Datenaustausch möglich? IPv4 DSLite

[bul]

Hallo,

ich habe 2 Rechner zwischen denen ich Daten austauschen möchte.
Der eine hat DS-Lite und keine öffentliche IPv4 Adresse.
IPv6 ist an dem Ding auch verhunzt. (Fritzbox 6490 cable nennt für die Kiste eine andere IPv6 als der Rechner für sich selbst)

Der andere Rechner hat nur IPv4 und ist auch aus dem öffentlichen Netz nicht erreichbar.

Bei meinen Eltern ist ein Minirouter mit aktivem OpenVPN-Server und Wireguardserver, denn dort ist die IPv4 von aussen erreichbar.

Ich kann mit beiden Rechnern eine Verbindung zum Wireguard-Server aufbauen und beide erhalten eine 10.0.0.3 bzw. 10.0.0.2 als IP-Adresse.
In meiner dummen Naivität dachte ich, nun könnten die Daten einfach ausgetauscht werden, indem ich auf einem Rechner z.B. ftp://10.0.02 aufrufe (also vom anderen Rechner aus).
Pustekuchen.
IP-Masquerading ist in den Servereinstellungen deaktiviert.

Für einen der Clients sieht die config wie folgt aus (für den anderen entsprechend):
[Interface]
PrivateKey = xxxxxxxxxxxxxxx
Address = 10.0.0.2/24
DNS = 64.6.64.6
MTU = 1420

[Peer]
PublicKey = yyyyyyyyyyy
AllowedIPs = 192.168.2.0/0, ::/1, 8000::/1, 10.0.0.0/8
Endpoint = nonn0d8.glddns.com:51194
PersistentKeepalive = 25

Was mache ich wohl falsch, oder kann das setup so gar nicht funktionieren weil es anders funktioniert als ich mit das vorstelle?

 

[JumpingCat]

Der Zugriff auf die 10er sollte klappen. Das hat auch nichts mit nat zu tun.

Läuft auf dem VPN Server so was wie Client Isolation? Die Netzmaske der clients ist nicht /32? Kannst du die IP anpingen? Läuft der FTP Server auch auf dem Interface? Lässt eine lokale Firewall auch den Verkehr durch das VPN?

 

[Nero FX]

für ftp:// brauchst du einen FTP Server dann sollte es gehen. Mach es ggf. erstmal über das Fritz!Nas da läuft dann ein passender HTTP(S)/FTP Server.

Wenn es auf dem PC sein soll:
z.B: Filezilla FTP Server muss laufen und die Firewall auf dem Rechner eine Freigabe haben.
Wenn du dann per Filezilla (Client) Zugreifst sollte eine Verbindung möglich sein.

 

[chrigu]

Also du verbindest dich mit dem Server bei deinen Eltern und der andere auch und dieser Server hat die ip 10.0.0.1… verbinden über wireguard funktioniert und du kannst unter 10.0.0.1 kommst du bei beiden Anschlüsse direkt auf den Server und dessen Ordner?

 

[up.whatever]

Fritzbox 6490 cable nennt für die Kiste eine andere IPv6 als der Rechner für sich selbst

Das ist richtig so!

 

[bul]

Also ich kann von beiden Clients aus die Verbindung zum Netz meiner Eltern herstellen und unter deren IP-Adresse Surfen. Ich bei denen sogar den FTP-Server dort (Filezillaserver aber nur unter der 192.168.2.100) zugreifen.
In deren Subnetz komme ich also, aber das ist ja nicht das Ziel.

Ich möchte ja direkt zwischen den beiden Clients Daten austauschen.
Portforwarding und Firewalleinstellungen brauche ich ja in diesem Setting eigentlich nirgendwo einzustellen, oder?
Zuhause: Windows mit Filezillaserver und Wireguardclient auf der selben Maschine. Die Firewall wird ja bereits durch den Wireguardclient durchstoßen.

Muss man vielleicht dem Windows-Wireguardclient irgendwie sagen, dass Anfragen von aussen ankommen werden und die Anfragen an das OS weitergegeben werden sollen?

Clientisolation wüsste ich jetzt nicht wo man das einstellen könnte.... So eine Option habe ich nicht im WG-Server. (Der läuft auf einem Minirouter der im LAN der Eltern hängt)


ipconfig auf Rechner 1

Unbekannter Adapter VPN:

Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 10.0.0.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 0.0.0.0

ping zu Rechner 2 auf Rechner 1

C:\Windows\System32>ping 10.0.0.3

Ping wird ausgeführt für 10.0.0.3 mit 32 Bytes Daten:
Antwort von 10.0.0.1: Zielport nicht erreichbar.
Antwort von 10.0.0.1: Zielport nicht erreichbar.
Antwort von 10.0.0.1: Zielport nicht erreichbar.
Antwort von 10.0.0.1: Zielport nicht erreichbar.

Ping-Statistik für 10.0.0.3:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),

Ergänzung (28. September 2024)

Ich frage mich gerade ob man manuell Routenregeln hinzufügen muss?!?
Ich habe nur etwas Bedenken da etwas zu ändern, weil wenn ich mich aussperre muss ich erstmal 70 Kilometer fahren.... Hin und zurück.

 

[chrigu]

Mach doch auf dem Server ein Ordner zum Daten sharen

 

[00Julius]

Ist zwar nicht dein gewünschter Weg, aber ich persönlich würde das auf die Schnelle mit Teamviewer oder Anydesk machen.

 

[bul]

AnyDesk und Teamviewer laufen bereits auf den Rechnern und die nutze ich Aktuell auch um bedarfsweise Daten auszutauschen.
Ich suche eher etwas für eine Dauerverbindung.

Da das mit dem VPN nicht zu klappen scheint, schiele ich jetzt gerade nach Socat um einen IPv4 to IPv6 Wrapper zu installieren, denn ein Rechner (der mit DS-Lite) hat ja eine von aussen erreichbare IPv6 Adresse.

 

[Darkman.X]

ipconfig auf Rechner 1
ping zu Rechner 2 auf Rechner 1

Nur damit wir uns nicht missverstehen:
Du hast in der Windows-Firewall von Rechner 2 auch die Pings freigegeben?
In den Firewall-Einstellungen ist "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend)" dafür zuständig. Und soweit ich in meiner Test-VM sehe, ist die Freigabe selbst im Netzwerkprofil "Privates Netzwerk" deaktiviert --> Pings werden blockiert. Das heißt, du musst die erwähnte FW-Einstellung aktivieren.

In meiner dummen Naivität dachte ich, nun könnten die Daten einfach ausgetauscht werden, indem ich auf einem Rechner z.B. ftp://10.0.02 aufrufe (also vom anderen Rechner aus).

Das gleiche gilt auch mit FTP. Auf dem Rechner, auf dem der FTP-Server läuft (10.0.0.2), muss eine Freigabe in der Windows-Firewall eingerichtet sein. Wenn man einen Dienst für eingehende Verbindungen startet, fragt Windows normalerweise beim 1. Start nach.

Nicht das es jetzt an solch simplen Dingen scheitert...
Oder ich habe das Problem falsch verstanden

 

[bul]

@Darkman.X
schon richtig. Ich denke, ich habe auch alles bei Portfreigaben, Firewalleinstellungen usw. richtig gemacht, denn ohne VPN funktionierts ja.

Einem Post im Herstellerforum zufolge wird der Client to Client Datenaustausch erst noch in einer zukünftigen Firmwareversion implementiert, das erklärt auch wieso es nicht funktioniert.
Ich hielt mich schon für den größten Trottel ever. (Was nicht heisst, dass ich es nicht doch sein könnte )

Ich denke, ich werde einfach warten oder mal mit socat herumspielen.

 

[norKoeri]

Die Frage ist eher, was GL.iNet genau im Firmware-Update ändern will. Ohne Dein Szenario hier zu haben, um es selbst zu testen, aber hast Du über die SSH-Konsole bereits sysctl net.ipv4.ip_forward=1 gesetzt?

 

[bul]

Gerade gemacht. Leider immer noch kein Erfolg....

10.0.0.3 ist von 10.0.0.2 aus gesehen einfach tot! Umgekehrt genau so.
Es ist doch zum Mäusemelken!

Szenario ist eigentlich easy. Ich möchte zwischen zwei Wireguardclients Daten austauschen. also von 10.0.0.x zu 10.0.0.y.

Im Screenshot nicht verwirren lassen, ich hatte den Router irgendwann mal "IPhone" genannt.

 

[chrigu]

Wie genau verbindest du dich mit wireguard? Direkt mit der 10.0.0.x oder über die ip des Provider(wan ip)?

 

[bul]

Meinst du die Adresse des VPN-Servers?
Die ist natürlich die öffentlich erreichbare IPv4-Adresse meiner Eltern.
Vor der Einwahl weiß mein Rechner ja nichts über 10.0.0.x Adressen.