Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 995
- Punkte für Reaktionen
- 134
- Punkte
- 43
Ab der Zeile „sed -i '/net.ipv6.conf.all.forwarding=1/s/^#//g' /etc/sysctl.conf“
[Problem] FritzBox Wireguard Verbindung aufbauen
- Ersteller ültje
- Erstellt am
In diesem Fall ist es die Zeichenfolge "perl"
Code:
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
iptables -A FORWARD -i wg0 -o $(arp -n -H ether | perle -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perle -pe 's/.* //') -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $(arp -n -H ether | perle -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perle -pe 's/.* //') -o wg0 -j ACCEPTDanke @Insti für deine Mühe mit dem Code. Das hätte ich mir nicht so schnell "aneignen" können...
Habe die Befehle ausgeführt, noch iptables-persistent installiert. Pi mal neugestartet. Keine Änderung. Verbindung wird mit grüner Lampe als aktiv gekennzeichnet, aber mein Client ist dann offline. Ich glaub ich schmeiß das Handtuch und bleibe bei Tailscale. Ich steig nicht durch, wie auch, das ist ja super komplex ohne jegliche Netzwerk-Vorerfahrung...
Habe die Befehle ausgeführt, noch iptables-persistent installiert. Pi mal neugestartet. Keine Änderung. Verbindung wird mit grüner Lampe als aktiv gekennzeichnet, aber mein Client ist dann offline. Ich glaub ich schmeiß das Handtuch und bleibe bei Tailscale. Ich steig nicht durch, wie auch, das ist ja super komplex ohne jegliche Netzwerk-Vorerfahrung...
Ja, ist die gleiche IP. Das ist wohl das einzige was ich hinbekommen habe.
Welche IP würdest du denn vom Client aus anpingen, wenn du die Verbindung testen willst?
Welche IP würdest du denn vom Client aus anpingen, wenn du die Verbindung testen willst?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,491
- Punkte für Reaktionen
- 628
- Punkte
- 113
Die Frage ist, warum? Ich dachte, du willst auf die Festplatte zugreifen, und nicht dein ganzes Heimnetz über den VPN Server im Internet surfen lassen. Bedenke, dass dann aller Internetverkehr durch den Upload des anderen Anschlusses muss. Ist das wirklich dein Ziel?
Falls nicht, sollten wir über diese iptables Regeln noch mal sehr genau nachdenken. Dann sind die nämlich nicht das, was du brauchst.
Also: Was konkret ist das Ziel? Oben steht, Haushalt B soll auf die Festplatte zugreifen. Wenn die Festplatte am Pi hängt, braucht man dafür keine iptables Regeln, und wenn die Festplatte im Heimnetz A woanders hängt, braucht man andere Regeln. Da steht nicht, Haushalt B soll über das Internet von Haushalt A surfen, und nur dafür wären die aktuellen Regeln gut. Den Zugriff auf die Festplatte können sie vielleicht sogar verhindern.
Falls nicht, sollten wir über diese iptables Regeln noch mal sehr genau nachdenken. Dann sind die nämlich nicht das, was du brauchst.
Also: Was konkret ist das Ziel? Oben steht, Haushalt B soll auf die Festplatte zugreifen. Wenn die Festplatte am Pi hängt, braucht man dafür keine iptables Regeln, und wenn die Festplatte im Heimnetz A woanders hängt, braucht man andere Regeln. Da steht nicht, Haushalt B soll über das Internet von Haushalt A surfen, und nur dafür wären die aktuellen Regeln gut. Den Zugriff auf die Festplatte können sie vielleicht sogar verhindern.
Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 995
- Punkte für Reaktionen
- 134
- Punkte
- 43
Ich würde versuchen per ssh (putty o.ähnliches) auf die wg ip vom pi zu kommen. Ist doch bei dir die 10.7.0.1 ?
@frank_m24 Ich mag, wie strukturiert du denkst 
Du hast absolut Recht. Ich möchte NICHT, dass mein Client über das Internet von Haushalt A surft. Ich möchte lediglich auf den entfernten Pi und dessen USB-Festplatte.
Dass ich versuche zu pingen und während der aktiven WG-Verbindung versuche zu surfen, sehe ich vorrangig als Test der Verbindung. Das grüne Licht bringt mich ja so noch nicht weiter.
Du hast absolut Recht. Ich möchte NICHT, dass mein Client über das Internet von Haushalt A surft. Ich möchte lediglich auf den entfernten Pi und dessen USB-Festplatte.
Dass ich versuche zu pingen und während der aktiven WG-Verbindung versuche zu surfen, sehe ich vorrangig als Test der Verbindung. Das grüne Licht bringt mich ja so noch nicht weiter.
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,491
- Punkte für Reaktionen
- 628
- Punkte
- 113
Ok, dann lasse die iptables Regeln erst mal komplett weg. Sorge erst mal dafür, dass der VPN Tunnel steht und du aus deinem Heimnetz von Baushalt B die IP des Pis im Transportnetz von Haushalt A pingen kannst.
Und damit sind wir wieder bei #31, letzter Absatz. Das ist dafür erforderlich. Alles, was danach kam, war ein schöner Ausflug in die Welt der Bash-Scripte und Regular Expressions, hilft uns aber keinen Schritt weiter.
Und damit sind wir wieder bei #31, letzter Absatz. Das ist dafür erforderlich. Alles, was danach kam, war ein schöner Ausflug in die Welt der Bash-Scripte und Regular Expressions, hilft uns aber keinen Schritt weiter.
Wenn ich VPN richtig verstehe, wird bei einer Standard-VPN-Verbindung der komplette Netzwerkverkehr des Clients über den Tunnel geschickt, d.h. "Haushalt B" als Tunnel-Ersteller surft über den Tunnelendpunkt (hier der Pi aus Haushalt A), was aber mangels Routingfähigkeit des Pi scheitert.
Im Client müßte also hinterlegt werden, daß nur der Verkehr zum angesprochene Pi über den Tunnel geht und der sonstige Internetverkehr am VPN-Tunnel vorbeiläuft.
Der Weg wäre dann, zunächst einen VPN-Tunnel zu konfigurieren, der den Pi als Endpunkt und Router nutzen würde.
Im 2. Schritt muß die Konfiguration auf dem Client angepaßt werden, um allen Internetverkehr außer dem zum Pi vom Tunnel fernzuhalten.
Wie genau die Konfiguration geändert werden muß hängt von der jeweiligen VPN-Software ab; ebenso ob dieser Mischbetrieb (Normales Surfen ohne VPN plus Traffic zu einem bestimmten Ziel über den Tunnel) mit der verwendeten VPN-Software überhaupt möglich ist.
Eventuell kann das sogar schon bei der Einrichtung eingestellt werden. Die Funktion müßte sinngemäß "Kompletten Verkehr über den Tunnel leiten" heißen.
Im Client müßte also hinterlegt werden, daß nur der Verkehr zum angesprochene Pi über den Tunnel geht und der sonstige Internetverkehr am VPN-Tunnel vorbeiläuft.
Der Weg wäre dann, zunächst einen VPN-Tunnel zu konfigurieren, der den Pi als Endpunkt und Router nutzen würde.
Im 2. Schritt muß die Konfiguration auf dem Client angepaßt werden, um allen Internetverkehr außer dem zum Pi vom Tunnel fernzuhalten.
Wie genau die Konfiguration geändert werden muß hängt von der jeweiligen VPN-Software ab; ebenso ob dieser Mischbetrieb (Normales Surfen ohne VPN plus Traffic zu einem bestimmten Ziel über den Tunnel) mit der verwendeten VPN-Software überhaupt möglich ist.
Eventuell kann das sogar schon bei der Einrichtung eingestellt werden. Die Funktion müßte sinngemäß "Kompletten Verkehr über den Tunnel leiten" heißen.
Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 995
- Punkte für Reaktionen
- 134
- Punkte
- 43
Standart wird der gesamte Traffic über den Tunnel geschickt wenn in der [Peer] Sektion
steht. Will man nur eine bestimmte ip oder bestimmtes Netz erreichen, dann auch dort ändern.
Bsp. es soll nur das Heimnetzwerk erreichbar über den Tunnel sein und das Internet über den eingenen ISP
Code:
AllowedIPs = 0.0.0.0/0, ::/0Bsp. es soll nur das Heimnetzwerk erreichbar über den Tunnel sein und das Internet über den eingenen ISP
Code:
AllowedIPs = 192.168.178.0/24, fd00::/64Anhänge
Moin Leute.
Hier ist jetzt die Konfig des Servers:
Edit: Und wie mache ich die iptables-Geschichte am einfachsten wieder rückgängig?
Edit: Ich hab grad mal an den Keys meines Clients rumgefummelt und bewusst Stellen vertauscht. Danach kann ich immer noch eine "Verbindung aufbauen", die mit grünem Licht visualisiert wird. Das scheint also nicht viel Wert zu sein... ich glaub ich resette heute nochmal alles und probier es noch ein letztes Mal, basierend auf euren Nachrichten.
Hier ist jetzt die Konfig des Servers:
Und das ist die Konfig des Clients:
Müssen jetzt beim Client die IPs vom Server 10.7.0.1/24, fddd:2c4:2c4:2c4::1/64 in die Allowed IPs?
Edit: Und wie mache ich die iptables-Geschichte am einfachsten wieder rückgängig?
Edit: Ich hab grad mal an den Keys meines Clients rumgefummelt und bewusst Stellen vertauscht. Danach kann ich immer noch eine "Verbindung aufbauen", die mit grünem Licht visualisiert wird. Das scheint also nicht viel Wert zu sein... ich glaub ich resette heute nochmal alles und probier es noch ein letztes Mal, basierend auf euren Nachrichten.
Zuletzt bearbeitet:
Insti
Aktives Mitglied
- Mitglied seit
- 19 Aug 2016
- Beiträge
- 995
- Punkte für Reaktionen
- 134
- Punkte
- 43
Kannst das Script aus #41 auf dem Pi ausführen. Das erstellt dir den Wireguard Server und 5 Client Configs. Die Client Configs sind dann unter /opt zu finden. In der config müsstest dann beim Client nur den endpoint mit der freedns ipv6 subdomain ändern.
Wenn das funktioniert kannst du die
AllowedIPs nach wünschen anpassen und die iptables auch löschen
Code:
sudo rm /etc/iptables/rules.v4
sudo rm /etc/iptables/rules.v6-