WireGuard Multisite-to-Multisite VPN in Debian

[Bob.Dig]

Ich möchte drei Sites (Hosts=Proxmox VEs) untereinander mit einem einzigen WG-Interface verbinden, sprich jeder soll mit jedem verbunden sein über wg0. Dazu habe ich via apt WireGuard installiert. Das Problem ist nun, dass nur ein Host mit den beiden anderen verbunden ist, die anderen zwei nur zu ihm und nicht zu einander. Dabei ist die Config auf allen dreien nahezu identisch.

Bevor ich nun anfange diese zu posten, kennt vielleicht jemand schon das Problem?

Bin nur Laie und Linux Noob

 

[JumpingCat]

Also du hast 3 Tunnel laufen und das Routing umgebogen oder hast du nur 2 Tunnel laufen und einer der Hosts agiert als Router?

btw die Hosts hängen alle an einer festen IP im RZ und das ist nur ein zusätzlicher Security Layer, oder?

 

[riversource]

Sollte eigentlich kein Problem sein. Man kann mit Wireguard auch problemlos ein "Dreieck" bauen. Man muss nur aufpassen, dass man die Subnetze für die Transfernetze und die Heimnetze sauber auseinander hält.

 

[Bob.Dig]

Also du hast 3 Tunnel laufen und das Routing umgebogen oder hast du nur 2 Tunnel laufen und einer der Hosts agiert als Router?

Ich habe kein Routing umgebogen und nur einen Tunnel nach meinem Verständnis zu WireGuard, wobei es faktisch wohl drei sind.

Ergänzung (16. März 2024)

Sollte eigentlich kein Problem sein. Man kann mit Wireguard auch problemlos ein "Dreieck" bauen.

Genau, ich will ein Dreieck und dadurch geroutet wird nichts, nur die Hosts sollen direkt miteinander sprechen. Es soll ein PVE Cluster werden.

 

[riversource]

Genau, ich will ein Dreieck und dadurch geroutet wird nichts, nur die Hosts sollen miteinander sprechen.

Dann muss der Datenverkehr aber geroutet werden.

Ich habe kein Routing umgebogen und nur einen Tunnel nach meinem Verständnis zu WireGuard, wobei es faktisch wohl drei sind.

Ich versteh kein Wort. Vielleicht erklärst du das doch besser anhand deiner Konfigs.

 

[JumpingCat]

Vielleicht wird es mit einem Bild besser https://excalidraw.com/

 

[Bob.Dig]

Ich versteh kein Wort. Vielleicht erklärst du das doch besser anhand deiner Konfigs.

Ok, here we go, exemplarisch eine Site

[Interface]
Address = 10.159.226.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o vmbr0 -j MASQUERADE
ListenPort = 51765
PrivateKey = PrivateKey

[Peer]
PublicKey = PublicKey
PresharedKey = PresharedKey
AllowedIPs = 10.159.226.10/32

[Peer]
PublicKey = PublicKey
PresharedKey = PresharedKey
AllowedIPs = 10.159.226.2/32
Endpoint = Endpoint
PersistentKeepalive = 25

Ein Endpoint ist dynamisch. Hier scheint WG aber immer wieder die IP von sich aus in die Config einzutragen? Habe ich wieder herausgelöscht. Keine Ahnung, ob ich "SaveConfig = true" wirklich brauche. Bis jetzt hat sich aber die dynamische IP auch noch nicht geändert.

Ergänzung (16. März 2024)

Oops, ist höchstwahrscheinlich ein Firewall-Problem auf einem Host. Denke, ich hab das Problem also gefunden.
Wenn jemandem noch was im Allgemeinen zur Config aufgefallen ist, ruhig sagen. Ich melde mich nach der Firewallgeschichte wieder.

 

[riversource]

Bei so einem Szenario darfst du natürlich kein NAT machen. Wie kommst du denn darauf? Warum sind die IPs so ungleichmäßig vergeben? Warum hat die Address /24, die AllowedIPs aber /32? Das macht Routing Kuddel Muddel. Der erste Peer braucht natürlich auch einen Endpoint, im Zweifel eine dyndns Adresse, die dann auch in Wireguard regelmäßig aktualisiert werden muss (siehe OpenWRT Scripte). Persistent KeepAlive kannst du in dem Szenario nicht verwenden, die drei Peers müssen alle über öffentliche IPs verfügbar sein.

Ich denke, dass du auch Subnetze über deine Tunnel routen musst, um dein Ziel zu erreichen.

 

[Bob.Dig]

Bei so einem Szenario darfst du natürlich kein NAT machen. Wie kommst du denn darauf?

Meinst Du diese beiden Lines? Die habe ich nur mit kopiert, ohne zu wissen, was sie machen.

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o vmbr0 -j MASQUERADE

Beim Rest verstehe ich deine Skepsis nicht wirklich.

Ergänzung (16. März 2024)

Ich denke, dass du auch Subnetze über deine Tunnel routen musst, um dein Ziel zu erreichen.

Nein, wie gesagt, die drei Hosts müssen nur untereinander direkt kommunizieren können, mehr nicht.

Ergänzung (16. März 2024)

Problem ist gelöst, alle Handshakes sind on, ping geht in alle Richtungen.
Nun müsste die Config nur noch bereinigt werden, sprich die NAT-Regeln raus, also die kompletten zwei Lines?
Und ggf. dieses "SaveConfig = true"?
Ich finde das natürlich raus, wenn ich es einfach versuche, aber sachdienliche Kommentare sind gern gesehen.

 

[riversource]

Meinst Du diese beiden Lines? Die habe ich nur mit kopiert, ohne zu wissen, was sie machen.

Und deshalb sage ich immer: Niemals blind eine Anleitung befolgen. Lesen, verstehen, auf die eigene Situation adaptieren, umsetzen.

Problem ist gelöst, alle Handshakes sind on, ping geht in alle Richtungen.

Und was hast du geändert? Und ein Ping bedeutet noch nicht, dass deine Services funktionieren.

Nein, wie gesagt, die drei Hosts müssen nur untereinander direkt kommunizieren können, mehr nicht.

Und die Dienste, die du erreichen willst, lauschen auch alle auf einem dynamischen VPN Interface? Sicher?

 

[Bob.Dig]

Und was hast du geändert? Und ein Ping bedeutet noch nicht, dass deine Services funktionieren.

Die Firewall auf dem Host, genauer gesagt gab es dort an anderer Stelle eine Regel, die den WireGurad Port woanders hingeleitet hatte, ein Flüchtigkeitsfehler.

Und die Dienste, die du erreichen willst, lauschen auch alle auf einem dynamischen VPN Interface? Sicher?

Werde ich sehen, aber vermutlich ja. PVE möchte bei der Clustereinrichtung direkt die IPs genannt bekommen. Da ich das aber noch nie gemacht habe, werde ich mich überraschen lassen, aber nicht mehr heute. WG auf Linux alleine hat mich Stunden gekostet.

Was iptables angeht, ich vermute nun, dass ich nur den zweiten Part nicht brauche?
iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Wäre nett, wenn Du was dazu sagen könntest. Ich nutze für gewöhnlich nur meine pfSense und klicki bunti.

 

[JumpingCat]

Ein Endpoint ist dynamisch

Darauf würde ich keinen HA Service setzen der eine unterbrechungsfreie Netzwerkverbindungen benötigt.

 

[Bob.Dig]

Darauf würde ich keinen HA Service setzen

HA soll auch nicht laufen, es soll nur einfacher managebar sein, also alles unter einer Adresse.

Ergänzung (16. März 2024)

@riversource Also wenn Du mir mit iptables hilfst, bekommst Du die Lösung gutgeschrieben.

Ergänzung (16. März 2024)

Und die Dienste, die du erreichen willst, lauschen auch alle auf einem dynamischen VPN Interface? Sicher?

Ok, Proxmox akzeptiert das WireGuard Interface nicht. Aber wie macht man es dann via WireGuard?

 

[riversource]

Werde ich sehen, aber vermutlich ja. PVE möchte bei der Clustereinrichtung direkt die IPs genannt bekommen.

Bedenke, dass nach einem Reboot die VPN Interfaces immer erst recht spät verfügbar sind. Bis dahin hat Proxmox vielleicht schon aufgegeben, die IPs zu suchen.

Was iptables angeht, ich vermute nun, dass ich nur den zweiten Part nicht brauche?
iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Ja, die ACCEPT Regel kannst du drin lassen.

 

[Bob.Dig]

Bedenke, dass nach einem Reboot die VPN Interfaces immer erst recht spät verfügbar sind. Bis dahin hat Proxmox vielleicht schon aufgegeben, die IPs zu suchen.

Obwohl mein Vorhaben für mich immer weniger Sinn macht, hab ich doch Blut geleckt.

Die von mir verlinkte Hilfe beschreibt ja weitere Methoden zur Einrichtung von WireGuard. Insbesondere die zweite könnte vielleicht doch den gewünschten Erfolg bringen?

Ergänzung (17. März 2024)

Yupp, sieht so aus, als dass die ganze Arbeit doch nicht umsonst war. Die Einrichtung scheint möglich.

 

[riversource]

Die von mir verlinkte Hilfe beschreibt ja weitere Methoden zur Einrichtung von WireGuard. Insbesondere die zweite könnte vielleicht doch den gewünschten Erfolg bringen?

Das musst du ausprobieren, ob auch im Reboot-Fall das Setup jederzeit wieder stabil funktioniert. Wenn Proxmox vor den VPN Interfaces startet, dann könnte sein, dass es das VPN Interface nicht mehr aufnimmt in seine Suche.

 

[Bob.Dig]

Wenn Proxmox vor den VPN Interfaces startet, dann könnte sein, dass es das VPN Interface nicht mehr aufnimmt in seine Suche.

Da mache ich mir jetzt weniger Sorgen, da die config nun statisch in "interfaces" ist. Überlege, ob ich Proxmox-like noch eine Bridge dazwischen schalte, wobei ich dafür noch keinen Sinn sehe.

 

[Bob.Dig]

Habe fertig und mir reicht's erst mal.

 

[Markchen]

Auf Wunsch des TE geschlossen.