gl-mt300n-v2 mit openwrt und Wireguard

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

belu

Neuer User
Mitglied seit
14 Nov 2006
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich weiss nicht ob ich hier "richtig" bin, versuche es allerdings einmal. :)

Ich habe ein kleines Kästchen GL MT300n-v2, welches ich an der LAN (nicht WAN) Schnittstelle hinter einer älteren Fritzbox im Heimnetz als Wireguard-Server betreiben will. Ich bekomme von außen (Portweiterleitung des Wireguard- Ports) eine VPN Verbindung und kann auch Pingen und die Weboberfläche des Wireguard-Servers aufrufen. In der Fritzbox ist das Routing des Transfernetzes des Wireguard-Tunnels so gesetzt, das die Anfragen auf den LAN Port des Wiregurad Routers laufen. Ich kann also von außen über FB>GL-MT300n-V2 alle internen Geräte meines Heimnetzwerkes pingen, z.B. auch den LAN-Drucker. Nur komme ich nirgends auf eine Weboberfläche (Drucker, andere Geräte, RDP Zugang, etc). Nur das Webinterface des GL-MT300n-V2 ist über den Tunnel erreichbar.

Was mache ich falsch? Per SSH habe ich im Openwrt (GL-MT300n-V2) auch schon mal die Firewall gestoppt. Kann es sein das dies ein Problem mit dem Gerät GL MT300n-v2 ist?

Ich freue mich auch Rückmeldungen sehr.
Viele Grüße
Benico
 
Funktionierende Glaskugel oder verwendete Konfigurationsdaten (Keys bitte verfremden) wären möglicherweise hilfreich
 
rerhafnhabu schrieb:
Funktionierende Glaskugel oder verwendete Konfigurationsdaten (Keys bitte verfremden) wären möglicherweise hilfreich
Zum Vergrößern anklicken....
Ja. Klar. Danke.



Code: 
### OpenWrt Server



config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd1e:9d47:1481::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '10.0.5.180'
    option gateway '10.0.5.254'
    list dns '10.0.5.254'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option device 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '6t 1'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '6t 0'

config wireguard_wireguard
    option description 'Testsystem'
    option public_key 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
    option persistent_keepalive '25'
    option route_allowed_ips '1'
    list allowed_ips '10.0.5.0/24'
    list allowed_ips '10.0.21.0/28'

config interface 'vpn'
    option proto 'wireguard'
    option private_key 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
    option listen_port '51820'
    list addresses '10.0.21.1/28'
    list addresses 'fe10:9::1/64'

config wireguard_vpn 'wgclient'
    list allowed_ips '10.0.21.2/32'
    list allowed_ips 'fe10:9::2/128'
    option public_key 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'





#### Firewall OpenWRT Server

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option synflood_protect '1'
    option forward 'ACCEPT'

config zone 'lan'
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'
    list network 'vpn'

config zone 'wan'
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wan6'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule 'wg'
    option name 'Allow-WireGuard'
    option src 'wan'
    option dest_port '51820'
    option proto 'udp'
    option target 'ACCEPT'


### Windows Client
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ListenPort = 51820
Address = 10.0.21.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.0.87.125/32, 10.0.21.0/28, 10.0.5.0/24
Endpoint = xxxxxxx:51820
PersistentKeepalive = 25

[CODE] TAG [/CODE] gesetzt by stoney
 
Zuletzt bearbeitet von einem Moderator:
Oh bitte, wenn solche ellenlangen Konfigs, dann in Code Tags. Die Wireguard Konfigs und eine Beschreibung der gli Router Konfiguration (z.B. NAT aktiv) hätte allerdings gereicht.
Dafür fehlen andere wichtige Informationen, z.B. welches der Netze nun deine Fritzbox verwendet, welche statischen Routen du eingerichtet hast und wo, usw.
 
Nun genau das kannst Du ja in den Konfigs lesen, 10.0.5.0/24. Würde die Route nicht stimmen, wäre kein Ping oder Tracert möglich. Hier geht es um die nicht erreichbaren Ports/Dienste. Icmp v4 geht ja von beiden Seiten und jedem Gerat überall hin! Also kann es nach meinem Verständnis kein Routing Problem sein.
 
belu schrieb:
Nun genau das kannst Du ja in den Konfigs lesen, 10.0.5.0/24.
Zum Vergrößern anklicken....
Du traust uns wirklich viel zu, aus einem "Testsystem" benannten Eintrag zu schließen, dass das dein Fritzbox Netz ist.

belu schrieb:
Hier geht es um die nicht erreichbaren Ports/Dienste.
Zum Vergrößern anklicken....
Was hast du denn konfiguriert fürs VPN Interface? In deinen Konfigs kann man das nicht sehen, darin sind nur die Regeln für WAN und LAN, aber keine für VPN. Hast du das Interface überhaupt eingerichtet?
 
frank_m24 schrieb:
Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney
Zum Vergrößern anklicken....
Ja, ich true euch sehr viel zu :) . Momentan bin ich auch viel weiter gekommen. Ich versuche das nochmal klarer zu machen.


  1. Testsystem ist der externe PC per Wireguard Windows Client.
  2. Die Fritzbox ist KEINE Fritzbox (ich wollte es nur sehr verallgemeinern - war eine schlechte Idee von mir, ich bitte um Entschuldigung. Es ist eine pfSense 32 Bit, bei der kein Wiregard möglich ist, deshalb der kleine GL Openwrt Router.
Mittlerweile habe ich in einem pfSense Forum folgenden Beitrag erfasst:

...
Also habe ich im LAN der pfSense (10.0.5.254/24) auf einem kleinen gl-mt300n-v2 (10.0.5.180/24 LAN + 10.0.21.1/28 wg) mit neuer openwrt firmware (nicht die originale Firmware) Wireguard installiert. In der pfSense ist ein Gateway angelegt mit Schnittstelle LAN und als Route dann eingetragen 10.0.21.0/28 (subnetiertes Tranbsfernetz vom Wireguard) zu 10.0.5.180. Der Wireguard Client hat als WG IP 10.0.21.2 .

Ich kann vom gesamten 10.0.5.0/24 LAN den Test-PC mit wg IP 10.0.21.2/28 erreichen, von diesem Test-PC auch alle Geräte im Netzwerk 10.0.5.0/24 pingen.
Auch kann ich vom diesem Test-PC (angebundener entfernter wg Client) die Website der pfSense (andere wg Seite) mit https://10.0.5.254:port erreichen, ebenso die Weboberfläche des wg Server mit 10.0.5.180 (andere wg Seite).


Mehr nicht! Keinen Drucker im LAN 10.0.5.xxx/24. Mache ich "tracert 10.0.21.2" von einem PC im pfSense-LAN (10.0.5.46 - Standard GW ist die pfSense mit 10.0.5.254) im Netzwerk 10.0.5.xxx/24 sehe ich folgendes:

Erste Route: pfSense mit 10.0.5.254
dann zurück zu 10.0.5.180 (wg Server)
dann zum Client 10.0.21.2 über Internet Wireguard Tunnel

Setze ich nun auf dem Windows Client eine extra Route mit
route add 10.0.21.0 mask 255.255.255.240 10.0.5.180
sieht dies Sache so aus:
Erste Route direkt zu 10.0.5.180 (wg Server)
dann zum Client 10.0.21.2

Damit erreiche ich nun vom wg Client 10.0.21.2 alle Dienste auf dem PC im pfSense-LAN mit allen Protokollen (http,https,rdp, etc.

Findet hier eine Filterung an der LAN Schnittstelle vor GW weiterleitung über die gleiche LAN Schnittstelle statt? Das kann doch garnicht sein?


###
Ich hoffe das war ausreichend erklärt?
Viele Grüße

-- Zusammenführung Doppelpost by stoney

Ich habe es eben lösen können. Ich bin in die Falle mit

Static Routes | pfSense Documentation

docs.netgate.com docs.netgate.com

getappt. Genau das war mein Problem.

Vielen Dank aber für die Zeit die ihr mir hier entgegengebracht habt. Ich weiss es sehr zu schätzen!
Viele Grüße Benico

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich meinte asynchrones Routing.
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 702 (Mitglieder: 29, Gäste: 673)

Neueste Beiträge

Statistik des Forums

Themen
246,194
Beiträge
2,247,793
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück