ComputerBase Menü
Aktuelles

Wireguard Config Frage

L

Legolas

Lieutenant
Registriert
Sep. 2018
Beiträge
640
Servus Gemeinde,

ich hab da ein Problemchen das ich selber nicht gelöst bekomme. Vielleicht sehe ich vor lauter Wald auch keine Bäume mehr. Ich habe ein LAN mit einer Fritzbox (192.168.178.0/24) und einen Proxmox beim Provider meiner Wahl. Auf dem Proxmox gibts es auch ein VLAN (192.168.178.222.0/24) und einen Wireguard Server. Jetzt möchte ich FB und Proxmoxx verbinden. Das klappt auch wenn ich den ganzen Verkehr von der FB an den Proxmox weiterleite. Das möchte ich aber nicht. Es soll nur der Verkehr in das Netz 192.168.178.222.0 dahin geroutet werden. Vielleicht kann einer der Weisen da mal einen Blick drauf werfen. meine Conig die ich in die FB importieren möchte sieht so aus:

[Interface]
Address = 10.7.0.2/24
DNS = 1.1.1.1, 1.0.0.1
PrivateKey = <Private Key>

[Peer]
PublicKey = <Public Key>
PresharedKey = <Preshared Key>
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 223.71.225.124:51820
PersistentKeepalive = 25

Danke
SW
 
Zuletzt bearbeitet:
AllowedIPs = 192.168.222.0/24

(ich gehe mal davon aus dass dir da ein Fehler bei der IP-Adresse unterlaufen ist)
 
Ok,

und was muss ich in der FB auswählen?

ich kann/muss ja auswählen das ich Netzwerke koppeln will. Anschließend habe ich die Optionen:
  • Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden - will ich nicht
  • NetBIOS über diese Verbindung zulassen - will ich auch nicht
  • Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein- eigentlich will ich das in meinem LAN gar keine Geräte erreichbar sind
Wenn ich Option 1 wähle wird das LAN 192.168.222.0 und 0.0.0.0 von der FB eingestellt
Wenn ich Option 2 wähle sagt mir die FB das die importierte Config fehlerhaft ist.

.....

Danke
SW
 
Ich möchte nur das man aus meine LAN auf das Netz 192.168.222.0 zugreifen kann. Aber aus dem Netz 192.168.222.0 soll man nicht auf das Netz 192.168.178.0 zugreifen können
 
Sofern du kein (S)NAT machst, müssen aber mindestens die Antwort-Pakete vom 222er Netz ins 178er Netz erlaubt sein. Netzwerkkommunikation ist vorwiegend bidirektional, zB ganz allgemein bei TCP und darüber eben bei http(s) und Co. Wenn du eine Art DMZ bauen willst, bin ich mir nicht sicher ob das mit der Wireguard-Config allein überhaupt geht, weil die Reglementierung zwischen mehreren Netzwerken Aufgabe der Firewall ist, die dann eben "neue" Verbindungen nur in eine Richtung erlaubt, aber "bestehende" Verbindungen in beide Richtungen, ein normales DMZ-Setup eben.
 
  • Gefällt mir
Reaktionen: qiller
Ok, verstanden. Jetzt sieht meine Config so aus:

[Interface]
Address = 10.7.0.2/24
DNS = 1.1.1.1, 1.0.0.1
PrivateKey = <Private Key>

[Peer]
PublicKey = <Public Key>
PresharedKey = <Preshared Key>
AllowedIPs = 192.168.222.0/24
Endpoint = 223.71.225.124:51820
PersistentKeepalive = 25

und bei der FB habe ich die Option "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein" gewählt. Die FB meint nun das Sie das VPN nicht erstellen kann uns sagt mir ganz vielsagend Fehlercode 1 unter dem ich bei AVM leider nichts finde.
 
Zuletzt bearbeitet:
Legolas schrieb:
Ich möchte nur das man aus meine LAN auf das Netz 192.168.222.0 zugreifen kann. Aber aus dem Netz 192.168.222.0 soll man nicht auf das Netz 192.168.178.0 zugreifen können
Zum Vergrößern anklicken....
Sowas geht bei Netz-zu-Netz VPN-Verbindungen nur in Verbindung mit Firewallregeln. Die FB kann sowas nicht, also müsstest du das auf seiten deines 'Wireguard-Servers' regeln. Wenn du da eh Proxmox laufen hast, würd ich den WG-Endpunkt in eine OPNSense-Firewall-VM legen, da kannst dann alles feinstens per Firewallregeln anpassen.

Alternativ (ka, ob WG das unterstützt, kenn das nur von OpenVPN): Client-Server-VPN (bzw. Roadwarrior Modus). Dann benötigt aber jedes Endgerät in deinem LAN eine eigene WG-VPN Verbindung. Denke mal, das ist nicht das, was du wolltest.
 
  • Gefällt mir
Reaktionen: Raijin
Ich glaube an dieser Stelle wäre es hilfreich, wenn @Legolas das gesamte Szenario etwas näher beschreibt. Was befindet sich auf beiden Seiten des VPNs und was soll davon jeweils womit über das VPN kommunizieren und womit nicht und warum überhaupt, etc.. Einfach nur damit wir den konkreten Anwendungsfall besser nachvollziehen können.


Legolas schrieb:
Ich habe ein LAN mit einer Fritzbox (192.168.178.0/24) und einen Proxmox beim Provider meiner Wahl.
Zum Vergrößern anklicken....
Bei diesem Satz werde ich beispielsweise stutzig. Wie darf man das verstehen? Ist das ein Mietserver? Wenn ja, wo kommt dann das VLAN her? Die Endpoint-IP in deiner Config in #1 ist auf China Mobile Communications Corporation registriert, augenscheinlich ein chinesischer Internet Provider.


qiller schrieb:
Wenn du da eh Proxmox laufen hast, würd ich den WG-Endpunkt in eine OPNSense-Firewall-VM legen, da kannst dann alles feinstens per Firewallregeln anpassen.
Zum Vergrößern anklicken....
Das klingt nach einem soliden Plan. :daumen:
 
Raijin schrieb:
Die Endpoint-IP in deiner Config in #1 ist auf China Mobile Communications Corporation registriert, augenscheinlich ein chinesischer Internet Provider.
Zum Vergrößern anklicken....
Glaubst Du ernsthaft das ich hier echte IP Adressen publiziere?
Ergänzung ()

@Bob.Dig Sorry Tippfehler
Ergänzung ()

qiller schrieb:
Wenn du da eh Proxmox laufen hast, würd ich den WG-Endpunkt in eine OPNSense-Firewall-VM legen, da kannst dann alles feinstens per Firewallregeln anpassen.
Zum Vergrößern anklicken....
Das ist eine gute Idee, ändert aber nichts an meinem Problem das ich es nicht schaffe der FB beizubringen das sie nur den Traffik des Netzes 192.168.222.0/24 durch den Tunnel schickt
 
Legolas schrieb:
Glaubst Du ernsthaft das ich hier echte IP Adressen publiziere?
Zum Vergrößern anklicken....
Weiß ich's? Du bist seit 6 Jahren hier im Forum registriert, glaubst du ernsthaft, dass das in 6 Jahren noch nie vorgekommen wäre? Ich bin seit 17 Jahren dabei... :)

Statt so empört zu reagieren, dass ich die IP zumindest nachgeschaut habe, hättest du aber auch einfach auf die damit verknüpfte Frage antworten können.. Aber gut, wer nicht will, der hat schon. Good luck :freak:
 
  • Gefällt mir
Reaktionen: DannyA4 und Bob.Dig
So war das nicht gemein. Ich wollte Dir nicht auf die Füsse treten und das sowas vorkommt glaube ich sofort
 
  • Gefällt mir
Reaktionen: Raijin
Ist halt schon Komisch, das sich jemand die Mühe macht, dort eine china ip zu posten. Einfacher ist es xxx.xxx.xxx.xxx zu posten. Dann weiß jeder was gemeint ist. Ja x ist dann eindeutig und niemand braucht die zu googeln.
Mir ging das nicht aus dem Kopf. Das ganze Konstrukt steht in China. Somit wäre es auch klar, warum und weshalb so komisch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DannyA4 und Raijin
Dann entschuldige ich mich hiermit bei jedem CB Mitglied persönlich und bei Dir besonders das ich beim Starten dieses Threads was falsch gemacht habe. Btw. die IP ist ausgedacht. Da bin ich scheinbar sehr kreativ gewesen.
 
Entschuldigungen unterhalb von 10 Zimtfranzbrötchen mit drei Herzluftballons und duftender Grußkarte werden nicht akzeptiert, soviel ist schon mal klar. :schluck:

Gut, wo das geklärt ist: Meine ursprüngliche Frage ist immer noch unbeantwortet. Je genauer das Szenario beschrieben wird, umso besser können wir es uns vorstellen und umso zielgerichteter kann man helfen.


Prinzipiell verstehe ich dein Ziel-Setup aber so wie AVM es hier beschreibt, nur dass eben am anderen Ende des VPNs dein gemieteter(?) Proxmox-Host sitzt - bzw. wie @qiller eingeworfen hat lieber in einer OPNsense-VM, o.ä. auf diesem Proxmox-Host.
Eigentlich sollte diese AVM-Anleitung daher alles beinhalten. Wenn man Wireguard zu Fuß einrichtet, ist das letztendlich auch nur ein Wizard, der bei "Remote Netzwerk" oder wie das bei AVM auch immer bezeichnet ist (hab keine FB) eben das dort eingegebene Subnetz unter Allowed IPs in der Konfig setzt. Bei "Gesamten Verkehr durch das VPN" wird demnach einfach Allowed IPs = 0.0.0.0 eingetragen.

Wenn es bei dir schon am Import der wg-config scheitert, dann stimmt damit wohl etwas nicht. Was genau, das kann ich aus dem Stegreif auch nicht sagen und mangels eigener Fritzbox auch nicht ausprobieren.
 
Gut das das geklärt ist :)

Prinzipiell funktioniert ja die Anleitung und die WG Verbindung, allerdings nur dann wenn ich den kompletten Traffic aus meinem LAN durch den Tunnel schicke, also Allowed IPs = 0.0.0.0. Das möchte ich aber nicht. Es soll nur der Traffik in das Netz 192.168.222.0/24 da durch gehen und wenn ich Allowed IPs = 192.168.222.0/24 setze dann macht die FB nach dem Import daraus ein Allowed IPs = 192.168.222.0/24 0.0.0.0

Entweder ist das ein Feature oder Fehler der FB. Ich habe jetzt mal den AVM Support kontaktiert. Mal sehen was die dazu sagen. Ich werde das dann hier posten. Danke für Deine Mühe.
 
Legolas schrieb:
dann macht die FB nach dem Import daraus ein Allowed IPs = 192.168.222.0/24 0.0.0.0
Zum Vergrößern anklicken....
Klingt für mich auch nach nem Fehler. Da sollte eigt. dann nur 'Allowed IPs = 192.168.222.0/24' stehen. Das '0.0.0.0' dahinter macht dann auch wieder keinen Sinn.
 
So, Thema erst mal erledigt. Original Zitat vom AVM Support: "Anderenfalls kann ich Ihnen leider aktuell bei diesem Szenario so leider nicht weiter helfen, da dieses über die von uns beschriebenen und supporteten Anwendungsfälle hinaus geht."

Das heisst für mich das ich nach einer Alternative zur Fritzbox suche. Aber das ist ein eigenes Thema
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

_tnt_
WireGuard funktioniert auf macOS, aber nicht unter Windows
2
Antworten
23
Aufrufe
679
riversource
R
C
Fritzbox 7590 und Wireguard: Lokales Netzwerk manchmal nicht erreichbar
Antworten
9
Aufrufe
490
norKoeri
N
I
Wireguard VPS Server – Zugriff auf lokale Rechner
Antworten
12
Aufrufe
937
ille99
I
Xiaolong
  • Artikel Artikel
Leserartikel Wireguard Heimnetzwerk Zugriff hinter CG-NAT o.Ä. ohne WG auf Router
Antworten
12
Aufrufe
1.515
riversource
R
P
PIVPN Wireguard Configuration und weiterleiten des kompletten Internetverkehrs zum VPN
Antworten
11
Aufrufe
2.371
prodo80
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz