit der IP oder dem FQDN getestet, oder nur mit den NetBios Namen

Ja IP Adresse habe ich probiert, also die Heimnetzwerkadresse - nicht erreichbar. Ping ist auch nicht möglich, also ich kann die 100.200.200er Adresse nicht anpingen, müsste ja portunabhängig sein da ping zu layer 3 gehört.

Und hilf mir mal bitte im Verständnis zu fqdn: in meinem Fall ist mein Rechner ja in der workgroup und nicht in einer Domäne also ist der fqdn rechnername.workgroup ?

Ergänzung (29. Juli 2023)

Ich musste im Defender nichts freigeben um die shares usw. zu sehen

Wie sieht denn deine config Datei aus?

 

[Pete11]

Bei mir funktioniert der Zugriff auf die Freigaben meines Rechners zuhause mit dem CX File Explorer auf meinem Android Handy über Wireguard (Wireguard App auf Handy, Wireguard in meiner Fritzbox zuhause). Mit dem CX File Explorer kann ich auf Dateien zugreifen und bearbeiten.

 

[Brati23]

Wie sieht denn deine config Datei aus?

Ist ein wenig speziell sonst hätte ich Dir die config gerne zur Verfügung gestellt. Aber bei mir ist ein Site to Site VPN nach dieser Anleitung eingerichtet.
Dabei sehe ich die Freigaben in beiden Netzwerken. Ohne Defender Freigabe.

 

[Bob.Dig]

Zum Testen einfach mal die Windowsfirewall komplett deaktivieren.

 

[Uridium]

Poste mal die Topologie deines Netzwerkes mit den IP Adressen, bzw. welche der Windowsrechner (mit smb) hat. Vermutlich ist er dem wg client nicht bekannt.

 

[Phlyton]

Poste mal die Topologie deines Netzwerkes mit den IP Adressen, bzw. welche der Windowsrechner (mit smb) hat. Vermutlich ist er dem wg client nicht bekannt.

also "normale" heimnetz-Stern topologie, läuft quasi alles über den im Router eingebauten Switch. Ich habe zwei Computer mit windows freigaben, desktop und laptop, plus ein Handy - wenn die geräte alle im heimnetz sind können sie auf die freigaben problemlos zugreifen. ist ein standard 192.etc.../24 Netz

genau, wie gesagt ich dachte ich müsste ja den wg client, wenn er verbunden ist, vom Desktop aus zumindest mit PING erreichen können? Ich dachte Ping geht über subnetze hinweg, wenn sie mit demselebn Router verbunden sind.

 

[Uridium]

Ein Diagramm (z.B. via draw.io) wäre hilfreich. Die notwendigen Daten sind unvollständig und widersprüchlich.

 

[Pete11]

@Phlyton
Mit welchem Gerät willst Du eigentlich von unterwegs auf Dein Heimnetz zugreifen - Windows-Laptop oder Android-Handy oder iPhone oder iPad? Je nachdem gibt es unterschiedliche Vorgehensweisen.
Insofern wäre ein "Diagramm" schon nützlich.

 

[riversource]

Macht der Speedport NAT für die VPN Clients oder routet er vollwertig? Wenn er NAT macht, dann hat sich die Problematik mit dem zusätzlichen IP-Netz von vornherein erledigt, denn dann kommen die Anfragen von der IP des Routers beim Windows an.

 

[Phlyton]

@Phlyton
Mit welchem Gerät willst Du eigentlich von unterwegs auf Dein Heimnetz zugreifen - Windows-Laptop oder Android-Handy oder iPhone oder iPad? Je nachdem gibt es unterschiedliche Vorgehensweisen.
Insofern wäre ein "Diagramm" schon nützlich.

Ja wie gesagt. Von meinem Android Handy. Ich habe mir, wie in der Anleitung beschrieben, die Android App von WireGuard runtergeladen und den QR Code gescannt, der vom Speedport generiert wird nachdem man VPN mit WireGuard aktiviert. Da gibt es auch nichts zum Einstellen - das ist eine An oder Aus Geschichte.

Ich hab mal versucht nach bestem Wissen ein Diagramm aufzuzeichnen, ich verstehe halt nicht so genau was dieses 10.200.200.1/24 Subnetz genau ist - und warum mein Handy nicht im 192.168.2.1/24 ist, nachdem es mit dem vpn verbunden ist. Außerdem wird das Gerät auch nicht unter "Verbundene Geräte" im Speedport angezeigt.

Macht der Speedport NAT für die VPN Clients oder routet er vollwertig?

Das kann ich nicht beantworten. Ich habe im Handbuch mal nach NAT gesucht, und es gibt genau einen Treffer:

 

[Pete11]

Ich habe mir, wie in der Anleitung beschrieben, die Android App von WireGuard runtergeladen

Zusätzlich brauchst Du auf dem Handy eine App, mit der Du auf die freigegebenen Daten Deines PCs und Deines Laptops zugreifen kannst. Bei mir funktioniert das wie oben erwähnt mit der App "CX Datei Explorer".

Dann zuerst auf dem Handy die Wireguard-App starten, danach CX Datei Explorer. Im CX Datei Explorer im Menü "+" > Remote > Lokales Netzwerk die IPv4 Adressen im Heimnetz von PC und Laptop eingeben (192.168.0.xxx beim Speedport).

 

[Phlyton]

Zusätzlich brauchst Du auf dem Handy eine App, mit der Du auf die freigegebenen Daten Deines PCs und Deines Laptops zugreifen kannst. Bei mir funktioniert das wie oben erwähnt mit der App "CX Datei Explorer".

Ja, das ist ja soweit schon alles eingerichtet. Wenn mein Handy über WLAN im Heimnetz ist, habe ich ganz normal Zugriff auf die SMB Freigaben. Neue Versionen von Android haben diese Funktion übrigens direkt mit in den Filemanager integriert, allerdings nur ab SMB version 2, was aber kein Problem darstellt. Ich fahre jetzt in den Urlaub und muss mir das nochmal anschauen wenn ich wieder da bin.

 

[Pete11]

Wenn Du noch zuhause bist und das WLAN Deines Handys ausschaltest - also Datennutzung nur über Mobilfunk - dann kannst Du das mit Wireguard testen, wie wenn Du schon im Urlaub wärst.

Nachtrag:
hast Du eigentlich das Problem gelöst, wie Du aus dem Urlaub Deinen PC und den Laptop zuhause einschaltest? Ist da jemand, der das per Zuruf macht oder läßt Du die durchlaufen?

 

[Bob.Dig]

ich verstehe halt nicht so genau was dieses 10.200.200.1/24 Subnetz genau ist - und warum mein Handy nicht im 192.168.2.1/24 ist, nachdem es mit dem vpn verbunden ist.

Vermutlich haben die Speedports das nicht so "elegant" gelöst wie die Fritzboxen, dafür hatten sie Wireguard schon Jahre früher.

 

[Malaclypse17]

Vermutlich haben die Speedports das nicht so "elegant" gelöst wie die Fritzboxen

Eigentlich lösen es die Fritzboxen eher "unelegant" es ist normal, dass das VPN-Netz ein anderes ist und einfach in das LAN geroutet wird und somit von einander getrennt werden kann, auch mit einem Regelwerk.
Es gibt noch einige Gründe mehr, aber im Grunde liegt es an der eingeschränkten Funktion der Fritzboxen.

Für das eigentliche Problem könnte man mal versuchen, einen PC oder Laptop per mobilen Hotspot zu verbinden und dann über VPN auf Freigaben zuzugreifen, einfach um Android bei diesem Problem auszuschließen.