VPN-Verbindung (Router-Firewall)

[francy_space]

Nach langem Hin und Her kann ich nun auf meiner ConnectBox mit meinem Smartphone eine VPN-Verbindung aufbauen. Mit Wireguard. Allerdings nur, wenn ich im Router die Firewall deaktiviere. Ich will das meine Firewall auf dem Router an ist. Weißt du, auf was ich mich fokussieren sollte, um dieses Problem zu beheben? Soll ich mich in Wireshark einarbeiten, oder Firewalls seperat mir anschauen?

 

[nciht]

Hast du in der Firewall die entsprechenden Ports freigegeben?

 

[IBISXI]

Was für ein Router Modell hast Du?

 

[francy_space]

meinst du die firewall auf dem router, oder die auf dem vserver? auf beiden habe ich den port 1194 freigegeben.

Ergänzung (7. August 2020)

connectbox (unitymedia). ds-lite router.

 

[KillerCow]

auf beiden habe ich den port 1194 freigegeben

Ist der Port auch bei wireguard konfiguriert? Die 1194 wird nämlich standardmäßig von openVPN genutzt.

 

[francy_space]

jap, 1194 habe ich bei wireguard mit angegeben. ich weiß, als standardport nutzen die ne fünfstellige zahl. Also ich kann mit meinem Smartphone im Internet über VPN nur surfen, wenn die Firewall im Router aus ist.

 

[KillerCow]

Also ich kann mit meinem Smartphone im Internet über VPN nur surfen, wenn die Firewall im Router aus ist.

Was jetzt? Kannst du dich mit aktivierter Firewall nicht mit dem VPN Verbinden oder klappt das und du kannst dann nur nicht über den Tunnel ins Internet? Bitte die Situation klar darstellen.

 

[francy_space]

Ich habe einen Portmapper auf dem vServer aufgesetzt. Die Pakete gelangen von dort zum Heimrouter (ConnectBox). Bei der ConnectBox habe ich bei der Porfreigabe als Quell-IP die IPv6-Adresse des vServers eingegeben, und al Ziel-IP die IPv6 des VPN-Servers, der per LAN am Router hängt. Als Quell-Port habe ich im Router, den Port angegeben, den ich in meinem vServer in der Firewall freigegeben habe. Sprich 1194. Als Ziel-Port habe ich den Port 1194 angegeben, den ich bei der Wireguard-Installation auf meinem Raspberry (VPN-Server) mitangegeben hatte.

--> Sprich, ich habe im Portfilter der Connect Box nur eine Regel definiert.

Ist nun die Firewall auf meinem Router deaktiviert, so kann ich mich mit meinem Handy per Wireguard ins VPN-Netz einwählen und surfen. Sobald ich die Firewall im Router (ConnectBox) aktiviere, indem ich es nur anzuklicken brauche, kann ich nicht mehr im Internet surfen. Trotz VPN-Einwahl.

 

[TheCadillacMan]

Als Quell-Port habe ich im Router, den Port angegeben, den ich in meinem vServer in der Firewall freigegeben habe. Sprich 1194.

Das dürfte der Fehler sein. Setze den Quell-Port in der ConnectBox mal auf "beliebig".
Der vServer bekommt zwar die Pakete von deinem Handy auf Port 1194 und schickt sie auch an Port 1194 am VPN-Server.
Der Port von dem aus sich der vServer mit dem VPN-Server verbindet ist aber wahrscheinlich ein zufällig gewählter anderer Port.

 

[francy_space]

Ich habe mir von einem Blogger sagen lassen, dass man den Quellport mitangeben muss, um mit aktivierter Router-Firewall eine VPN-Verbindung aufzubauen. Zumindestens ist das auf der Connect Box so. Er hat mir gesagt, dass man den Quellport erstmal "finden" musss, Wie finde ich denn den Quellport, der zufällig verteilt wird?

Mit beliebigem Quellport habe ich es schon versucht. Auch dann kann ich mit aktivierter Router-Firewall nicht per VPN surfen.

 

[chrigu]

Ipv6 braucht keine ports, die sind in der Adresse schon drin, oder?
Und so sollte in der Firewall nur die Verbindung erlaubt werden, oder habe ich das mit ipv6 noch nicht verstanden?

 

[TheCadillacMan]

Mit beliebigem Quellport habe ich es schon versucht. Auch dann kann ich mit aktivierter Router-Firewall nicht per VPN surfen.

Was passiert wenn die VPN-Verbindung getrennt ist, die Firewall an ist und du versucht die VPN-Verbindung herzustellen? Wird die sie hergestellt?

Ipv6 braucht keine ports, die sind in der Adresse schon drin, oder?

Du hast das mit IPv6 tatsächlich noch nicht verstanden.
IPv6 ersetzt nur IPv4. Ports gibt und braucht es weiterhin und funktionieren wie immer.

 

[francy_space]

Ist die VPN Verbindung getrennt, die Firewall aktiviert und ich eine VPN Verbindung starten will, so sehe ich im Datentransfer der Wireguard App das Bits (B) versendet werden, aber nichts empfangen wird. Immer wenn im Datentransfer nichts empfangen wird, kann ich nicht surfen.

Ich nutze Wireguard als App. Dort habe ich einen lokalen Netz zugewiesen bekommen (10.6.0.1). Mein Client nutzt die lokale IP-Adresse 10.6.0.3/24
Zu dieser lokalen Adresse wird auch ein "Eingangsport" angezeigt.

Als Endpoint habe ich die IPv4 Adresse meines vServers angegeben. Sprich alle Anfragen gelangen zum vServer. Ich frage mich gerade, ob ich als Quellport nicht den "Eingangsport" von Wireguard eintragen soll. Ich werde das definitiv morgen versuchen.

 

[Datax]

Hast du denn bei der Erstellung der Portfilter-Regel auf deiner "Connect Box" das richtige Protokoll (UDP bzw. TCP) ausgewählt? WireGuard nutzt als Protokoll "UDP". Nicht, dass du aus Versehen "TCP" als Protokoll eingestellt hast.

Bei der Angabe der Quell-IP auch ganz sicher die richtige IPv6-Adresse deines vServers eingetragen!?

Die "Traffic Policy" bei der erstellten Portfilter-Regel muss natürlich auf "Ja" eingestellt werden.

Unten mal ein Link, wo es genau um dein Thema geht.
Es wird gezeigt wie man bei einer "Connect Box" einen Heimserver über das Internet erreichbar macht,
wenn dieser eine eigene öffentliche IPv6-Adresse hat.

Hier der Link:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[francy_space]

@Datax: Also, der Quellport kann eigentlich nur der Port, den ich auf der Firewall des vServers freigegeben habe, oder der zufällig lokal vergebene Eingangsport von Wireguard sein. Ersteres erscheint mir logischer. Ich bin mir relativ sicher, die richtige IP-Adressen eingegeben zu haben. Ich nehme schwer an, dass ich die IPv6-Adresse des vServers nicht sachgemäß freigeschalet habe. Der ist von IONOS. Dort ist das ganze nochmal komplizierter. Kennst du einen guten vServer-Anbieter. Ich habe bisher netcup und contabo gehört.

 

[Datax]

@Datax: Also, der Quellport kann eigentlich nur der Port, den ich auf der Firewall des vServers freigegeben habe, oder der zufällig lokal vergebene Eingangsport von Wireguard sein. Ersteres erscheint mir logischer. Ich bin mir relativ sicher, die richtige IP-Adressen eingegeben zu haben. Ich nehme schwer an, dass ich die IPv6-Adresse des vServers nicht sachgemäß freigeschalet habe. Der ist von IONOS. Dort ist das ganze nochmal komplizierter. Kennst du einen guten vServer-Anbieter. Ich habe bisher netcup und contabo gehört.

Das kann meiner Ansicht nach eigentlich nicht mit einer nicht sachgemäßen Freischaltung der IPv6-Adresse des vServers zu tun haben. Du hast ja selbst herausgefunden, dass die VPN-Verbindung per "WireGuard" funktioniert, wenn du die Firewall auf deiner "Connect Box" ausschaltest. Wenn auf deinem vServer etwas nicht richtig konfiguriert wäre, dann würdest du also nicht bei ausgeschalteter Firewall (Connect Box) erfolgreich den VPN-Tunnel aufbauen können.

Vermute da ganz klar die Firewall-Regel, weil die VPN-Verbindung funktioniert,
wenn die Firewall ausgeschaltet ist und nicht funktioniert, wenn diese eingeschaltet ist und
dann also deine erstellte Firewall-Regel berücksichtig wird.

Du kannst ja mal der "SSH" auf deinen VPN-Server (Raspberry Pi) gehen und und per "tcpdump" den Traffic mitschneiden, der reinkommt, wenn du den WireGuard-VPN-Tunnel aufbaust. Dazu musst du natürlich vorher die Firewall auf deiner "Connect Box" ausschalten.

"tcpdump" ist so das Linux-Pendant zu "Wireshark" unter "Windows".

Falls "tcpdump" noch nicht installiert sein sollte,
dann einfach per "apt install tcpdump -y" nachinstallieren.

Mit folgendem Befehl kannst du dann den VPN-Traffic mitschneiden und sehen,
von welcher IPv6-Adresse der Traffic beim "Raspberry Pi" reinkommt:
tcpdump -i eth0 udp and port 1194 -nv

Hier also mal angenommen, dass die Netzwerkkarte deines RasPi "eth0" ist,
sollte eigentlich so sein. Kannst du per "ip addr" ja auch nachschauen,
welchen Namen deine Netzwerkkarte hat.

Danach weißt du, von welcher IPv6-Quell-IP der VPN-Traffic beim RasPi reinkommt und kannst
diese dann in die Firewall-Regel auf deiner "Connect Box" eintragen.

Auf jeden Fall auch drauf achten, dass du in der Firewall-Regel als Protokoll "UDP" auswählst,
also nicht "TCP".

In der Firewall-Regel dann mal folgende Einstellungen machen:
Quell-IP = IPv6-Adresse deines vServers
Quell-Port = beliebig (weil wird dynamisch auf dem vServer festgelegt)
Ziel-IP = IPv6-Adresse deines RasPis (WireGuard-VPN-Server)
Ziel-Port = 1194
Protokoll = UDP

 

[francy_space]

@Datax: Interessant, jetzt klappt das, nachdem ich Wireshark mit in Spiel gebracht habe. Den Quellport habe ich auf beliebig eingestellt. genau so, wie du es gesagt hattest. Komisch. Genau so, hatte ich es davor eingestellt. es hat aber nicht geklappt. jetzt kann ich mit der firewall eine vpn-verbindung aufbauen. vielen dank!

 

[Datax]

@Datax: Interessant, jetzt klappt das, nachdem ich Wireshark mit in Spiel gebracht habe. Den Quellport habe ich auf beliebig eingestellt. genau so, wie du es gesagt hattest. Komisch. Genau so, hatte ich es davor eingestellt. es hat aber nicht geklappt. jetzt kann ich mit der firewall eine vpn-verbindung aufbauen. vielen dank!

Nichts zu danken, gern geschehn.