WireGuard funktioniert auf macOS, aber nicht unter Windows

[_tnt_]

Hallo zusammen,

ich habe mir einen eigenen WireGuard Server auf einem PC zu Hause eingerichtet, damit ich vom Ausland (Urlaub) aus über die heimische IP surfen kann.

Auf meinem MacBook funktioniert mein Tunnel ohne Probleme, wenn ich dieselben Daten aber auf meinem Windows-PC ausprobiere, dann bekomme ich keine Verbindung.

Da ich ein WireGuard Anfänger bin, kann ich mir das nicht erklären.

Sollte mein Tunnel-Setup nicht unabhängig vom Client funktionieren?


WireGuard Tunnel:

[Interface]
PrivateKey = "<PrivateKey>"
Address = 172.16.0.2/12
DNS = 8.8.8.8, 1.1.1.1
MTU = 1420

[Peer]
PublicKey = "<PublicKey>"
AllowedIPs = 0.0.0.0/0
Endpoint = "<user>".ddns.net:51820
PersistentKeepalive = 25

Könnte es sein, dass sich Windows an den "AllowedIPs" stört? Was hat das damit auf sich?

Danke im Voraus.

 

[JackForceOne]

Bei mir in der WireGuard Config steht unter Windows beim Peer noch ein "PresharedKey". Warum setzt du die MTU manuell?

 

[andy_0]

AllowedIPs = 0.0.0.0/0

Ich bin kein Wireguard Experte aber das bedeutet in der Regel "alles" d.h. alle IP Adressen sind erlaubt für eine Verbindung.

Hat dein Server PC mehrere Netzwerkadapter? Stimmt die Address unter Interface ?

 

[DevD2016]

Ganz sicher das der Tunnel unter Mac funzt?

Allowed IPs = welche Netze ausgehend gesehen vom Client über den Tunnel sollen. 0.0.0.0/0 = alles
Wenn z.B. nur zum Heimnetz 192.168.10.0/0
Presharedkey ist optional.
Ich würde den wireguard Zugang in den Router/gateway packen. Jetzt hast du ja eine Weiterleitung zu einem Gerät in deinem LAN, und von dort aus wieder ins Internet.

 

[_tnt_]

Also ich Urlaub bin ich froh wenn ich mal NICHT im Heimnetz unterwegs bin.. Abschalten, kein Internet.... ein Traum

Sagen wir so Urlaub ist nur die halbe Wahrheit, geht hier um Streaming aus der Heimat.
Die andere Hälfte der Antwort findest du weiter unten.

Bei mir in der WireGuard Config steht unter Windows beim Peer noch ein "PresharedKey". Warum setzt du die MTU manuell?

Sollte ein optionales Sicherheitsfeature sein. Auch wenn ich die MTU entferne, funktioniert es nicht.

Ich bin kein Wireguard Experte aber das bedeutet in der Regel "alles" d.h. alle IP Adressen sind erlaubt für eine Verbindung.

Hat dein Server PC mehrere Netzwerkadapter? Stimmt die Address unter Interface ?

Habe zwei Adapter, wenn der VirtualBox auch zählt:

Realtek PCIe GbE
VirtualBox Host-Only

Wenn ich WireGuard aktiviere, dann wird dieser auch angezeigt unter ipconfig/all.

Ganz sicher das der Tunnel unter Mac funzt?

Allowed IPs = welche Netze ausgehend gesehen vom Client über den Tunnel sollen. 0.0.0.0/0 = alles
Wenn z.B. nur zum Heimnetz 192.168.10.0/0
Presharedkey ist optional.
Ich würde den wireguard Zugang in den Router/gateway packen. Jetzt hast du ja eine Weiterleitung zu einem Gerät in deinem LAN, und von dort aus wieder ins Internet.

Am Router will ich es nicht hinterlegen, da nur der jeweils verwendete Rechner über WireGuard laufen sollte. Die anderen PCs sollten die normale Verbindung verwenden.



ipconfig/all output:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : DESKTOP
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Unknown adapter WireGuardVPN:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : WireGuard Tunnel
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.16.0.2(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.240.0.0
   Default Gateway . . . . . . . . . : 0.0.0.0
   DNS Servers . . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physical Address. . . . . . . . . : xx-xx-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.0.7(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.0.1
   DNS Servers . . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
   Physical Address. . . . . . . . . : xx-xx-xx-xx-xx-xx
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::dd53:e299:aaac:4ca5%14(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.56.1(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :
   DHCPv6 IAID . . . . . . . . . . . : 123456789
   DHCPv6 Client DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

[DevD2016]

Am Router will ich es nicht hinterlegen, da nur der jeweils verwendete Rechner über WireGuard laufen sollte. Die anderen PCs sollten die normale Verbindung verwenden.

Das tut es dann ja genauso. Ist ja in dem Moment eingehend, und beeinflusst nichts in dem Netz wo man hin verbindet.
Achso... Du willst nur auf diesen einen Rechner von aussen über VPN zugreifen um von diesem PC zu streamen.
Würde trotzdem dem Router das überlassen. Portweiterleitung weniger in der Kiste.

Warum das ganze jetzt von Windows aus nicht funktioniert, kann ich ehrlichgesagt nicht erklären.

Kannst du den Server (oder irgendwas in dem Netz) anpingen? Der Tunnel ist ja anscheinend aufgebaut.

 

[andy_0]

Ich glaube wir müssen noch mal zurück zu den Basisfragen:

• Du hast Wireguard Server auf einem Windows in deinem Heimnetz installiert?
• Hierfür sind offenbar die notwendigen Portfreischaltungen im Router erfolgt?
• Du kannst mit macOS Client von extern darauf zugreifen? Du kannst mit einem Windows Client nicht von extern darauf zugreifen?
• Beide Clients warenzum Zeitpunkt des Tests jeweils im selben Netzwerk und selben WLAN oder Ethernet verbunden?
• Die Konfiguration die du bereitgestellt hast ist von welchem Gerät?
• Was genau ist denn der Fehler den du vom Windows Client erhälst? Ich denke gerade in die Richtung vom DevD2016 d.h. die Verbindung könnte sehr wohl aufgebaut sein.

 

[_tnt_]

Ich glaube wir müssen noch mal zurück zu den Basisfragen:

• Du hast Wireguard Server auf einem Windows in deinem Heimnetz installiert?
  - Ja
  
  
• Hierfür sind offenbar die notwendigen Portfreischaltungen im Router erfolgt?
  - Ja
  
  
• Du kannst mit macOS Client von extern darauf zugreifen? Du kannst mit einem Windows Client nicht von extern darauf zugreifen?
  - Ja
  
  
• Beide Clients warenzum Zeitpunkt des Tests jeweils im selben Netzwerk und selben WLAN oder Ethernet verbunden?
  - Ja
  
  
• Die Konfiguration die du bereitgestellt hast ist von welchem Gerät?
  - Die WireGuard Konfig wird auf beiden Geräten Mac & Windows verwendet.
  
  
• Was genau ist denn der Fehler den du vom Windows Client erhälst? Ich denke gerade in die Richtung vom DevD2016 d.h. die Verbindung könnte sehr wohl aufgebaut sein.
  • Der Tunnel wird aufgebaut und ich habe einfach kein Internet.
  • Was ich beim WireGuard Adapter mit "ipconfig/all" aber sehe:
  • Default Gateway . . . . . . . . . : 0.0.0.0
  • Wenn der Tunnel am Windows-PC aktiv ist, habe ich keinen Zugriff mehr auf das NAS. War das die Frage?

Wenn ich den WireGuard Tunnel am Windows-PC an habe:

Pinging www.google.at [142.250.200.67] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 142.250.200.67:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

 

[Bob.Dig]

damit ich vom Ausland (Urlaub) aus über die heimische IP surfen kann.

Dann gehört WireGuard im Router aktiviert und nicht auf irgendeinem Windows PC. Windows ist ein denkbar schlechter Router.

 

[_tnt_]

Dann gehört WireGuard im Router aktiviert

Und macOS schafft es?

 

[DevD2016]

Die Frage ist: Was passiert vom MAC aus? Die config Datei ist gleich, der WG Client funktioniert.
Ähh... Antivirensoftware, verschlimmbesserer, alte VPN Software reste usw evtl auf dem Windows Rechner?

Vielleicht gerade überlesen: Kannst du von Windows Rechner aus, irgendetwas aus dem "VPN Netz" anpingen?

NAS nicht mehr erreichbar wenn Tunnel am Client an: Ja natürlich nicht. 0.0.0.0:0 über VPN = nix mehr lokal erreichbar.

 

[Bob.Dig]

Und macOS schafft es?

Du eierst irgendwie um die Frage herum, wo läuft denn nun der WireGuard-"Server"? Oder habe ich diese wichtige Info übersehen.

 

[_tnt_]

Der WireGuard-Server läuft auf einem WIndows-PC.
Ich glaube, ich habe eine Idee was das Problem ist.
Ich muss wahrscheinlich den neuen Peer beim Server in der Config einfügen

Edit: Da hat nichts gebracht.

 

[Bob.Dig]

Der WireGuard-Server läuft auf einem WIndows-PC

Warum.

 

[_tnt_]

@Bob.Dig Irgendwo muss er doch laufen.
Das Setup funktioniert ja in Verbindung mit dem Mac, also kann es nicht so falsch sein, oder?

 

[hildefeuer]

Der einfachste Weg ist WG mit einer Fritzbox aufzusetzen. Dann funktioniert es mit Android, Windows10/11, Linux und Mac auch.
Sebstverständlich kann man dann ins Ausland streamen, bzw hat IP aus d.
Man kann auch darüber telefonieren. Heißt jemand ruft zu Hause an und bei mir in Spanien klingelt die fritzfonApp.
Problematisch sind eher Clients, die nur mit ipv4 angebunden sind. Damit funktioniert das dann an meinem DG Zugang nicht. WG Provider cg-NAT und ipv6.
Hast Du für Windows denn die wireguard App installiert?
Mit Windows Bordmitteln geht's zumindest bei Win7/10 nicht.

 

[_tnt_]

Vielleicht habe ich auch einfach nur ein generelles WireGuard Verständnisproblem.

Muss ich jeden PC als separaten Peer am Server hinterlegen?

Wenn ich also WireGuard auf 3 PCs gleichzeitig aktivieren möchte, würde ich jeweils eine eigene Tunnel Konfig benötigen?


Meine Server-Anbindung:
Kabel-Modem >> Zyxel Armor Z2 >> Windows PC mit WireGuard Server

 

[hildefeuer]

Das geht mit einer konfig Datei, aber nicht gleichzeitig, sondern nur wechselseitig. 3 Clients benötigen 3 config Dateien via Fritzbox.

 

[Bob.Dig]

Muss ich jeden PC als separaten Peer am Server hinterlegen?

Jeden Client als eigenen Peer ist korrekt. Wenn Du tatsächlich Windows dafür nutzen möchtest, dann gucke Dir mal WgServerforWindows an, weil ich wette, Du kannst aktuell nicht mit deinem MacBook die IP deines Anschlusses nutzen, wobei Du das wahrscheinlich auch gar nicht testen kannst. Besser, Du würdest das mit einem Smartphone testen, wo Du nicht im eigenen LAN bist...
Auf Reisen solltest Du einen Reiserouter nutzen oder dein Smartphone.

 

[_tnt_]

Du kannst aktuell nicht mit deinem MacBook die IP deines Anschlusses nutzen, wobei Du das wahrscheinlich auch gar nicht testen kannst.

Ich bin gerade im Ausland und am Mac bin ich gerade mit der IP von zu Hause unterwegs. Also das läuft schon wie es sollte.

Hatte die Einrichtung mit diesem Video gemacht:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Edit:
Okay, sieht so aus als hätte ich es geschafft. War wohl ein typischer Anwendungsfehler.
Hatte wohl bei der Erstellung der Keys etc etwas falsch gemacht.

Habe über "wg-quick-config -add -restart" einen weiteren Peer erstellt, dann einfach die Konfig beim Windows Client eingefügt und fertig.

Warum aber die vorhandene Konfig vom Mac am Windows-PC nicht funktionierte, obwohl beide niemals gleichzeitig aktiv waren, kA.