Ich verstehe dein Problem noch nicht so ganz. Verwendest du den von der FB erzeugten QR-Code bzw. WG-Konfi 1:1 oder fummelst du noch daran rum?
Brauche Hilfe für die Einrichtung Android Wireguard
- Ersteller laurent
- Erstellt am
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,432
- Punkte für Reaktionen
- 612
- Punkte
- 113
Was steht denn jetzt bei den Allowed IPs drin? Und macht der Server NAT für den VPN Clients?
Hier meine konfig.
Habe auch festgestellt wenn wireguard auf meinem Server läuft das der Server kein Inet mehr hat.Wenn WG ausgeschaltet wird geht auf dem Server inet wieder.
Habe auch festgestellt wenn wireguard auf meinem Server läuft das der Server kein Inet mehr hat.Wenn WG ausgeschaltet wird geht auf dem Server inet wieder.
Code:
[Interface]
Address = 192.168.206.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; iptables -A FORWARD -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; iptables -D FORWARD -o %i -j ACCEPT
ListenPort = 51820
FwMark = 0xca6c
PrivateKey = xxxxxxxxxxxxxxxxxxxx=
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 192.168.206.3/32, 0.0.0.0/0
Endpoint = 46.95.xx.xxx:xxxAch so, versteh grad, es ja gar nicht um das Wireguard auf der Fritzbox. Ich hab wohl nicht richtig gelesen 
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,432
- Punkte für Reaktionen
- 612
- Punkte
- 113
Auf dem Server solltest du die 0.0.0.0/0 nicht eintragen. Das braucht man nur bei den Clients. Der Server soll seinen gesamten Internet-Traffic ja nicht ins VPN schicken.
Im Vergleich zu oben haben sich die Netzwerk-Interfaces in den iptables Regeln geändert. Hinten bei den letzten Regeln steht noch ein %i drin. Ist das so richtig? Kann sein, dass man dort mit Variablen arbeiten kann, aber vielleicht sollte man da die richtigen Interfaces eintragen.
Wofür ist die FwMark drin? Hast du weitere iptables Regeln, die davon Gebrauch machen?
Im Vergleich zu oben haben sich die Netzwerk-Interfaces in den iptables Regeln geändert. Hinten bei den letzten Regeln steht noch ein %i drin. Ist das so richtig? Kann sein, dass man dort mit Variablen arbeiten kann, aber vielleicht sollte man da die richtigen Interfaces eintragen.
Wofür ist die FwMark drin? Hast du weitere iptables Regeln, die davon Gebrauch machen?
Die FwMark ist 51820 in hexadezimal.Wird von WG automatisch gesetzt.
Auch mit ausgeschalteter Firewall funktioniert es nicht.
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,432
- Punkte für Reaktionen
- 612
- Punkte
- 113
Ähhh - nein! Die wird garantiert nicht automatisch gesetzt. Die ist für spezielles policy based routing. In mindestens 99% aller Fälle braucht man die als Privatnutzer nicht. Ich hab die in meinem Setup nicht drin, und hatte auch noch nie Bedarf dafür, obwohl ich an mehreren anderen Stellen mit policy based Routing arbeite.
Also noch mal sehr deutlich die Frage: Wo kommt die her, und warum ist die da? Gibt es andere Regeln oder Routing Tabellen, die die benutzen? Das musst du ja wissen, denn du musst sie ja eingerichtet haben.
Ich hatte darüber hinaus oben ja noch ein paar weitere Fragen formuliert. Wie sieht es damit aus?
Wer sprach davon, die Firewall zu deaktivieren?
Ich beginne so langsam zu glauben, dass du bei der Einrichtung auf ein automatisches Script benutzt hast oder die Dateien stumpf aus irgendeiner Anleitung kopiert hast. Das funktioniert, solange man exakt das vorhat, was diese Scripte und Anleitungen hergeben. Sobald man nur minimal abweicht, führt es in die Katastrophe.
Das weiss ich nicht wo die herkommt....habe das nach dieser Anleitung klick eingerichtet.
-- Zusammenführung Doppelpost gemäß Boardregeln by stoney
Ich habe die config neu gemacht und das FwMark gelöscht. jetzt geht es.
Mich würde aber interessieren wo das FwMark herkommt.
Zuletzt bearbeitet von einem Moderator:
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,432
- Punkte für Reaktionen
- 612
- Punkte
- 113
Erstaunlich, denn in der Anleitung steht nichts von FwMark.
Das wirst du irgendwann in die Konfig eingefügt haben. Vermutlich hast du mal in anderen Anleitungen geschaut?
Bislang funktioniert die WG Verbindung sehr gut.Bis letztes WE.
Bei meinem Bekannten habe ich über Wlan keine Verbindung zusammen bekommen da er DS-Lite hat (Kabel Vodafone).
Muss an der Konfiguration noch was hinzugefügt werden oder geht das mit DS-Lite nicht?
Bei meinem Bekannten habe ich über Wlan keine Verbindung zusammen bekommen da er DS-Lite hat (Kabel Vodafone).
Muss an der Konfiguration noch was hinzugefügt werden oder geht das mit DS-Lite nicht?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,432
- Punkte für Reaktionen
- 612
- Punkte
- 113
Dein Zugang muss halt IPv6 tauglich sein. Also von der IP-Adresse über die DDNS Adresse (!) bis hin zum VPN Server muss alles zusätzlich auf IPv6 eingerichtet werden. Der DDNS Adresse kommt dabei besondere Bedeutung zu, denn bei IPv6 hat der Linux Server seine eigene öffentliche Adresse. Die Adresse des Routers (wie bei IPv4) funktioniert nicht. Das heißt, man braucht einen weiteren DDNS Account, der vom Linux Server aktualisiert wird, oder man braucht einen DDNS Service, der mit Prefix-Aktualisierungen zurechtkommt, wie z.B. dynv6.
Peter_Lehmann
Mitglied
- Mitglied seit
- 13 Mrz 2007
- Beiträge
- 711
- Punkte für Reaktionen
- 289
- Punkte
- 63
@laurent:
Ist es zu viel verlangt, dort einfach einmal auf deren Webseite nachzuschauen?
Meine Empfehlung ist und bleibt die Nutzung von dynv6.com als DDNS-Server, welcher sauber und stabil eine Namensauflösung für beide Protokolle gewährleistet.
Ein zweiter Vorteil ist, dass es für diesen Dienst auch perfekt funktionierende DDNS-Clients gibt, welche bei der Nutzung von IPv6 auf dem jeweiligen (externen) WG-Server laufen müssen. (Oder zumindest sollten, um ohne Tricks dem DDNS-Server die aktuelle IPv6 des Gerätes melden zu können.)
Meine beiden Androiden, aber auch meine Linux-Rechner arbeiten perfekt mit diesem Anbieter zusammen.
Und (noch einmal): Ich habe ein einziges (kostenfreies) Benutzerkonto bei dynv6.com und lasse mir dort die DDNS-Namen von allen 8 Heimroutern (DSL und FTTH) meiner VPN-Teilnehmer in drei EU-Ländern und von allen 8 daran angeschlossenen Wireguard-Endpunkten in beiden Protokollen auflösen.
BTW:
Mit einem automatisch ablaufenden Script teste ich dauerhaft die Erreichbarkeit aller Router (WAN), die Erreichbarkeit aller internen Tunnelendpunkte und die Erreichbarkeit wichtiger dauerhaft laufender Geräte wie unsere NAS, pi-hole usw. Und selbstverständlich sowohl mit IPv4 als auch IPv6. Es kommt extrem selten vor, dass da eine Fehlermeldung kommt.
vy 73 de Peter
Ist es zu viel verlangt, dort einfach einmal auf deren Webseite nachzuschauen?
Meine Empfehlung ist und bleibt die Nutzung von dynv6.com als DDNS-Server, welcher sauber und stabil eine Namensauflösung für beide Protokolle gewährleistet.
Ein zweiter Vorteil ist, dass es für diesen Dienst auch perfekt funktionierende DDNS-Clients gibt, welche bei der Nutzung von IPv6 auf dem jeweiligen (externen) WG-Server laufen müssen. (Oder zumindest sollten, um ohne Tricks dem DDNS-Server die aktuelle IPv6 des Gerätes melden zu können.)
Meine beiden Androiden, aber auch meine Linux-Rechner arbeiten perfekt mit diesem Anbieter zusammen.
Und (noch einmal): Ich habe ein einziges (kostenfreies) Benutzerkonto bei dynv6.com und lasse mir dort die DDNS-Namen von allen 8 Heimroutern (DSL und FTTH) meiner VPN-Teilnehmer in drei EU-Ländern und von allen 8 daran angeschlossenen Wireguard-Endpunkten in beiden Protokollen auflösen.
BTW:
Mit einem automatisch ablaufenden Script teste ich dauerhaft die Erreichbarkeit aller Router (WAN), die Erreichbarkeit aller internen Tunnelendpunkte und die Erreichbarkeit wichtiger dauerhaft laufender Geräte wie unsere NAS, pi-hole usw. Und selbstverständlich sowohl mit IPv4 als auch IPv6. Es kommt extrem selten vor, dass da eine Fehlermeldung kommt.
vy 73 de Peter
Nein natürlich nicht.
Da wird ein Dienst "IPv6 Reverse" angeboten. Vorraussetzung dafür ist ein "ipv6 tunnel broker".
Aber ich kenne mich viel zu wenig aus ob das mit Wireguard funktioniert.
Zuletzt bearbeitet:
Habe auf dynv6.com umgestellt. Auch die Fritzbox habe ich bei den Verbindungseinstelleungen auf 6to4 gestellt.
Gibt es eine Möglichkeit zu testen ob das mit IP 6 funktioniert?
Gibt es eine Möglichkeit zu testen ob das mit IP 6 funktioniert?
erik
IPPF-Promi
- Mitglied seit
- 30 Nov 2004
- Beiträge
- 6,376
- Punkte für Reaktionen
- 410
- Punkte
- 83
Peter_Lehmann
Mitglied
- Mitglied seit
- 13 Mrz 2007
- Beiträge
- 711
- Punkte für Reaktionen
- 289
- Punkte
- 63
Hallo @laurent ,
ohne zu wissen, bei welchem Provider du welchen Internetzugang hast, ist es schwer, dir eine fundierte Antwort (ob du "echten " Dualstack oder "nur" DS-Lite hast) zu geben.
In der Regel bieten alle mir bekannten ISP DS-Lite (also eine bzw. mehrere IPv6 und eine IPv4 aus dem CGNAT des ISP). Und nur noch einige wendige ISP sind in der Lage aus einem rechtzeitig "besorgten" Pool an routingfähigen IPv4 eine selbige zusätzlich zu den IPv6 zu vergeben. Also, sie bieten echten Dualstack. ISP, welche lediglich eine routingfähige IPv4 und keine IPv6 vergeben sind mir (zumindest im "Festnetz") nicht bekannt. Die gibt es IMHO höchstens vereinzelt noch im Mobilfunkbereich - wenn überhaupt.
Es ist also nicht mehr nötig, um eine IPv6 zu erhalten, einen Tunnelanbieter zu benutzen. (Noch mal, es kann sein, dass … => siehe oben. Aber dazu ist es erforderlich zu wissen, => siehe meine erste Frage.)
Bei korrekter Einstellung im Router (Zugangsdaten > IPv6) kannst du im Onlinemonitor sehen, ob du eine (mehrere) IPv6 und eine routingfähige IPv4 oder eben nur eine IPv4 aus dem CGNAT erhältst.
Und wenn du einen Dualstackfähigen DynDNS-Anbieter (auch auf den Clients) korrekt eingerichtet hast, dann kannst du von jedem Gerät aus auch per ping die richtige Funktion der Namensauflösung überprüfen. Selbstverständlich zusätzlich zu einer Abfrage wie "ip a s" auf einem Linux-Client.
Erst, wenn das auf dieser Ebene funktioniert, ergibt es Sinn, sich mit VPN und anderen Anwendungen zu befassen.
BTW: Für jeden, der sich (erstmals) intensiv mit IPv6 befassen will, gebe ich den Hinweis auf die c't 07/22. Besser und vor allem für Einsteiger geeignet habe ich das nirgendwo gelesen.
Warnung!
Es kann natürlich sein, dass dabei erkannt wird, dass man eigentlich die IPv4 (oder den "echten" DS) gar nicht mehr benötigt …
vy 73 de Peter
ohne zu wissen, bei welchem Provider du welchen Internetzugang hast, ist es schwer, dir eine fundierte Antwort (ob du "echten " Dualstack oder "nur" DS-Lite hast) zu geben.
In der Regel bieten alle mir bekannten ISP DS-Lite (also eine bzw. mehrere IPv6 und eine IPv4 aus dem CGNAT des ISP). Und nur noch einige wendige ISP sind in der Lage aus einem rechtzeitig "besorgten" Pool an routingfähigen IPv4 eine selbige zusätzlich zu den IPv6 zu vergeben. Also, sie bieten echten Dualstack. ISP, welche lediglich eine routingfähige IPv4 und keine IPv6 vergeben sind mir (zumindest im "Festnetz") nicht bekannt. Die gibt es IMHO höchstens vereinzelt noch im Mobilfunkbereich - wenn überhaupt.
Es ist also nicht mehr nötig, um eine IPv6 zu erhalten, einen Tunnelanbieter zu benutzen. (Noch mal, es kann sein, dass … => siehe oben. Aber dazu ist es erforderlich zu wissen, => siehe meine erste Frage.)
Bei korrekter Einstellung im Router (Zugangsdaten > IPv6) kannst du im Onlinemonitor sehen, ob du eine (mehrere) IPv6 und eine routingfähige IPv4 oder eben nur eine IPv4 aus dem CGNAT erhältst.
Und wenn du einen Dualstackfähigen DynDNS-Anbieter (auch auf den Clients) korrekt eingerichtet hast, dann kannst du von jedem Gerät aus auch per ping die richtige Funktion der Namensauflösung überprüfen. Selbstverständlich zusätzlich zu einer Abfrage wie "ip a s" auf einem Linux-Client.
Erst, wenn das auf dieser Ebene funktioniert, ergibt es Sinn, sich mit VPN und anderen Anwendungen zu befassen.
BTW: Für jeden, der sich (erstmals) intensiv mit IPv6 befassen will, gebe ich den Hinweis auf die c't 07/22. Besser und vor allem für Einsteiger geeignet habe ich das nirgendwo gelesen.
Warnung!
Es kann natürlich sein, dass dabei erkannt wird, dass man eigentlich die IPv4 (oder den "echten" DS) gar nicht mehr benötigt …
vy 73 de Peter
Bin bei T-Online
Scheint zu funktionieren
Scheint zu funktionieren
Code:
Der Online-Monitor stellt Informationen zu Ihrer Internetverbindung und zu aktivierten Zusatzfunktionen zur Verfügung.
DSL
verbunden, ↓ 116,8 Mbit/s ↑ 46,7 Mbit/s
Internet, IPv4
verbunden seit 29.03.2022, 15:59 Uhr, Telekom, Geschwindigkeit des Internetzugangs (verfügbare Bitrate): ↓ 114,1 Mbit/s ↑ 45,6 Mbit/s,
IPv4-Adresse:xx.xx.xx.39
Internet, IPv6
verbunden seit 29.03.2022, 15:59 Uhr, Telekom, Geschwindigkeit des Internetzugangs (verfügbare Bitrate): ↓ 114,1 Mbit/s ↑ 45,6 Mbit/s,
IPv6-Adresse: xxx:xxxxx:8000:9axx:cbff:fe3x:9xxd, Gültigkeit: 6663/3063s,
IPv6-Präfix: xxx:2e5f:xxx7::/56, Gültigkeit: 6663/3063s
Genutzte DNS-Server
8.8.8.8 (aktuell genutzt für Standardanfragen)
8.8.4.4Neueste Beiträge
-
[Frage] DIGITAL TECH GUARD RECOVERY: REVOLUTIONNIZING BITCOIN ASSET RETRIEVAL
- Letzte: amandapage09
-
[Frage] Fritzbox Fiber (5530, 5590) Noch Einstellung der Modem ID möglich?- Letzte: Michel aus Lönneberga
-
AVM Thermostate mit Zigbee Sensoren
- Letzte: n3os
-
FRITZ!Repeater3000 AX INHAUS - 7.9x - Smart24P1FCS
- Letzte: Michel aus Lönneberga
-
Grandstream ATA HT818 /Anklopfen gnacken aussetzen
- Letzte: frankbugislaus
-
FRITZ!Box 6850 5G - INHAUS/Labor - Smart24P1 - 7.90 - Sammelthema
- Letzte: thomasschaefer
