DD-WRT Router - Probleme mit Pi-Hole und Wireguard

[Sylar]

Hallo,

folgender Aufbau aktuell
DD-WRT Router - 192.168.1.1
Raspberry Pi 1 - 192.168.1.200 (inkl. Pi-Hole und Wireguard)

Pi-Hole funktioniert im LAN derzeit problemlos. Alle meine Clients werden von Werbung befreit. Jetzt möchte ich wieder via Wireguard das selbe auch am Smartphone haben, wenn ich unterwegs bin. Das hat funktioniert, nur habe ich meinen alten ASUS Router durch einen Leistungsstärkeren Archer C9 mit DD-WRT ersetzt. Mit dem ASUS hat es funktioniert.

Wenn ich Wireguard aktiviere, dann gibts die Meldung
"Handshare did not complete after 5 seconds" in den Logs von Wireguard

Am neuen DD-WRT Router
NAT-> Port-Weiterleitung

Habe schon alle Wireguard profile gelöscht und mehrfach neuerstellt bzw. Einmal mit der user.sh und einmal mit pivpn
Habe diese Anleitungen genutzt
https://www.sigmdel.ca/michel/ha/wireguard/wireguard_02_en.html
https://pimylifeup.com/raspberry-pi-wireguard/

Aber bei beiden kommt immer "Handshare did not complete after 5 seconds" Das hatte ich am Anfang damals auch schon gehabt, aber habe vergessen, wie ich es gelöst habe damals...

Wenn ich Wireguard aktivere, dann geht Internet, aber ich habe trotzdem noch haufenweise werbung. Auf die GUI vom PiHole komme ich vom Smartphone aus auch nicht rauf.

 

[pumuck|]

in DD-WRT wird das Wifi meines Wissens standarmäßig gekapselt, zumindest war das 2008 mal so. Es gibt eine Einstellung Wifi Geräten den Zugang zu erlauben. Dies könnte dein Problem sei.
Die UI sieht immer noch so aus wie vor 15 Jahren krass

 

[Sylar]

Was hat das jetzt mit dem WLAN zu tun?
Ich will ja vom Smartphone aus via VPN auf mein Netzwerk zugreifen bzw. Pi-Hole nutzen.

Ja die Oberfläche hat sich kaum geändert bei DD-WRT. Aber das ist ja das geile daran, da weiß man gleich wohin man muss. Sowie die vielen Funktionen, die ein normaler Router gar nicht mehr anbietet. Aber dafür auch recht komplex beim konfigurieren.

 

[Raijin]

Wenn ich Wireguard aktivere, dann geht Internet

Hm.. Der Teufel steckt im Detail. Am Smartphone "geht Internet" ggfs über Mobilfunk, wenn das VPN nicht funktioniert. Du musst erstmal gesicherte Informationen sammeln, um das korrekt beurteilen zu können. Lade dir mal am Smartphone eine IP-Scanner App runter, die auch eine Trace-Funktion bietet. Auf meinem Firmen-iPhone habe ich mir irgendwann mal "iNetTools" runtergeladen und auf meinem privaten Android habe ich "NetX (Pro)". Dort einen Trace auf zB 8.8.8.8 starten und gucken ob die Verbindung über Mobilfunk geht oder über das VPN.

Die Fehlermeldung mit dem Handshake deutet aber für mich eher darauf hin, dass die VPN-Verbindung als solche überhaupt nicht zustande kommt. Dann wird's natürlich auch nix mit pihole via VPN, weder GUI noch DNS.

 

[Sylar]

Aktuell geht gar nix mehr...nachdem ich den Client am Server gelöscht habe...
Ein Trace hat auch nicht funktioniert. Der kommt nicht mal zum 1. Hop, wenn ich mich erinnere.

Ich dachte durch den Router wechsel, wurde mein Wireguard blockiert.
Was mich wundert. Ich habe einen PortScanner laufen lassen auf meine WAN IP und da taucht der Port nicht auf.
Im weiteren hab ich mir mal pivpn etwas angeschaut und da ist mir ganz unten das aufgefallen:

Nach einem erneuten pivpn -d hat sich nichts geändert.

pi@raspberrypi:~ $ pivpn -d
::: Generating Debug Output
::::            PiVPN debug              ::::
=============================================
::::            Latest commit            ::::
commit XXXXXX
Author: Orazio <orazioedoardo@users.noreply.github.com>
Date:   Wed Nov 4 11:45:36 2020 +0100

    Update LatestUpdate.md
=============================================
::::        Installation settings        ::::
PLAT=Raspbian
OSCN=buster
USING_UFW=0
IPv4dev=eth0
dhcpReserv=1
IPv4addr=192.168.1.200/24
IPv4gw=192.168.1.1
install_user=pi
install_home=/home/pi
VPN=wireguard
pivpnPORT=53133
pivpnDNS1=10.6.0.1
pivpnDNS2=
pivpnHOST=REDACTED
INPUT_CHAIN_EDITED=0
FORWARD_CHAIN_EDITED=0
pivpnPROTO=udp
pivpnDEV=wg0
pivpnNET=10.6.0.0
subnetClass=24
UNATTUPG=1
INSTALLED_PACKAGES=(iptables-persistent raspberrypi-kernel-headers wireguard-tools wireguard-dkms qrencode unattended-upgrades)
=============================================
::::  Server configuration shown below   ::::
[Interface]
Address = 192.168.99.1/24
ListenPort = 51820
PrivateKey = XXXXXX/XXXXXX
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
=============================================
::::  Client configuration shown below   ::::
[Interface]
PrivateKey = xiaomi_priv
Address = 10.6.0.2/24
DNS = 10.6.0.1

[Peer]
PublicKey = server_pub
PresharedKey = xiaomi_psk
Endpoint = REDACTED:53133
AllowedIPs = 0.0.0.0/0, ::0/0
=============================================
::::    Recursive list of files in       ::::
::::    /etc/wireguard shown below       ::::
/etc/wireguard:
configs
keys
params
wg0.conf

/etc/wireguard/configs:
clients.txt
pocox3.conf
xiaomi.conf

/etc/wireguard/keys:
pocox3_priv
pocox3_psk
pocox3_pub
server_priv
server_pub
xiaomi_priv
xiaomi_psk
xiaomi_pub
=============================================
::::            Self check               ::::
:: [OK] IP forwarding is enabled
:: [OK] Iptables MASQUERADE rule set
:: [OK] WireGuard is running
:: [OK] WireGuard is enabled (it will automatically start on reboot)
:: [ERR] WireGuard is not listening, try to restart now? [Y/n] Y
Done
[INFO] Run pivpn -d again to see if we detect issues
=============================================
:::: Having trouble connecting? Take a look at the FAQ:
:::: https://github.com/pivpn/pivpn/wiki/FAQ
=============================================
:::: WARNING: This script should have automatically masked sensitive       ::::
:::: information, however, still make sure that PrivateKey, PublicKey      ::::
:::: and PresharedKey are masked before reporting an issue. An example key ::::
:::: that you should NOT see in this log looks like this:                  ::::
:::: XXXXXX::::
=============================================
::::            Debug complete           ::::
:::
::: Debug output completed above.
::: Copy saved to /tmp/debug.log

Habe noch dann was gefunden im Web

pi@raspberrypi:~ $ sudo dpkg-reconfigure wireguard-dkms

------------------------------
Deleting module version: 1.0.20210219
completely from the DKMS tree.
------------------------------
Done.
Loading new wireguard-1.0.20210219 DKMS files...
It is likely that 5.10.103+ belongs to a chroot's host
Building for 5.10.103+, 5.10.103-v7+, 5.10.103-v7l+ and 5.10.103-v8+
Building initial module for 5.10.103+
Error!  The dkms.conf for this module includes a BUILD_EXCLUSIVE directive which
does not match this kernel/arch.  This indicates that it should not be built.
Skipped.
Building initial module for 5.10.103-v7+
Error!  The dkms.conf for this module includes a BUILD_EXCLUSIVE directive which
does not match this kernel/arch.  This indicates that it should not be built.
Skipped.
Building initial module for 5.10.103-v7l+
Error!  The dkms.conf for this module includes a BUILD_EXCLUSIVE directive which
does not match this kernel/arch.  This indicates that it should not be built.
Skipped.
Module build for kernel 5.10.103-v8+ was skipped since the
kernel headers for this kernel does not seem to be installed.

Werde morgen mal es mir genauer anschauen, aber vielleicht hast ja eine Idee dazu...Im schlimmsten Fall, wird der Pi neu aufgesetzt

 

[Sylar]

Habe alle clients, configs etc. gelöscht und wireguard neuinstalliert.
Diesmal mit "pivpn" den Client erstellt und es geht wie gewünscht mit PiHole.