WireGuard-Verbindungsprobleme: Kein Ping zum Server und lokalen Netzwerkgeräten

TRPWR

Neuer User
Mitglied seit
10 Jan 2025
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
Ich versuche, meine Raspberry Pis über WireGuard verfügbar zu machen, um sie über ein sicheres VPN-Netzwerk zu erreichen.
Das Problem ist, dass ich keine öffentliche IPv4-Adresse habe und daher den Zugriff durch ein VPN-Tunnel über einen Ionos VPS Server realisieren möchte.

Leider stoße ich auf einige Probleme mit der Verbindung und dem Routing.

Server Konfiguration:​


INI:
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820
PrivateKey = <ZENSIERTER_PRIVATE_KEY>

[Peer]
PublicKey = <ZENSIERTER_PUBLIC_KEY>
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25

Client Konfiguration:​


INI:
[Interface]
Address = 10.0.0.3/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 47406
PrivateKey = <ZENSIERTER_PRIVATE_KEY>

[Peer]
PublicKey = <ZENSIERTER_PUBLIC_KEY>
AllowedIPs = 10.0.0.0/24
Endpoint = <ZENSIERTE_PUBLIC_IP>:51820
PersistentKeepalive = 25

Probleme:​

  • Ping vom Client zum Server (10.0.0.1):
    Ich bekomme einen 100%igen Paketverlust, wenn ich vom Client den Server anpinge:

Bash:
ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
^C
--- 10.0.0.1 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5196ms

  • Ping vom Server zu lokalem Gerät (192.168.178.22):
    Der Server kann das lokale Netzwerkgerät nicht erreichen:
Bash:
ping 192.168.178.22
PING 192.168.178.22 (192.168.178.22) 56(84) bytes of data.
From 10.0.0.1 icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Destination address required
From 10.0.0.1 icmp_seq=2 Destination Host Unreachable
ping: sendmsg: Destination address required
From 10.0.0.1 icmp_seq=3 Destination Host Unreachable
ping: sendmsg: Destination address required
From 10.0.0.1 icmp_seq=4 Destination Host Unreachable
ping: sendmsg: Destination address required
From 10.0.0.1 icmp_seq=5 Destination Host Unreachable
ping: sendmsg: Destination address required
From 10.0.0.1 icmp_seq=6 Destination Host Unreachable
ping: sendmsg: Destination address required
^C
--- 192.168.178.22 ping statistics ---
6 packets transmitted, 0 received, +6 errors, 100% packet loss, time 5145ms

Hat jemand ein ähnliches Problem gehabt oder Vorschläge, was mit meiner Konfiguration nicht stimmt? Jede Hilfe wäre sehr willkommen!

Vielen Dank im Voraus!
 
Bevor ich anfange irgendwelche Fremdnetze zu Routen, würde ich erst mal schauen, dass die VPN Verbindung an sich funktioniert.

Beim [Peer] der "Server" Configuration vermisse ich das /32 bei den Allowed IPs, also 10.0.0.3/32. Das was du da stehen hast, ergibt erst mal überhaupt keinen Sinn.

Statt so einem Aufwand, wäre mein Ziel dann allerdings auch die Nutzung über IPv6.
 
Eine Lösung ohne eigenen Server und zur Zeit kostenlos, die ich erfolgreich einsetze:


DynDNS über ipv64.net

Unabhängig vom Provider fkt. IPV4 und/oder IPV6
 
Moin chrsto, moin jools21. Danke erstmal für eure Antworten!

Statt so einem Aufwand, wäre mein Ziel dann allerdings auch die Nutzung über IPv6.
Habe ich natürlich als erstes probiert - kein Erfolg. Warum auch immer. Ich kann freigegebene IPv6 Adressen nicht aus einem anderen Netzwerk als meinem eigenen erreichen. Den DynDNS über ipv64.net hab ich dementsprechend erst gar nicht probiert.


Beim [Peer] der "Server" Configuration vermisse ich das /32 bei den Allowed IPs, also 10.0.0.3/32. Das was du da stehen hast, ergibt erst mal überhaupt keinen Sinn.
Habe ich probiert - keine Chance. Immer das selbe. Selbstverständlich habe ich über
Bash:
wg-quick down wg0.conf
vorher die Verbindung getrennt und später über up wieder hergestellt.
 
Wofür sind da NAT Regeln? Gemäß deiner Beschreibung brauchst du die nicht. In Address Zeilen würde ich immer mit /32 arbeiten, bei den Allowed IPs ggf. mit /24 falls nötig. Die Firewall kommt auch als Fehlerursache infrage. Forward lässt du zwar zu, aber man weiß nicht, was mit Input und Output ist.
 
Wenn Du mit einem offenen Wireguard Port in deiner Fritzbox leben kannst, dann ist der von mir beschriebene Weg wirklich sehr einfach.

- DynDNS bei ipv64.net zB TRPWR.ipv64.net registrieren
- Update URL in Deine Fritzbox eintragen
- zB Port 51820 in der Fritzbox umleiten/öffnen auf den Raspi der wireguard machen soll
- Portmapper (CDN) bei ipv64.net aktivieren

Fertig! Damit ist Deine Fritzbox von außen über IPv4 und IPv6 erreichbar
 

Statistik des Forums

Themen
246,477
Beiträge
2,252,730
Mitglieder
374,253
Neuestes Mitglied
Sd26
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.