WireGuard VPN, Internetverbindung zulassen

[ArrorRT]

Hallo Leite,

ich habe vor kurzem ein WireGuard VPN aufgesetzt und die Verbindung ist sehr stabil und auch super zuverlässig.

Ich habe nur ein Problem, auf dem PC auf dem WireGuard installiert ist bzw. der PC, der sich mit dem VPN verbinden soll, kann sobald der VPN verbunden wird, keine Verbindung mehr zum Internet herstellen.
(Die Verbindung soll ganz normal über das Netzwerk gehen, mit dem der PC ohne VPN verbunden ist, es ist nämlich möglich über die Internetverbindung des VPN Servers ins Internet zu gehen, aber das möchte ich nicht)

Kann ich das in der Konfiguration irgendwie ändern?

Meine Google Suche war leider erfolglos, entweder zu kompliziert der oder es hat nicht funktioniert.

Meine Konfiguration:

[Interface]
PrivateKey = KEY
Address = 192.168.178.XX
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = KEY
PresharedKey = KEY
AllowedIPs = 192.168.178.0/24, 0.0.0.0/1, 128.0.0.0/1
Endpoint = ENDPOINT xD
PersistentKeepalive = 25

 

[Tamron]

Also möchtest du kein Full Tunnel sondern ein Split Tunnel, richtig?
Was ist dann der Sinn des VPNs? Möchtest du nur in deine Heimumgebung zur NAS oder so?

 

[ArrorRT]

@Tamron genau das möchte ich
also entfernter PC -> NAS

 

[riversource]

AllowedIPs = 192.168.178.0/24, 0.0.0.0/1, 128.0.0.0/1

In der Zeile müssen die letzten beiden Einträge raus. Da darf nur das Subnetz der Fritzbox rein.

 

[ArrorRT]

@riversource
Jetzt ist die Frage, welcher?

Ich hoste den WireGuard nämlich auf meiner 7590 und die hat 192.168.178.XX und die Fritz!Box, an der der PC angebunden ist, nutzt 192.178.60.XX

Muss ich dort jetzt also 192.178.60.0/24 oder 192.168.178.0/24 drin haben?

und natürlich die 0.0.0.0/1 und die 128.0.0.0/1 löschen

 

[LasseSamenström]

PostUp eingerichtet?
iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown eingerichtet?
iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

eth0 musst du evtl. auf deine eingerichtete Schnittstelle anpassen.

Und schmeiß deine wg0 conf mal über den Haufen oder zensier deinen privatekey&preshared key

192.168.178.0/24 muss in den allowedip's stehen

 

[ArrorRT]

@LasseSamenström keine Ahnung, ob das in meiner Fritz!Box überhaupt möglich ist, das erschient mir alles recht schlicht gehalten.

Und die Keys habe ich verändert keine Sorge .

das mit wg0 conf habe ich aber net so ganz verstanden also, was genau du meinst. Ich bin Neuling in dem Gebiet. xD

 

[honky-tonk]

192.168.178.0/24

die drin lassen.

und ich würde den private key und dein endpoint mal rausnehmen...sonst kommt damit meine ich jeder bei dir rein....am besten die konfig aus der FB raus löschen nach dem post hier

Ergänzung (15. Dezember 2022)

PostUp eingerichtet?
iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown eingerichtet?
iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

eth0 musst du evtl. auf deine eingerichtete Schnittstelle anpassen.

Und schmeiß deine wg0 conf mal über den Haufen oder zensier deinen privatekey&preshared key

192.168.178.0/24 muss in den allowedip's stehen

das passiert eigentlich alles automatisch, braucht man nix mit iptables anpassen.

 

[NatokWa]

Ähm moment mal .... verstehe ich das richtig aus dem sermon da oben : Du willst GLEICHZEITIG mit dem "VPN" verbunden sein das KEINE I-Net-Verbindung hat/zuläßt UND "Normal" über eine sozusagen 2. Verbindung ins I-Net ?
Das klappt idr. nur dann wenn der PC MIT dem du das machst der DHCP-Master inerhalb deines Heimnetzes ist. Ansonsten kannst du keine 2 Verbindungen gleichzeitig haben (außer du hast PHYSISCH 2 LAN-Buchsen und einen Router der das untersützt !!)

Edit : Klappt anscheinend mitlerweile doch ... man lernt nie aus :-)

 

[ArrorRT]

Hat geklappt Freunde die Lösung war 0.0.0.0/1, 128.0.0.0/1 zu löschen.

@honky-tonk ich habe alles verändert also random Buchstaben und Zahlen eingegeben, ist es immer noch schlimm?

Ich würde es sonst eig gern für andere Leute mit demselben Problem drin lassen.

 

[honky-tonk]

ndert also random Buchstaben und Zahlen eingegeben, ist es immer noch schlimm?

dann ist ja gut...private, preshared key und endpoint sind die kritischen, wenn das geändert wurde ist alles ok

 

[Bob.Dig]

Ähm moment mal ....

Aha, so kommt man also auf 138 Beiträge seit November. Nicht lesen können, nicht verstehen können und dann Sermon schreiben. 😣

 

[nex86]

ich stehe vor demselben problem.
Ich möchte über meinen VPN NUR die Verbindung ins andere interne Netzwerk aber NICHT die Verbindung ins Internet getunnelt habe.


Konfiguration ist folgende:

wg0.cfg:
# This file was generated using wireguard-ui (https://github.com/ngoduykhanh/wireguard-ui)
# Please don't modify it manually, otherwise your change might get replaced.

# Address updated at:     2023-02-04 17:43:18.707495491 +0000 UTC
# Private Key updated at: 2023-02-04 17:43:18.709735903 +0000 UTC
[Interface]
Address = 10.10.10.0/24
ListenPort = 51820
PrivateKey =
MTU = 1450
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE




Zugangs config:

[Interface]
Address = 10.10.10.1/32
PrivateKey =
MTU = 1450
#FwMark = 0xca6c

[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 192.168.0.0/24,0.0.0.0/0
Endpoint =
PersistentKeepalive = 15

wenn ich unter AllowedIPs = die 0.0.0.0/24 wegnehme so dass nur 192.168.0.0/24 erlaubt ist geht gar kein Datenverkehr durch.
192.168.178.0/24 auch schon probiert geht auch nicht...


irgendeine idee?

Ergänzung (14. Februar 2023)

In der Zeile müssen die letzten beiden Einträge raus. Da darf nur das Subnetz der Fritzbox rein.

das hab ich probiert, geht nicht, dann geht gar nichts durch.

 

[Bob.Dig]

Was soll denn hier mit was verbunden werden?

 

[Donnidonis]

Wurde ip_Firmware per sysctl gesetzt?

Meine Empfehlung zum Installieren: https://github.com/angristan/wireguard-install

 

[riversource]

wenn ich unter AllowedIPs = die 0.0.0.0/24 wegnehme so dass nur 192.168.0.0/24 erlaubt ist geht gar kein Datenverkehr durch.
192.168.178.0/24 auch schon probiert geht auch nicht...

Eine 0.0.0.0/24 gibt es da gar nicht. Wenn du an die anderen Einstellungen genau so sorgfältig herangehst, dann wundert mich nicht, dass nichts geht.
Du musst da natürlich das Netz eintragen, dass du verwenden willst. Einfach eine Anleitung abtippen, klappt nicht. Man muss sich schon überlegen, was in die Konfig reinmuss.
Wofür sind die NAT Regeln? Ja nach Anwendung sperrst du damit ja auch den Datenverkehr in eine Richtung. Bevor du die einfach löscht: Mach dir Gedanken übers Routing fürs VPN, also NAT oder vollwertig. Dann die entsprechenden Firewall-Regeln bzw. Routen erzeugen, auf beiden Seiten des Tunnels. Auch hier gilt: Überleg dir, was du willst, und dann passe die Anleitung gemäß deinen Vorstellungen an.

Meine Empfehlung zum Installieren: https://github.com/angristan/wireguard-install

Davon halte ich gar nichts. Das funktioniert vielleicht, solange man exakt das will, was dieses Script tut. Sobald man was ändern will oder gar auf der anderen Seite was zum Einsatz kommt, was nicht exakt zu diesem Script passt, ist man raus. Zum Beispiel mit einer Fritzbox als Gegenstelle ist man mit dem Script raus.
Als Anfänger versteht man überhaupt nicht, was dieses Script tut. Es erzeugt irgendeine Konfiguration, und wenn die nicht funktioniert, hat man keine Ahnung, was man machen muss. Besser ist es, zu verstehen, wie Wireguard funktioniert, und was man wo zusätzlich einstellen muss in Bezug auf Routing und Firewall. Dann kann man auch reagieren, wenn man mal was ändern muss oder mit einer exotischen Gegenstelle konfrontiert wird.

 

[Donnidonis]

@riversource
Wer einfach nur einen VPN Server haben will ist meiner Meinung nach mit dem Script sehr gut beraten. Klar, wer mehr möchte, muss selbst Hand anlegen. Das konnte ich hier aber bisher nicht rauslesen.

Zusätzlich kann man in dem Script auch einfach ‚abgucken‘ was man selbst noch nicht eingerichtet hat und noch fehlen könnte, oder wie man die QR Codes generiert. Es muss halt passen, dann sind so Scripte super.

Eine zusätzliche Frage: wieso geht das mit der FRITZ!Box nicht? Wollte demnächst eine anbinden. Das Tool erstellt doch nur Configs. Kann die Fritzbox nicht mal Configs laden?

 

[riversource]

Wer einfach nur einen VPN Server haben will ist meiner Meinung nach mit dem Script sehr gut beraten.

Nee. Zum Beispiel sind die NAT Regeln starr. Man muss schon echt Glück haben, dass dieses Script was erzeugt, was einem weiterhilft.

Klar, wer mehr möchte, muss selbst Hand anlegen.

Mehr muss gar nicht. Anders reicht.

Es muss halt passen, dann sind so Scripte super.

Ich hatte bislang noch keinen Fall, wo es gepasst hätte.

Eine zusätzliche Frage: wieso geht das mit der FRITZ!Box nicht?

Die Fritzbox arbeitet nicht mit einem separaten Transport Netz, sondern auch für VPN Clients mit ihrem lokalen Fritzbox Netz und macht dann Proxy Arp. Das kannst du mit dem Script total vergessen.

 

[Donnidonis]

@riversource
Das von mir genannte Script legt beim starten die benötigten MASQUERADE Einträge an, nimmt sie beim stoppen wieder raus, das forwarding wird aktiviert. Es funktioniert out of the Box. Ich kenne locker 10 Leute im privaten, bestimmt insgesamt 20 aus dem Job, die mit dem Script ihren VPN Server aufgesetzt haben.

Also weiß ich nicht was du für Netze hast, das es noch NIE gepasst hat, aber es scheint für den ‚Ottonormalverbraucher‘ super zu funktionieren.

Was passt denn an dem Script nicht, dass es nicht funktionieren kann? Was stellst du per Hand denn anders ein, bzw. noch zusätzlich?

 

[riversource]

In den allermeisten Fällen will ich kein NAT für die VPN Clients, weil bi-direktionale Zugriffe möglich sein sollen. Wenn ich Internetzugang für die VPN Clients will, dann macht das NAT der Internetrouter, aber nicht der VPN Server, u.a., um unterschiedliche VPN Clients in der Firewall separat behandeln zu können. Macht der VPN Server NAT, dann sehen für die Firewall alle VPN Clients gleich aus (=> gleiche IP).
Dazu kommt es häufig vor, dass ich mehrere LANs miteinander verbinden will (z.B. mehrere Familienmitglieder verbinden ihre Heimnetze), und zusätzlich gibt es mobile Clients. Dabei sollen sowohl die beiden Netze als auch die mobilen Clients gegenseitig Zugriff haben.

Solange man nur einen mobilen Client hat, der nur in der Richtung Client -> Netz Zugriff benötigt, funktioniert dieses Script. Sobald das nicht mehr gegeben ist, ist man raus. Für mich funktioniert das nicht, da ich VPNs grundsätzlich anders konzipiere.