Brauche Hilfe für die Einrichtung Android Wireguard

Ich verstehe dein Problem noch nicht so ganz. Verwendest du den von der FB erzeugten QR-Code bzw. WG-Konfi 1:1 oder fummelst du noch daran rum?
 
Hier meine konfig.
Habe auch festgestellt wenn wireguard auf meinem Server läuft das der Server kein Inet mehr hat.Wenn WG ausgeschaltet wird geht auf dem Server inet wieder.

Code:
[Interface]
Address = 192.168.206.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; iptables -A FORWARD -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; iptables -D FORWARD -o %i -j ACCEPT
ListenPort = 51820
FwMark = 0xca6c
PrivateKey = xxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 192.168.206.3/32, 0.0.0.0/0
Endpoint = 46.95.xx.xxx:xxx
 
Ach so, versteh grad, es ja gar nicht um das Wireguard auf der Fritzbox. Ich hab wohl nicht richtig gelesen :rolleyes:
 
Auf dem Server solltest du die 0.0.0.0/0 nicht eintragen. Das braucht man nur bei den Clients. Der Server soll seinen gesamten Internet-Traffic ja nicht ins VPN schicken.

Im Vergleich zu oben haben sich die Netzwerk-Interfaces in den iptables Regeln geändert. Hinten bei den letzten Regeln steht noch ein %i drin. Ist das so richtig? Kann sein, dass man dort mit Variablen arbeiten kann, aber vielleicht sollte man da die richtigen Interfaces eintragen.

Wofür ist die FwMark drin? Hast du weitere iptables Regeln, die davon Gebrauch machen?
 
Wofür ist die FwMark drin? Hast du weitere iptables Regeln, die davon Gebrauch machen?
Die FwMark ist 51820 in hexadezimal.Wird von WG automatisch gesetzt.

Auch mit ausgeschalteter Firewall funktioniert es nicht.
 
Die FwMark ist 51820 in hexadezimal.Wird von WG automatisch gesetzt.
Ähhh - nein! Die wird garantiert nicht automatisch gesetzt. Die ist für spezielles policy based routing. In mindestens 99% aller Fälle braucht man die als Privatnutzer nicht. Ich hab die in meinem Setup nicht drin, und hatte auch noch nie Bedarf dafür, obwohl ich an mehreren anderen Stellen mit policy based Routing arbeite.

Also noch mal sehr deutlich die Frage: Wo kommt die her, und warum ist die da? Gibt es andere Regeln oder Routing Tabellen, die die benutzen? Das musst du ja wissen, denn du musst sie ja eingerichtet haben.

Ich hatte darüber hinaus oben ja noch ein paar weitere Fragen formuliert. Wie sieht es damit aus?

Auch mit ausgeschalteter Firewall funktioniert es nicht.
Wer sprach davon, die Firewall zu deaktivieren?

Ich beginne so langsam zu glauben, dass du bei der Einrichtung auf ein automatisches Script benutzt hast oder die Dateien stumpf aus irgendeiner Anleitung kopiert hast. Das funktioniert, solange man exakt das vorhat, was diese Scripte und Anleitungen hergeben. Sobald man nur minimal abweicht, führt es in die Katastrophe.
 
Also noch mal sehr deutlich die Frage: Wo kommt die her, und warum ist die da? Gibt es andere Regeln oder Routing Tabellen, die die benutzen? Das musst du ja wissen, denn du musst sie ja eingerichtet haben.
Das weiss ich nicht wo die herkommt....habe das nach dieser Anleitung klick eingerichtet.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich habe die config neu gemacht und das FwMark gelöscht. jetzt geht es.
Mich würde aber interessieren wo das FwMark herkommt.
 
Zuletzt bearbeitet von einem Moderator:
Bislang funktioniert die WG Verbindung sehr gut.Bis letztes WE.
Bei meinem Bekannten habe ich über Wlan keine Verbindung zusammen bekommen da er DS-Lite hat (Kabel Vodafone).
Muss an der Konfiguration noch was hinzugefügt werden oder geht das mit DS-Lite nicht?
 
Dein Zugang muss halt IPv6 tauglich sein. Also von der IP-Adresse über die DDNS Adresse (!) bis hin zum VPN Server muss alles zusätzlich auf IPv6 eingerichtet werden. Der DDNS Adresse kommt dabei besondere Bedeutung zu, denn bei IPv6 hat der Linux Server seine eigene öffentliche Adresse. Die Adresse des Routers (wie bei IPv4) funktioniert nicht. Das heißt, man braucht einen weiteren DDNS Account, der vom Linux Server aktualisiert wird, oder man braucht einen DDNS Service, der mit Prefix-Aktualisierungen zurechtkommt, wie z.B. dynv6.
 
  • Like
Reaktionen: erik
@laurent:
Ist es zu viel verlangt, dort einfach einmal auf deren Webseite nachzuschauen?
Meine Empfehlung ist und bleibt die Nutzung von dynv6.com als DDNS-Server, welcher sauber und stabil eine Namensauflösung für beide Protokolle gewährleistet.
Ein zweiter Vorteil ist, dass es für diesen Dienst auch perfekt funktionierende DDNS-Clients gibt, welche bei der Nutzung von IPv6 auf dem jeweiligen (externen) WG-Server laufen müssen. (Oder zumindest sollten, um ohne Tricks dem DDNS-Server die aktuelle IPv6 des Gerätes melden zu können.)
Meine beiden Androiden, aber auch meine Linux-Rechner arbeiten perfekt mit diesem Anbieter zusammen.
Und (noch einmal): Ich habe ein einziges (kostenfreies) Benutzerkonto bei dynv6.com und lasse mir dort die DDNS-Namen von allen 8 Heimroutern (DSL und FTTH) meiner VPN-Teilnehmer in drei EU-Ländern und von allen 8 daran angeschlossenen Wireguard-Endpunkten in beiden Protokollen auflösen.

BTW:
Mit einem automatisch ablaufenden Script teste ich dauerhaft die Erreichbarkeit aller Router (WAN), die Erreichbarkeit aller internen Tunnelendpunkte und die Erreichbarkeit wichtiger dauerhaft laufender Geräte wie unsere NAS, pi-hole usw. Und selbstverständlich sowohl mit IPv4 als auch IPv6. Es kommt extrem selten vor, dass da eine Fehlermeldung kommt.

vy 73 de Peter
 
Ist es zu viel verlangt, dort einfach einmal auf deren Webseite nachzuschauen?
Nein natürlich nicht.

Da wird ein Dienst "IPv6 Reverse" angeboten. Vorraussetzung dafür ist ein "ipv6 tunnel broker".
Aber ich kenne mich viel zu wenig aus ob das mit Wireguard funktioniert.
 
Zuletzt bearbeitet:
Habe auf dynv6.com umgestellt. Auch die Fritzbox habe ich bei den Verbindungseinstelleungen auf 6to4 gestellt.
Gibt es eine Möglichkeit zu testen ob das mit IP 6 funktioniert?
 
Hmm,so steht es in der Anweisung ?

Habe ich das falsch verstanden?
Fritz!OS (German)
Enable IPv6
Go to Internet → Zugangsdaten → IPv6 Make sure that IPv6 support is enabled. If your provider does not support native IPv6 yet, then enable tunneled IPv6 with 6to4.
 
Hallo @laurent ,

ohne zu wissen, bei welchem Provider du welchen Internetzugang hast, ist es schwer, dir eine fundierte Antwort (ob du "echten " Dualstack oder "nur" DS-Lite hast) zu geben.
In der Regel bieten alle mir bekannten ISP DS-Lite (also eine bzw. mehrere IPv6 und eine IPv4 aus dem CGNAT des ISP). Und nur noch einige wendige ISP sind in der Lage aus einem rechtzeitig "besorgten" Pool an routingfähigen IPv4 eine selbige zusätzlich zu den IPv6 zu vergeben. Also, sie bieten echten Dualstack. ISP, welche lediglich eine routingfähige IPv4 und keine IPv6 vergeben sind mir (zumindest im "Festnetz") nicht bekannt. Die gibt es IMHO höchstens vereinzelt noch im Mobilfunkbereich - wenn überhaupt.

Es ist also nicht mehr nötig, um eine IPv6 zu erhalten, einen Tunnelanbieter zu benutzen. (Noch mal, es kann sein, dass … => siehe oben. Aber dazu ist es erforderlich zu wissen, => siehe meine erste Frage.)

Bei korrekter Einstellung im Router (Zugangsdaten > IPv6) kannst du im Onlinemonitor sehen, ob du eine (mehrere) IPv6 und eine routingfähige IPv4 oder eben nur eine IPv4 aus dem CGNAT erhältst.

Und wenn du einen Dualstackfähigen DynDNS-Anbieter (auch auf den Clients) korrekt eingerichtet hast, dann kannst du von jedem Gerät aus auch per ping die richtige Funktion der Namensauflösung überprüfen. Selbstverständlich zusätzlich zu einer Abfrage wie "ip a s" auf einem Linux-Client.

Erst, wenn das auf dieser Ebene funktioniert, ergibt es Sinn, sich mit VPN und anderen Anwendungen zu befassen.

BTW: Für jeden, der sich (erstmals) intensiv mit IPv6 befassen will, gebe ich den Hinweis auf die c't 07/22. Besser und vor allem für Einsteiger geeignet habe ich das nirgendwo gelesen.
Warnung!
Es kann natürlich sein, dass dabei erkannt wird, dass man eigentlich die IPv4 (oder den "echten" DS) gar nicht mehr benötigt …


vy 73 de Peter
 
Bin bei T-Online

Scheint zu funktionieren

Code:
Der Online-Monitor stellt Informationen zu Ihrer Internetverbindung und zu aktivierten Zusatzfunktionen zur Verfügung.
DSL   
 
verbunden, ↓ 116,8 Mbit/s ↑ 46,7 Mbit/s
Internet, IPv4
    
 
    
verbunden seit 29.03.2022, 15:59 Uhr, Telekom, Geschwindigkeit des Internetzugangs (verfügbare Bitrate): ↓ 114,1 Mbit/s ↑ 45,6 Mbit/s,
IPv4-Adresse:xx.xx.xx.39
Internet, IPv6
    
 
    
verbunden seit 29.03.2022, 15:59 Uhr, Telekom, Geschwindigkeit des Internetzugangs (verfügbare Bitrate): ↓ 114,1 Mbit/s ↑ 45,6 Mbit/s,
IPv6-Adresse: xxx:xxxxx:8000:9axx:cbff:fe3x:9xxd, Gültigkeit: 6663/3063s,
IPv6-Präfix: xxx:2e5f:xxx7::/56, Gültigkeit: 6663/3063s
Genutzte DNS-Server     
 
8.8.8.8 (aktuell genutzt für Standardanfragen)
8.8.4.4
 
Bei der Telekom brauchst Du natives IPv4 und aktiviertes IPv6, dann gibts echtes Dual-Stack mit öffentlicher IPv4 und IPv6.
Deine Info sagt nichts, weil Du die wichtigen Infos ge-x-t hast.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.