(Wireguard) Verbindung der Geräte untereinander

[pscriptos]

Hallo zusammen,

ich komme mit meinem Problem aktuell leider nicht weiter und hoffe auf Unterstützung von euch.

Folgendes Thema habe ich:
Ich habe Zuhause einen Wireguard Server stehen. Er funktioniert. Das bedeutet ich bin unterwegs und stelle zb. mit meinem NB oder meinem Smartphone eine Verbindung nach hause her.
Entweder wird nur der interne Traffic geroutet oder eben alles, habe dafür jeweils ein Profil und es funktioniert auch gut.

Nun habe ich eine weitere Anforderung:
Ich möchte gerne, dass die Geräte, welche per VPN zu diesem Server verbunden sind auch untereinander kommunizieren können.
Beispiel: NB: IP 10.7.0.3 & Smartphone: IP 10.7.0.13

Wenn ich mit dem VPN verbunden bin und das andere Endgerät pinge, dann knallts mit einem Fehler:

Ich habe im Internet ein wenig recherchiert und bin auf folgende Seite gestoßen: LINK
Nachdem ich das ausprobiert habe, kam mein VPN nicht mehr hoch.

Was mache ich falsch?
Vll fällt jemandem was dazu ein.

Danke euch.
donnerwolke

 

[owalort]

Befindet sich das VPN Netzwerk ìn der gleichen Klasse(Subnetz)? Nicht das sich dort ein Fehler eingeschlichen hat?

LG

 

[iWaver]

Hatte mich das auch gefragt auf meinem Wireguard pi-vpn Server. Funktioniert hat dann:

sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -i wg0 -o wg0 -j ACCEPT

auf dem Server.

Dann die virtuelle IP des Geräts notieren, mit dem man sich verbinden möchte.
Dann auf diesem Zielgerät in /etc/ssh/sshd_config

#ForceCommand internal-sftp

auskommentieren und einen Port einstellen und notieren.
Dann dort noch

sv restart sshd
#bzw
systemctl restart sshd

und dann vom Quellgerät verbinden mit

ssh ZielUser@ZielVirtualIP -pZielPort

Quellen sind "Can I make Wireguard VPN peers to talk to each other?" und "How can I allow access to both SSH and SFTP?".

 

[pscriptos]

Befindet sich das VPN Netzwerk ìn der gleichen Klasse(Subnetz)? Nicht das sich dort ein Fehler eingeschlichen hat?

LG

Ich habe das Server-Netz (10.0.1.0/24) und eben das VPN-Netz (10.7.0.0/24). Die lokale IP der Maschine ist logischerweise im Server-Netz und die VPN Geräte erhalten eben eine IP aus dem anderen netz. Mein Ziel ist es, dass die Geräte, die mit dem VPN verbunden sind, eben auch untereinander kommunizieren können.
Der call ins Heimische Netzwerk & ins Server-Netz funktionieren ohne Probleme.

Hatte mich das auch gefragt auf meinem Wireguard pi-vpn Server. Funktioniert hat dann:

sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -i wg0 -o wg0 -j ACCEPT

auf dem Server.

Dann die virtuelle IP des Geräts notieren, mit dem man sich verbinden möchte.
Dann auf diesem Zielgerät in /etc/ssh/sshd_config

#ForceCommand internal-sftp

auskommentieren und einen Port einstellen und notieren.
Dann dort noch

sv restart sshd
#bzw
systemctl restart sshd

und dann vom Quellgerät verbinden mit

ssh ZielUser@ZielVirtualIP -pZielPort

Quellen sind "Can I make Wireguard VPN peers to talk to each other?" und "How can I allow access to both SSH and SFTP?".

Ich werde das gleich ausprobieren, brauche aber ein wenig Zeit. Ich melde mich heute Abend noch mal.
Danke schön!

 

[shag]

Hast du denn das ganze VPN Netz in den Erlaubten IPs auf beiden Clients? Sonst kann es ja nicht funktionieren.

 

[pscriptos]

Nein, tatsächlich nicht. Stimmt, da war was. Ich werde das heute Abend in den Tests mit reinnehmen. Danke für den Hinweis, denn ich hatte bisher immer nur das Heim- & Servernetz angegeben.
Wenn ich aber 0.0.0.0/24 als allowed IPs drin stehen habe, sollte das funktionieren oder?

 

[Bob.Dig]

Wenn ich aber 0.0.0.0/24 als allowed IPs drin stehen habe, sollte das funktionieren oder?

Mit 0.0.0.0/0 sollte ihnen es (alles) erlaubt sein. Dann noch das Routing machen, auf Linux vermutlich so, wie das @iWaver beschrieben hat.

 

[pscriptos]

Jungs,
vielen Dank!
Ich habe jetzt die IP Tables Regel aktiviert und die IP Adressen in dem Netz zugelassen.

Eins noch eben: Ich glaube die Regel ist nach einem Neustart wieder weg soviel ich weiss. Besteht die Möglichkeit dies auch dauerhaft zu aktivieren?
Vielen Dank euch noch mal!!

 

[shag]

Die Regel sollte im Dienst stehen, wo das Interface (wg0) gestartet wird. Schau vielleicht mal nach einer anderen Anleitung.

 

[pscriptos]

Vielen Dank dafür!