Wireguard mit ipv6 einrichten.

[laurent]

Hallo
Da meine Fritzbox von Vodavone noch die Firmware 7.29 hat und deshalb kein Wireguard versuche ich es auf meinem Server.

Wireguard ist installiert und läuft

interface: vpn
public key: xxxxxxxxxxxxxxxxxxxxxxxxxx
private key: (hidden)
listening port: 51820

Aber ich kann mich mit dem Androidclienten nicht verbinden.

08-17 13:26:58.368 3394 3394 D InputTransport: Input channel destroyed: 'ClientS', fd=113
08-17 13:27:01.811 3394 7333 D WireGuard/GoBackend/HP-Server: peer(UdYK…RLzE) - Handshake did not complete after 5 seconds, retrying (try 2)
08-17 13:27:01.811 3394 7333 D WireGuard/GoBackend/HP-Server: peer(UdYK…RLzE) - Sending handshake initiation
08-17 13:27:06.839 3394 11769 D WireGuard/GoBackend/HP-Server: peer(UdYK…RLzE) - Sending handshake initiation
08-17 13:27:11.878 3394 11769 D WireGuard/GoBackend/HP-Server: peer(UdYK…RLzE) - Handshake did not complete after 5 seconds, retrying (try 2)

Ich habe mich direkt mit der Dyndns Adresse meines Servers verbunden.

So schaut die config Serverseitig aus.

Address = 192.168.206.2/32
Address = fddc:980e:a378:05c2::/64
PrivateKey = xxxxxxxxxxxx=

PostUp = iptables -A FORWARD -i vpn -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; ip6tables -A FORWARD -i vpn -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; iptables -A FORWARD -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i vpn -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; ip6tables -D FORWARD -i vpn -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enso1 -j MASQUERADE; iptables -D FORWARD -o %i -j ACCEPT
ListenPort = 51820

Hier der client

[Interface]
Address = 192.168.206.2/32
DNS = 8.8.8.8, 8.8.4.4, fe80::9a9b:cbff:fe33:9410%rmnet2
ExcludedApplications = de.almisoft.boxtogofull, com.overlook.android.fing, de.avm.android.wlanapp, org.appwork.myjdandroid, com.netflix.mediaclient, com.plexapp.android, de.radio.android.prime, com.spotify.music, com.frack.spotiq, org.leetzone.android.yatsewidgetfree
PrivateKey = xxxxxBNYahwDIZSe3MxNVc=

[Peer]
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = xxx.dns.army:51820
PersistentKeepalive = 25
PublicKey = xxxxNhSayhpRLzE=

So hat es zumindest mit ipv4 funktioniert.

 

[chrsto]

Der Config auf dem Server fehlen sämtliche Peers der Clients, die sich einwählen sollen.

Es sei denn das hier:

Address = 192.168.206.2/32
Address = fddc:980e:a378:05c2::/64
PrivateKey = xxxxxxxxxxxx=

soll Teil des Peers sein. Dann gehört da der PublicKey rein.

Alles in allem, ist dein Beitrag ziemlich unübersichtlich, unvollständig und unsortiert.

 

[laurent]

Ja hast recht.

habe das ergänzt.


Bei Allowed IP muss bestimmt auch eine ppv6 rein wie muss die ausschauen?
Bei Address bin ich mir auch nicht sicher ob das stimmt.

[Interface]

Address = 192.168.206.1/32
Address = fddc:980e:a378:05c2::/64
PrivateKey =xxxxxjOK77R+MjUlA=
ListenPort = 51820

PostUp = iptables -A FORWARD -i vpn -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; ip6tables -A FORWARD -i vpn -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eno1 -j MASQUERADE; iptables -A FORWARD -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i vpn -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -j MASQUERADE; ip6tables -D FORWARD -i vpn -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enso1 -j MASQUERADE; iptables -D FORWARD -o %i -j ACCEPT


[Peer]
PublicKey = xxxxxx5dp2szfP2VE9DpgNkRQpNhSayhpRLzE=
AllowedIPs = 192.168.206.2/32

 

[chrsto]

WireGuard Tools - Configuration Generator

Nutz bitte diesen.

 

[laurent]

Wenn ich unter cidr fddc:980e:a378:05c2::/64 eingebe mault der Generator ich soll eine gültige cdri eingeben.

We ich ipv6 benutze muss doch auch eine ipv6 Adresse rein oder nicht?

 

[chrsto]

Eine IPv6 mit :: am Ende ist ungültig.

Ich kann dir nicht sagen, wie man IPv6 über WireGuard nutzt, das habe ich bisher noch nicht gemacht.

 

[KunterBunter]

Das ist eben keine gültige IPv6-Adresse im Internet.

 

[frank_m24]

We ich ipv6 benutze muss doch auch eine ipv6 Adresse rein oder nicht?

Die Frage ist, wo willst du IPv6 Nutzen? Willst du den VPN Tunnel über IPv6 aufbauen, oder IPv6 innerhalb des Tunnels nutzen? Letzteres macht in Heimnetzen meistens keinen Sinn, erst recht nicht mit ULAs.

 

[laurent]

Gute Frage.

Ich will nur das über Wireguard mein Heimnetz erreichbar ist.Zb.Fritzfon und die Samba Freigaben meines Server.

 

[erik]

Dazu brauchst Du im Tunnel kein IPv6, habe ich auch weggelassen weil es damit nur ein mal funktionierte aber für mich zu unübersichtlich wurde. Der Tunnel wird über IPv6 aufgebaut, überträgt aber nur IPv4.

 

[laurent]

Das bedeutet?

Unter Interface Address muss ich keinen ipv6 angeben?

 

[frank_m24]

Genau. IPv6 Adressen weg (sowohl bei den Addresses als auch bei den Allowed IPs), und die ip6tables Regeln raus.

 

[laurent]

Bei dem cConfigurator wird eine CIDR verlangt.Woher bekomme ich die Passende her.Bei meiner alten Konfig hatte ich als Adresse 192.168.206.1/24.

Die nimmt aber der Configurator nicht.

Habe auch einen IPv4 to CIDR Notation Conversion Tool benutzt

Der hat dann dieses ausgespuckt. Wenn ich dann "192.168.206.1/32" eingebe kommt als Fehlermeldung "Not enough available IPs in given CIDR"

192.168.206.1/32
192.168.206.2/31
192.168.206.4/30
192.168.206.8/31
192.168.206.10/32

 

[frank_m24]

Versuchs mal mit 192.168.206.0/24. Kommt auch immer drauf an, wo du die Adresse benutzt. Bei der lokalen Adresse reicht 192.168.206.1/32. Bei den Allowed IPs muss es üblicherweise ein Subnetz sein.

 

[laurent]

Es will einfacht funktionieren Kann man das auch ohne Dyndns testen?

Wenn ich diw Adresse in der " xxxx:xxxx:xxxx:xxxx:a21d:48ff:fec7:cb8c" Form eingebe nimmt der Client den Tunnel nicht an.

[Interface]

Address = 192.168.206.1/24

ListenPort = 51820

PrivateKey = xxxxbOPt3ZmWOEJqfeEEVRkGA=

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -j MASQUERADE



[Peer]

PublicKey = xxxxxxz9BAVC/nWddCX2h0mw=

PresharedKey = xxxxxxxx8xruuv8=

AllowedIPs = 192.168.206.2/32

[Interface]

Address = 192.168.206.2/24

ListenPort = 51820

PrivateKey = xxxxxbs6olfq+jXGl4=



[Peer]

PublicKey = xxxxq9vwOQFv9m8=

PresharedKey = xxxxM8xruuv8=

AllowedIPs = 0.0.0.0/0, ::/0

Endpoint = xxxx.dns.army:51820

ifconfig

vpn: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 192.168.206.1 netmask 255.255.255.0 destination 192.168.206.1
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000

 

[frank_m24]

Es will einfacht funktionieren

Was konkret funktioniert denn nicht? Wird der Tunnel nicht aufgebaut? Fließen keine Daten?

Kann man das auch ohne Dyndns testen?

Klar. Aber warum sollte man, wenn die dyndns Adresse richtig aufgelöst wird?

Der Client hat eine IPv6 Adresse? Und er befindet sich nicht im gleichen Netz, wie der VPN Server?

 

[laurent]

ich komme mit meiner dyndns adresse nicht mehr auf meinen FTPServer deshalb will ich ohne dyndns testen.

Der Adressbereich meines Servers ist 192.168.1.48.

Ja es fließen Keine Daten.

 

[chrsto]

Entspricht die IPv6 Adresse auch der des WireGuard Servers bzw. dem PC/Server/Ding wo WireGuard drauf läuft? Ist diese auch eine öffentliche IPv6 und ist diese im Router auch entsprechend freigegeben für externen Zugriff?

 

[frank_m24]

ich komme mit meiner dyndns adresse nicht mehr auf meinen FTPServer

Du willst doch eine VPN Verbindung aufbauen. Was lässt dich vermuten, dass ein FTP Server dir da weiterhelfen könnte? Und wenn die Adresse die gleiche ist: Warum sollte es ohne dyndns besser werden?

Der Adressbereich meines Servers ist 192.168.1.48.

Und was sollen wir mit dieser Information jetzt anfangen? 192.168.1.x taucht bislang nirgendwo auf, auch nicht in einer deiner Konfigurationsdateien. Deshalb kann ich dir sagen: Nach allem, was wir bislang von deinem Netz kennen, ist der Zugriff darauf nicht möglich.

 

[laurent]

Jetzt geht mein FTP-Server wieder.Ich hatte die Freigabe in der Fritzbox gelöscht.Also muss ich auch für Wireguard eine Freigabe machen?