Syno VMM - Debian11 - Wireguard - kein Internet :(

Dok-Tore

Cadet 4th Year
Registriert
Aug. 2011
Beiträge
80
Hallo Zusammen,

ich habe seit längerem OpenVPN über den VPN Server laufen aber mich interessiert Wireguard und die angepriesene Bandbreite.

Ich habe auf meiner Syno 920+ eine VMM mit Debian „Bulleseye“ aufgesetzt und Wireguard installiert. Das klappt soweit ganz gut.

192.168.10.1 = InternetRouter = Fritz!Box 7590
192.168.10.10 = Server = synology DS920+
192.168.10.240 = VMM Debian Bulleseye

Wireguard spannt das Netz 10.168.10.0/24 auf.
10.168.10.1 = Wireguard Server
10.168.10.2 = iphone Client

VPN wird via Wireguard App aufgebaut.

Ich kann vom client alles anpingen (Fritz!Box, Synology usw.). Entgegensetzt also vom Server auch.

Leider komme ich aber nicht ins www ;( - Kann
mir dazu jemand Rat geben:

* Server *
[Interface]
Address = 10.168.10.1/24
ListenPort = 37999
PrivateKey = MeinPrivateKey=
PostUp = echo 1 > /proc/sys/net/ipv4/ip_forward; iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = echo 0 > /proc/sys/net/ipv4/ip_forward; iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

[Peer]
# iPhone
PublicKey = MEINPublicKey
PresharedKey = MeinPSKey=
AllowedIPs = 10.168.10.2/32
PersistentKeepalive = 25

* Client *
[Interface]
Address = 10.168.10.2/24
ListenPort = 37999
PrivateKey = MeinPrivateKey=
DNS = 192.168.10.214

[Peer]
PublicKey = MeinPublicKey=
PresharedKey = MeinPSKey=
AllowedIPs = 0.0.0.0/0
Endpoint = nas.meinedyndns.de:37999
PersistentKeepalive = 25

Ich komme da leider aktuell nicht weiter…

Braucht ihr mehr Info? Oder hat jemand so schon den ultimativen Tip?

viele Grüsse

Huhie
 
schau mal mit "ip a" im terminal welchen namen das wireguard interface hat und ändere die zeilen -i %i auf -i interfacename
 
Zuletzt bearbeitet:
Passt das Interface für's NAT im PostUp? Sonst läuft der Rückweg vor die Wand.
Edit: Quatsch, muss ja. Sonst könnest du die Fritze nicht pingen. Dann bin ich erstmal ratlos :-(
 
@Holzkopf
Ich denke schon, da sonst ja der VPN Tunnel nicht aufgebaut werden würde und der Ping in alle Richtungen auf“List“ gehen würde oder?

@DonConto
Nach Aufruf von show addr ip wird ens3 mit
meiner debian IP angezeigt, also 192.168.10.240.

Portfreigabe in der Fritte UDP 37999 an 192.168.10.240 ist auch aktiviert
 
Auf der 192.168.10.214 läuft ein PiHole dahinter kommt unbound und dann weiter ins Internet

Der PiHole lauscht auf allen Kanälen.

Ich habe den DNS auch schon auf 192.168.10.1 also Fritz!Box gehabt. Selbes Resultat. Interne Kommunikation läuft - nach Extern keine Chance :(
 
Nein das klappt leider nicht. Da ist dann alles “lost“
 
Ich mache das quasi genauso, aber mit dem Wireguard-Dockerimage linuxserver.io. Das funktioniert bei mir out-of-box absolut problemlos. Klar, kein Beitrag zur Problemlösung, aber vielleicht eine simple Alternative :)
 
@burglar225 Hast du das per docker-composite installiert?
 
Dok-Tore schrieb:
Portfreigabe in der Fritte UDP 37999 an 192.168.10.240 ist auch aktiviert
Ich glaube auch das dort die Fehlerursache liegen könnte, laut wiki kann Wireguard kein TCP sondern nur UDP.

Nachtrag, ich weiß nicht ob das hilft, aber auf der Seite werden weitere Ports aufgelistet. https://avm.de/service/wissensdaten...126_Firewall-fur-FRITZ-Fernzugang-einrichten/

So wie es aussieht geht das nur mit der Aktuellen Testversion von FritzOS auf der Fritzbox. https://stadt-bremerhaven.de/avm-fritzbox-bekommt-wireguard-integration/
 
Zuletzt bearbeitet:
@Linuxfreakgraz: Das ist ja Unsinn, die VPN Verbindung an sich funktioniert ja schon. Außerdem braucht man das FritzOS Image nur, wenn man den WG Server auf der Fritz betreiben will. Für WG Server dahinter reicht jedes verfügbare FritzOS, denn dafür braucht man nur eine Portfreigabe.

Der erste Schritt ist ein traceroute vom VPN Client aus. Wie weit kommen die Pakete ins Internet? Danach wirst du es mit tcpdump analysieren müssen. Wenn du einen Ping vom VPN Client absetzt: Was kommt in der VMM Debian Bulleseye an und was geht wieder raus, was kommt in der synology an und geht wieder raus? Achte dabei vor allem auf die Quell- und Zieladressen.
 
  • Gefällt mir
Reaktionen: Linuxfreakgraz
@Holzkopf

Vielen Dank für Deine Erklärung:

Kurz zu Deinem Post von vorhin - alles was -A ist auf -D ?
PostDown = echo 0 > /proc/sys/net/ipv4/ip_forward; iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Ich habe gerade versucht tcpdump zu installieren. Dabei ist aufgefallen, dass die vmm irgendwie kein Kontakt mehr zu Aussenwelt hat. Das ist irgendwie komisch, denn gestern lief das ja noch bei der Installation von Wireguard.

Dann habe ich einen Ping vom Server in Richtung der Aussenwelt versucht und festgestellt, das alles "LOST" ist.

ip Route ergibt folgendes:

Code:
root@vmm-debian:~# ip route
default via 192.168.10.1 dev ens3
10.168.10.0/24 dev wg0 proto kernel scope link src 10.168.10.1
192.168.10.0/24 dev ens3 proto kernel scope link src 192.168.10.240

Erklärung:
192.168.10.1 = Fritz!Box
192.168.10.240 = vmm-debian
10.168.10.1 = vmm-debian

Traceroute vom Client ergibt:

IMG_5316.JPEG


Kann das was mit den iptables zu tun haben? "iptables" habe ich installiert. Dagegen "nftables" deinstalliert.

Anscheinend funktioniert ja die Übergabe an das 192.168.10. Netz nicht richtig oder sehe ich das falsch?

Kannst Du mir da helfen?

viele Grüße

Dok-Tore
 
Schau doch die iptables Regeln mal nach, die momentan aktiv sind (iptables -t <table> -L)

Was ich mir vorstellen könnte: Durch die falschen Regeln im PostDown sind iptables Regeln mehrfach angelegt worden und funktionieren nicht mehr wie vorgesehen. Die Postdown Regeln solltest du dir in den Howtos noch mal ansehen, damit sichergestellt ist, dass sie richtig übertragen wurden. Im Moment sind sie definitiv falsch.
 
Guten Abend Zusammen,

ich habe den debian Server neu aufgesetzt und nun läuft es einwandfrei. Ich habe den Fehler in den iptables leider nicht gefunden...

Danke für eure Unterstützung!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DonConto und Linuxfreakgraz
@burglar225

Ich meinte natürlich Docker-Compose 😂 (kack T9)

Setzt Du die Docker Container mit Macvlan auf? Also eigene IP Adresse?

Linuxserver.io sieht ja ganz nett aus…
 
Zurück
Oben