Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 994
- Punkte für Reaktionen
- 134
- Punkte
- 43
Ab der Zeile „sed -i '/net.ipv6.conf.all.forwarding=1/s/^#//g' /etc/sysctl.conf“
[Problem] FritzBox Wireguard Verbindung aufbauen
- Ersteller ültje
- Erstellt am
In diesem Fall ist es die Zeichenfolge "perl"
Code:
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
iptables -A FORWARD -i wg0 -o $(arp -n -H ether | perle -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perle -pe 's/.* //') -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $(arp -n -H ether | perle -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perle -pe 's/.* //') -o wg0 -j ACCEPTDanke @Insti für deine Mühe mit dem Code. Das hätte ich mir nicht so schnell "aneignen" können...
Habe die Befehle ausgeführt, noch iptables-persistent installiert. Pi mal neugestartet. Keine Änderung. Verbindung wird mit grüner Lampe als aktiv gekennzeichnet, aber mein Client ist dann offline. Ich glaub ich schmeiß das Handtuch und bleibe bei Tailscale. Ich steig nicht durch, wie auch, das ist ja super komplex ohne jegliche Netzwerk-Vorerfahrung...
Habe die Befehle ausgeführt, noch iptables-persistent installiert. Pi mal neugestartet. Keine Änderung. Verbindung wird mit grüner Lampe als aktiv gekennzeichnet, aber mein Client ist dann offline. Ich glaub ich schmeiß das Handtuch und bleibe bei Tailscale. Ich steig nicht durch, wie auch, das ist ja super komplex ohne jegliche Netzwerk-Vorerfahrung...
Ja, ist die gleiche IP. Das ist wohl das einzige was ich hinbekommen habe.
Welche IP würdest du denn vom Client aus anpingen, wenn du die Verbindung testen willst?
Welche IP würdest du denn vom Client aus anpingen, wenn du die Verbindung testen willst?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,491
- Punkte für Reaktionen
- 628
- Punkte
- 113
Die Frage ist, warum? Ich dachte, du willst auf die Festplatte zugreifen, und nicht dein ganzes Heimnetz über den VPN Server im Internet surfen lassen. Bedenke, dass dann aller Internetverkehr durch den Upload des anderen Anschlusses muss. Ist das wirklich dein Ziel?
Falls nicht, sollten wir über diese iptables Regeln noch mal sehr genau nachdenken. Dann sind die nämlich nicht das, was du brauchst.
Also: Was konkret ist das Ziel? Oben steht, Haushalt B soll auf die Festplatte zugreifen. Wenn die Festplatte am Pi hängt, braucht man dafür keine iptables Regeln, und wenn die Festplatte im Heimnetz A woanders hängt, braucht man andere Regeln. Da steht nicht, Haushalt B soll über das Internet von Haushalt A surfen, und nur dafür wären die aktuellen Regeln gut. Den Zugriff auf die Festplatte können sie vielleicht sogar verhindern.
Falls nicht, sollten wir über diese iptables Regeln noch mal sehr genau nachdenken. Dann sind die nämlich nicht das, was du brauchst.
Also: Was konkret ist das Ziel? Oben steht, Haushalt B soll auf die Festplatte zugreifen. Wenn die Festplatte am Pi hängt, braucht man dafür keine iptables Regeln, und wenn die Festplatte im Heimnetz A woanders hängt, braucht man andere Regeln. Da steht nicht, Haushalt B soll über das Internet von Haushalt A surfen, und nur dafür wären die aktuellen Regeln gut. Den Zugriff auf die Festplatte können sie vielleicht sogar verhindern.
Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 994
- Punkte für Reaktionen
- 134
- Punkte
- 43
Ich würde versuchen per ssh (putty o.ähnliches) auf die wg ip vom pi zu kommen. Ist doch bei dir die 10.7.0.1 ?
@frank_m24 Ich mag, wie strukturiert du denkst 
Du hast absolut Recht. Ich möchte NICHT, dass mein Client über das Internet von Haushalt A surft. Ich möchte lediglich auf den entfernten Pi und dessen USB-Festplatte.
Dass ich versuche zu pingen und während der aktiven WG-Verbindung versuche zu surfen, sehe ich vorrangig als Test der Verbindung. Das grüne Licht bringt mich ja so noch nicht weiter.
Du hast absolut Recht. Ich möchte NICHT, dass mein Client über das Internet von Haushalt A surft. Ich möchte lediglich auf den entfernten Pi und dessen USB-Festplatte.
Dass ich versuche zu pingen und während der aktiven WG-Verbindung versuche zu surfen, sehe ich vorrangig als Test der Verbindung. Das grüne Licht bringt mich ja so noch nicht weiter.
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,491
- Punkte für Reaktionen
- 628
- Punkte
- 113
Ok, dann lasse die iptables Regeln erst mal komplett weg. Sorge erst mal dafür, dass der VPN Tunnel steht und du aus deinem Heimnetz von Baushalt B die IP des Pis im Transportnetz von Haushalt A pingen kannst.
Und damit sind wir wieder bei #31, letzter Absatz. Das ist dafür erforderlich. Alles, was danach kam, war ein schöner Ausflug in die Welt der Bash-Scripte und Regular Expressions, hilft uns aber keinen Schritt weiter.
Und damit sind wir wieder bei #31, letzter Absatz. Das ist dafür erforderlich. Alles, was danach kam, war ein schöner Ausflug in die Welt der Bash-Scripte und Regular Expressions, hilft uns aber keinen Schritt weiter.
Wenn ich VPN richtig verstehe, wird bei einer Standard-VPN-Verbindung der komplette Netzwerkverkehr des Clients über den Tunnel geschickt, d.h. "Haushalt B" als Tunnel-Ersteller surft über den Tunnelendpunkt (hier der Pi aus Haushalt A), was aber mangels Routingfähigkeit des Pi scheitert.
Im Client müßte also hinterlegt werden, daß nur der Verkehr zum angesprochene Pi über den Tunnel geht und der sonstige Internetverkehr am VPN-Tunnel vorbeiläuft.
Der Weg wäre dann, zunächst einen VPN-Tunnel zu konfigurieren, der den Pi als Endpunkt und Router nutzen würde.
Im 2. Schritt muß die Konfiguration auf dem Client angepaßt werden, um allen Internetverkehr außer dem zum Pi vom Tunnel fernzuhalten.
Wie genau die Konfiguration geändert werden muß hängt von der jeweiligen VPN-Software ab; ebenso ob dieser Mischbetrieb (Normales Surfen ohne VPN plus Traffic zu einem bestimmten Ziel über den Tunnel) mit der verwendeten VPN-Software überhaupt möglich ist.
Eventuell kann das sogar schon bei der Einrichtung eingestellt werden. Die Funktion müßte sinngemäß "Kompletten Verkehr über den Tunnel leiten" heißen.
Im Client müßte also hinterlegt werden, daß nur der Verkehr zum angesprochene Pi über den Tunnel geht und der sonstige Internetverkehr am VPN-Tunnel vorbeiläuft.
Der Weg wäre dann, zunächst einen VPN-Tunnel zu konfigurieren, der den Pi als Endpunkt und Router nutzen würde.
Im 2. Schritt muß die Konfiguration auf dem Client angepaßt werden, um allen Internetverkehr außer dem zum Pi vom Tunnel fernzuhalten.
Wie genau die Konfiguration geändert werden muß hängt von der jeweiligen VPN-Software ab; ebenso ob dieser Mischbetrieb (Normales Surfen ohne VPN plus Traffic zu einem bestimmten Ziel über den Tunnel) mit der verwendeten VPN-Software überhaupt möglich ist.
Eventuell kann das sogar schon bei der Einrichtung eingestellt werden. Die Funktion müßte sinngemäß "Kompletten Verkehr über den Tunnel leiten" heißen.
Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 994
- Punkte für Reaktionen
- 134
- Punkte
- 43
Standart wird der gesamte Traffic über den Tunnel geschickt wenn in der [Peer] Sektion
steht. Will man nur eine bestimmte ip oder bestimmtes Netz erreichen, dann auch dort ändern.
Bsp. es soll nur das Heimnetzwerk erreichbar über den Tunnel sein und das Internet über den eingenen ISP
Code:
AllowedIPs = 0.0.0.0/0, ::/0Bsp. es soll nur das Heimnetzwerk erreichbar über den Tunnel sein und das Internet über den eingenen ISP
Code:
AllowedIPs = 192.168.178.0/24, fd00::/64Anhänge
Neueste Beiträge
-
FBF 7530 blinkt, startet selbst von neu und ist nicht erreichbar.Was tun?
- Letzte: Christian123
-
Fritzfon C6 interner Anrufer wird nicht gehört- Letzte: stoney
-
Fritzbox 5590 oder 7690 am Glasfaseranschluss
- Letzte: GinaOnline
-
VDSL2 100Mbit/s heute ohne Vectoring noch nutzbar?
- Letzte: Knogle
-
FB-7590-Fon - Gleiche IP für LAN und WLAN, trotz Löschen. Was nun?
- Letzte: Ldwg2002
-
-
FRITZ!Mesh Set 4200 / FRITZ!OS 8.xx
- Letzte: Santa2021