WireGuard Traffic über TCP Tunneln

[LordHelmchen200]

Hallo liebes Forum,

Bei mir läuft WGDaschboard in einem privilegierten LXC-Container in Proxmxox was auch 1A läuft, ich kann mit Mobile daten mein Home Server im lokalen Netzwerk zugreifen.

Nun versuche ich das Ganze mit udp2raw zu tunneln, so bin ich vorgegangen, In LXC von WGDaschboard udp2raw installiert:

wget https://github.com/wangyu-/udp2raw/releases/download/20230206.0/udp2raw_binaries.tar.gz
  tar -xf udp2raw_binaries.tar.gz
  sudo mv udp2raw_amd64 /usr/local/bin/udp2raw
  sudo chmod +x /usr/local/bin/udp2raw

sudo nano /etc/udp2raw.conf bearbeitet:

  -s
  -l 0.0.0.0:4000
  -r 127.0.0.1:2910
  -k "pass123"
  --raw-mode faketcp
  -a
  --fix-gro
  --cipher-mode xor

sudo nano /etc/wireguard/wg0.conf bearbeitet:

  PreUp = udp2raw --conf-file /etc/udp2raw.conf &
  PostDown = pkill udp2raw

udp2raw gestartet:

  sudo udp2raw --conf-file /etc/udp2raw.conf &

Von GitHub die udp2raw_mp_binaries für Windows heruntergeladen und mit CMD in den entpackten Ordner navigiert:

cd /d "D:\OneDrive\Desktops\XXX\Desktop\udp2raw_mp_binaries

und das Ganze mit folgendem Befehl gestartet:

udp2raw_mp.exe -c -r 149.172.56.63:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple --dev \Device\NPF_{E3CFEA82-D9C1-F911-DDDF-215E7D81888E}

Der WG-Port läuft auf 2910

Allerdings kann ich mit meinem Windows Endgerät keine Verbindung zum WireGuard Server über TCP aufbauen, da ich in dem Gebiet nicht wirklich der Experte bin bin ich über jede Hilfe froh und würde mich über Ratschläge sehr freuen
Mein Problem ist, das ich nur dem Anmeldeamte von WGDaschboard öffnen kann, sonst überhaupt nichts Internet geht auch nicht. Muss der WireGuard Tunnel in der Windows App an sein und dann erst udp2raw über CMD-Konsole Starten oder nicht? Welche zusätzlichen portfreigaben muss ich ggf. in der OPNsense machen? Habe ich bei der Config was falsch gemacht.



Vielen Dank im Voraus

 

[wertzuiop123]

Hab jetzt nicht alles überprüft aber der WireGuard-Tunnel muss aktiv sein, aber du darfst udp2raw UND WireGuard nicht gleichzeitig den Port 2910 nutzen.

udp2raw hört auf :4000 und das ist auch der freigegebene Port in der Firewall/OPNsense (UDP oder TCP, je nach --raw-mode)

WireGuard läuft lokal auf 127.0.0.1:2910

EDIT:
In OPNsense den Port 4000/tcp (bei faketcp) nach innen zum LXC freigeben
In Windows (geh ich mal davon aus) erst udp2raw starten, dann in der WireGuard-App 127.0.0.1:2910 als Peer-Endpoint eintragen, dann Tunnel aktivieren

 

[LasseSamenström]

Wofür den Overhead?

 

[LordHelmchen200]

@LasseSamenström Da in einigen Netzwerken UDP Blockert wird

 

[LordHelmchen200]

EDIT:

Ich habe in der OPNsense die benötigten Ports freigegeben, aber ich komme zu keinem sinnvollen Ergebnis, ich bitte um Hilfe. Da ich mit der Fehlermeldung überfragt bin:
Das war schon ein eckt die PNPDeviceID herauszufinden

D:\OneDrive\Desktops\Laptop\Desktop\udp2raw_mp_binaries>udp2raw_mp.exe -c -r 149.172.56XX:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple --dev \Device\NPF_{F91DFD2A-13F2-B1CF-88A0-DC4FF6B3842B}
using system32/wpcap.dll
The Winsock 2.2 dll was found okay, _setmaxstdio() was set to 4000
[2025-03-25 17:09:27][INFO]argc=14 udp2raw_mp.exe -c -r 149.172.56XX:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple --dev \Device\NPF_{F91DFD2A-13F2-B1CF-88A0-DC4FF6B3842B}
[2025-03-25 17:09:27][INFO]parsing address: 149.172.56XX:4000
[2025-03-25 17:09:27][INFO]its an ipv4 adress
[2025-03-25 17:09:27][INFO]ip_address is {149.172.56XX}, port is {4000}
[2025-03-25 17:09:27][INFO]parsing address: 127.0.0.1:2910
[2025-03-25 17:09:27][INFO]its an ipv4 adress
[2025-03-25 17:09:27][INFO]ip_address is {127.0.0.1}, port is {2910}
[2025-03-25 17:09:27][INFO]dev=[\Device\NPF_{F91DFD2A-13F2-B1CF-88A0-DC4FF6B3842B}]
[2025-03-25 17:09:27][INFO]important variables: log_level=4:INFO raw_mode=faketcp cipher_mode=xor auth_mode=simple key=secret key local_addr=127.0.0.1:2910 remote_addr=149.172.56.63:4000 socket_buf_size=1048576
[2025-03-25 17:09:27][INFO]remote_ip=[149.172.56XX], make sure this is a vaild IP address
[2025-03-25 17:09:27][INFO]const_id:6e93da70
[2025-03-25 17:09:27][INFO]--dev has been manually set, using device:[\Device\NPF_{F91DFD2A-13F2-B1CF-88A0-DC4FF6B3842B}]
[2025-03-25 17:09:27][FATAL]unknown pcap link type : 12

D:\OneDrive\Desktops\-Laptop\Desktop\udp2raw_mp_binaries>

 

[wertzuiop123]

[FATAL]unknown pcap link type : 12
zeigt m.E. dass udp2raw mit der gewählten Netzwerkschnittstelle nichts anfangen kann, weil der Link-Typ nicht unterstützt wird (hier Typ 12 = "Raw IP" oder virtuelles Interface, oft bei Tunneln oder Mobilfunkmodems).

Verwende mal ein klassisches Ethernet- oder WLAN-Interface
udp2raw_mp.exe -c -r 149.172.56.X:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple

Und versuch mal --dev ganz wegzulassen. udp2raw sucht sich dann selbst das richtige Interface – das klappt in den meisten Fällen besser unter Windows.

 

[LordHelmchen200]

--dev ganz wegzulassen

Wenn ich ihm den Adapter selbst aussuchen lasse kommt:

[FATAL]unknown pcap link type : 12

Wenn ich den WLAN Adapter selbst angebe den ich nutze kommt:

udp2raw_mp_binaries>udp2raw_mp.exe -c -r 149.172.56.XX:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple --dev "\Device\NPF_{7A2B6640-8E02-4D1C-8634-EAE4BB1D4105}"
using system32/wpcap.dll
The Winsock 2.2 dll was found okay, _setmaxstdio() was set to 4000
[2025-03-25 17:49:11][INFO]argc=14 udp2raw_mp.exe -c -r 149.172.56.XX:4000 -l 127.0.0.1:2910 --raw-mode faketcp --cipher-mode xor --auth-mode simple --dev \Device\NPF_{7A2B6640-8E02-4D1C-8634-EAE4BB1D4105}
[2025-03-25 17:49:11][INFO]parsing address: 149.172.56.XX:4000
[2025-03-25 17:49:11][INFO]its an ipv4 adress
[2025-03-25 17:49:11][INFO]ip_address is {149.172.56.XX}, port is {4000}
[2025-03-25 17:49:11][INFO]parsing address: 127.0.0.1:2910
[2025-03-25 17:49:11][INFO]its an ipv4 adress
[2025-03-25 17:49:11][INFO]ip_address is {127.0.0.1}, port is {2910}
[2025-03-25 17:49:11][INFO]dev=[\Device\NPF_{7A2B6640-8E02-4D1C-8634-EAE4BB1D4105}]
[2025-03-25 17:49:11][INFO]important variables: log_level=4:INFO raw_mode=faketcp cipher_mode=xor auth_mode=simple key=secret key local_addr=127.0.0.1:2910 remote_addr=149.172.56.XX:4000 socket_buf_size=1048576
[2025-03-25 17:49:11][INFO]remote_ip=[149.172.56.XX], make sure this is a vaild IP address
[2025-03-25 17:49:11][INFO]const_id:1467156e
[2025-03-25 17:49:11][INFO]--dev has been manually set, using device:[\Device\NPF_{7A2B6640-8E02-4D1C-8634-EAE4BB1D4105}]
[2025-03-25 17:49:11][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:12][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:14][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:16][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:17][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:19][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:20][INFO]waiting for a use-able packet to be captured
[2025-03-25 17:49:22][INFO]waiting for a use-able packet to be captured

 

[wertzuiop123]

ok hmm
waiting for a use-able packet to be captured bedeutet: udp2raw findet auf dem angegebenen Interface keinen passenden Netzwerkverkehr, den es tunneln kann – meist ein Routing- oder Interface-problem.

• udp2raw als Administrator gestartet?
• Der gewählte Adapter (\Device\NPF_{...}) muss zu der aktiven Routepassen. WLAN ist ok aber ist dein Windows-Rechner tatsächlich über genau dieses WLAN online, wenn du udp2raw startest?
• Deaktiviere testweise Windows Defender Firewall _> sie kann pcap-Verkehr blockieren, besonders auf WLAN.
• udp2raw wartet auf Rückmeldungen vom server... wenn am anderen Ende (LXC)keineVerbindung zustande kommt oder der Port/Key nicht passt -> es bleibt hängen. Teste das mal step by step:
  • Auf dem Server (LXC) udp2raw manuell starten
  • am Client udp2raw starten
  • WireGuard aktivieren (damit Traffic erzeugt wird...)
• Port 4000/tcp (bei --raw-mode faketcp) muss zum LXC durchgeleitet werden
  • NAT + Firewall -> passt Portweiterleitung auf LXC-IP:4000?

Weilwenn du am Client "waiting for packet" sieht, aber am Server nichts, dann kommt der Verkehr gar nicht an (OPNsense -> Portcheck).

 

[LordHelmchen200]

Hier noch die OPNsense Freigabe

Ergänzung (Dienstag um 18:09)

ist dein Windows-Rechner tatsächlich über genau dieses WLAN online, wenn du udp2raw startest?

Ich habe alle anderen netzwerk Adapter und hyper-V Geräte sowie LAN deaktiviert, so das mir nurnoch WLAN übrig bleibt

Ergänzung (Dienstag um 18:10)

Ah ich habe 2910 inzwischen wieder zu 51820 geändert da ich dachte das könnte ein Problem sein

Ergänzung (Dienstag um 18:26)

ok hmm

Wenn ich den netzwerk Adapter selbst auswählen lasse (Ohne --Dev) dann entscheidet der sich für den WG Tunnel, dessen fehler dann mit unknown pcap link type : 12 endet. Der nimmt wohl nicht die WLAN Karte, wernn ich nichts eintrage

Ergänzung (Dienstag um 18:34)

Hmmm:

telnet 149.172.56.XX 4000 zeigt nur ein leeres Fenster