WireGuard, Speedport und SMB

[Phlyton]

hast Du eigentlich das Problem gelöst, wie Du aus dem Urlaub Deinen PC und den Laptop zuhause einschaltest? Ist da jemand, der das per Zuruf macht oder läßt Du die durchlaufen?

Ja, ich habe über das BIOS eine Feste Zeit zum Hochfahren aus S5 und einen Scheduled Task der den Computer aus dem Schlafmodus weckt noch einmal am Abend. Also der Task weckt ihn tagsüber dann nicht wenn ich herunterfahre. Über ssh kann ich ihn herunterfahren oder in den Schlafmodus versetzen. Somit ist er quasi Nachts aus. Also eine zusammengeschusterte Sache... Habe noch nicht herausgefunden, wie das mit dem Magic Packet Wake On Lan eig. funktioniert.

Für das eigentliche Problem könnte man mal versuchen, einen PC oder Laptop per mobilen Hotspot zu verbinden und dann über VPN auf Freigaben zuzugreifen, einfach um Android bei diesem Problem auszuschließen.

Habe ich tatsächlich gerade geamcht, und es klappt tatsächlich, allerdings nur in eine Richtung. Also:

PC im 192er Netz
Laptop per Wireguard über HotSpot vom Handy, im 10er Netz.

Mit dem Laptop komme ich auf die Freigaben, wie gewünscht.
Die Freigaben des Laptops interessieren mich in dem Fall ohnehin nicht.

Nochmal für mein Verständnis: Die Windows Firewall Regel für inbound File and Printer Sharing (SMB in) - da ist bei local Address Any eingetragen. Das 10.200.200.0/24 er Netz ist ein lokales Netz, somit brauche ich zu der Any Regel dieses nicht extra hinzufügen.

 

[riversource]

Eigentlich lösen es die Fritzboxen eher "unelegant" es ist normal, dass das VPN-Netz ein anderes ist und einfach in das LAN geroutet wird und somit von einander getrennt werden kann, auch mit einem Regelwerk.

Grundsätzlich stimme ich da zu, aber wenn man auf ein Windows System zugreifen will, dann ist die AVM Lösung tatsächlich vorteilhaft. Aber im Grunde bin ich bei dir, für alle anderen Fälle bevorzuge ich auch ein dediziertes Transportnetz für VPN.

Nochmal für mein Verständnis: Die Windows Firewall Regel für inbound File and Printer Sharing (SMB in) - da ist bei local Address Any eingetragen. Das 10.200.200.0/24 er Netz ist ein lokales Netz, somit brauche ich zu der Any Regel dieses nicht extra hinzufügen.

10.200.200.0/24 ist ein lokales Netz, aber ob es das lokale Netz ist, das Windows in den Anfragen erwartet, das wage ich zu bezweifeln. Da vermute ich eher, sie erwarten die Anfrage aus einem zugewiesenen Subnetz der lokalen Netzwerkadapter.

Habe ich tatsächlich gerade geamcht, und es klappt tatsächlich, allerdings nur in eine Richtung.

Das deutet auf NAT im Speedport hin.

 

[Uridium]

Das Netz könnte so aussehen. Dann ist dem Handy das 192.168.2.0/24 Netz nicht bekannt und bräuchte eine zusätzlich definierte 'Route' über das wg-Netz (normalerweise könnte das der Android wg Client machen).

Dass Internet über wg geroutet wird, könnte an einer individuellen (falschen) Clientkonfiguration liegen, die 192.168.2.1 (ausschließlich) als Gateway setzt. Dann müsste zumindest dahin ein Ping funktionieren.

Aber immer noch reine Vermutung... es fehlen nach wie vor obligatorische Daten.
Daher: Bitte die Daten aus dem Android WG-Client posten. Screenshots wären nett.

(Das PNG unten kann direkt in draw.io zur Weiterbearbeitung/Korrektur geladen werden)
Die externe IP des Handys fehlt, da unbekannt. Ist momentan auch nicht wichtig.

 

[riversource]

Das Netz könnte so aussehen. Dann ist dem Handy das 192.168.2.0/24 Netz nicht bekannt und bräuchte eine zusätzlich definierte 'Route' über das wg-Netz (normalerweise könnte das der Android wg Client machen).

Genau, über die Allowed IPs.

Dass Internet über wg geroutet wird, könnte an einer individuellen (falschen) Clientkonfiguration liegen, die 192.168.2.1 (ausschließlich) als Gateway setzt.

Das müsste dann aber auch über die Allowed IPs erfolgen, denn woher sollte die Route sonst kommen?

 

[Uridium]

'Allowed IPs' ist erst mal nur eine Serveroption. Ob der Client entsprechend konfiguriert wurde, wissen wir (noch) nicht. Ich gehe mal davon aus, dass er den Client manuell konfiguriert hat. Und da kann jetzt alles mögliche drin stehen.
Edit: Moment, hast recht. 'Allowed IPs' ist auf dem Client separat vorhanden (und definiert das tun0 Subnet).

 

[Phlyton]

Also ich hatte ja oben mal die konfig getestet, du hast recht, ich habe laut dieser anleitung
https://dzhome.de/speedport-smart-4-vpn-und-wie-man-wireguard-beschleunigt/

die AllowedIPs manuell bearbeitet.

Aber, das spielt keine Rolle, weil die Konfigurationsdatei, so wie sie "vanilla" per QR Code kommt, dasselbe Ergebnis bringt.

0.0.0.0/0 heißt any. Ich komme aber ja auch mit diesem geänderten Eintrag auf 192.168.2.1, also auf den router in diesem 192 Netzwerk und es gibt keinen nachvollziehbaren Grund, nicht auf die Netzwerkfreigaben zu kommen.
wie auch immer, es ist august und ich hab jetzt urlaub.

Ergänzung (30. Juli 2023)

wer kennt dieses haiku?

 

[Uridium]

Wenn dein WG Netz am Handy aber keine 192.168.2.0/24 IP hat (wovon ich stark ausgehe), dann kann der Server, der ja durch seine (server-side) 'Allowed IPs' keine anderen IPs ansprechen darf, dich nicht erreichen. Der Traffic würde quasi nur in eine Richtung fließen.

 

[Bob.Dig]

@Uridium Ne, mit WG scheinst Du dich nicht wirklich auszukennen.

 

[Uridium]

Ja, kenne ich mich auch nicht. Bei mir hat es immer sofort funktioniert. Ich trau mich auch gar nicht mehr zu fragen, wie die Serverkonfiguration aussieht. Die Daten sind inkomplett und man kann nur raten. Die Server AllowedIPs sollten die IPs des äußeren und inneren Tunnels haben.

 

[Bob.Dig]

Wenn TE die 0.0.0.0/0 auf dem Smartphone drin hat, dann geht ja eh alles durch den Tunnel. Auf dem Router muss nur die Tunnel-IP des Smartphones drin stehen.

 

[Uridium]

Die Tunnel-IP ist 10.200.200.1 (siehe 1st Post). Wenn er nur die (am Server) angibt, wieso sollte der Server ihn dann auf das 192.168.2.0/24 Netz lassen?
Edit: Wobei wir natürlich nicht wissen, ob AllowedIPs überhaupt definiert ist am Server. Der Wert ist optional.

Ja gut, das ist irrelevant. Die Pakete werden von 10.200.200.0/24 akzeptiert. Was in den Paketen steht, ist egal.

 

[Bob.Dig]

@Uridium Das schrieb ich ja schon. Deswegen, wenn man keine Ahnung hat, einfach nicht in den Thread schreiben. Hier wurde ja schon aktiv beraten von Leuten die Ahnung haben. Du verwirrst den TE nur zusätzlich. Helfen wollen ist nicht gleich helfen können. 0.0.0.0/0 ist ein WireGuard Basic.

 

[Uridium]

Wie Du meinst...

 

[Pete11]

Wenn man eine Verbindung in beide Richtungen braucht, muß man nach
"Site-to-Site-VPN mit WireGuard"
suchen. Die Einrichtung dieses Site-to-Site-VPN ist scheinbar etwas aufwändiger (ich habe das aber noch nicht realisiert).

 

[Bob.Dig]

@Pete11 Ist hier aber nicht gefragt.
Letztlich wurde hier schon alles erwähnt, inwieweit der TE aber die einzelnen Tipps auch umgesetzt hat, ist fraglich.

 

[riversource]

Ein Site-to-Site VPN wird auf NAT verzichten, aber das ist hier eigentlich nicht nötig.

 

[Pete11]

@Pete11 Ist hier aber nicht gefragt.

Da hast Du aber das Thema nicht sorgfältig gelesen. Der TE wundert sich mehrfach, daß er sein Handy aus dem Heimnetz nicht erreicht. Wenn das nach seinem Urlaub noch interessant ist, kann er meinem Hinweis nachgehen.

 

[Bob.Dig]

Da hast Du aber das Thema nicht sorgfältig gelesen.

Habe ich. Das Handy hat nur eine einzige Adresse, dafür reicht die "ganz normale" WG Verbindung völlig aus.