[Frage] wireguard vpn Unable to resolve one or more DNS hostname endpoints: No such host is known.

[joe-avm1234]

Hallo,

problem:
wireguard vpn verbindet sich nicht wenn client22 sich an einem bestimmten standort (niederlassung west) befindet.
Von zuhause und über LTE klappt es.

Melde mich mit mehr details in kürze wieder:

auszug log:

2024-01-08 11:56:49.920303: [TUN] [client22] Shutting down
2024-01-08 11:56:49.923089: [MGR] [client22] Tunnel service tracker finished
2024-01-08 11:56:53.844995: [MGR] [client22] Tunnel service tracker finished
2024-01-08 12:03:40.463423: [TUN] [client22] Starting WireGuard/0.5.3 (Windows 10.0.22621; amd64)
2024-01-08 12:03:40.463423: [TUN] [client22] Watching network interfaces
2024-01-08 12:03:40.465984: [TUN] [client22] Resolving DNS names
2024-01-08 12:03:40.503214: [TUN] [client22] Unable to resolve one or more DNS hostname endpoints: No such host is known.

====
[Interface]
PrivateKey = xxxxxxxx
Address = 192.168.1.101/24
DNS = 192.168.1.1
DNS = fritz.box

[Peer]
PublicKey =xxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.1.0/24,0.0.0.0/0
Endpoint = xxxxxxxxxx.myfritz.net:50589
PersistentKeepalive = 25




=

Der LAN Adapter des Notebooks sieht in der Niederlassung West so aus:

Verbindungsspezifisches DNS-Suffix: niederlasung-west.local
Beschreibung: Realtek PCIe GbE Family Controller
Physische Adresse: xxxxxx
DHCP-aktiviert: Ja
IPv4-Adresse: 192.168.3.57
IPv4-Subnetzmaske: 255.255.255.0
Lease erhalten: Sonntag, 7. Januar 2024 09:32:08
Lease läuft ab: Dienstag, 9. Januar 2024 09:32:09
IPv4-Standardgateway: 192.168.3.254
IPv4-DHCP-Server: 192.168.3.2
IPv4-DNS-Server: 192.168.3.2
IPv4-WINS-Server: 192.168.3.2
NetBIOS über TCPIP aktiviert: Ja


An
IPv4-Standardgateway: 192.168.3.254 (watchguard) ist ein Stadtwerke Glafaser dran. (keine fritzbox, direkt am patchfeld...)
Es ist allerdings auch eine Digibox mit der 192.168.1.1 vorhanden.
192.168.1.1 in der Niederlassung West nicht pingbar.
Digibox ist wegen einem Tochterfirma VPN Tunnel vorhanden.
An der Digibox steckt auch ein LANCOM (vpn tunnel) mit der 192.168.7.1.

 

[frank_m24]

Dann prüfe doch mal mit nslookup das Auflösen der Hostnamen
nslookup xxxxxxxxxx.myfritz.net
nslookup xxxxxxxxxx.myfritz.net 8.8.8.8
nslookup xxxxxxxxxx.myfritz.net 1.1.1.1

Es ist allerdings auch eine Digibox mit der 192.168.1.1 vorhanden.

Die hat den gleichen IP Bereich, wie das VPN? Das kann dir VPN natürlich sehr gründlich kaputt machen.

 

[joe-avm1234]

>Dann prüfe doch mal mit nslookup das Auflösen der Hostnamen


Standort Niederlassung West:

Ok sieht mE gut aus:

C:\Users\client22>nslookup xxxxxxxxxx.myfritz.net
Server: lokaler-dc.lokale-domäne.local
Address: 192.168.5.150

Name: xxxxxxxxxx.myfritz.net
Address: 2a0d:3344:xxxxxxxxxxxx


C:\Users\client22>nslookup xxxxxxxxxx.myfritz.net 8.8.8.8
Server: dns.google
Address: 8.8.8.8

Name: xxxxxxxxxx.myfritz.net
Address: 2a0d:3344:xxxxxxxxxxx


C:\Users\client22>nslookup xxxxxxxxxx.myfritz.net 1.1.1.1
Server: one.one.one.one
Address: 1.1.1.1

Name: xxxxxxxxxx.myfritz.net
Address: 2a0d:3344:xxxxxxxxxxx


>Die hat den gleichen IP Bereich, wie das VPN? Das kann dir VPN natürlich sehr gründlich kaputt machen.
ja, werde die Digibox (hat die gleiche IP wie die VPN-Fritzbox) temporär ausschalten + testen

 

[frank_m24]

Das kann natürlich nicht funktionieren. Der LAN Adapter hat nur IPv4 Adressen, während der Hostname nur IPv6 zurückliefert.

 

[joe-avm1234]

verzeihung - habe ich nachgetragen. (oben fettegdruckt)
IPv6 Häkchen ist am LAN Adapter aktiv.

 

[frank_m24]

IPv6 Häkchen ist am LAN Adapter aktiv.

Das heißt ja nichts. Der Anschluss muss es auch zur Verfügung stellen und der Router entsprechend verteilen. Oben die Adapteroptionen beinhalten nichts von IPv6.

 

[Novize]

die Adapteroptionen beinhalten nichts von IPv6.

Kleiner Hint an @joe-avm1234
Die Antwort sollte bei IPv4 und IPv6 aussehen, wie folgt

Addresses:  <IPv6-Adresse>
            <IPv4-Adresse>

 

[joe-avm1234]

Hallo,

>Die Antwort sollte bei IPv4 und IPv6 aussehen, wie folgt
Addresses: <IPv6-Adresse>
<IPv4-Adresse>

Ok danke ich versehe es so:

VPN User Client22 (aussendienstler) reklamiert:
VPN Fehler (no such host, siehe oben) wenn er bei Niederlassung West zu besuch ist.
Die VPN 7590 steht bei Niederlassung-SÜD.

ENTWURF Troubleshouting Procedere Anamese Wireguard:
prüfen ob IPv4 und IPv6 via NSLOOKUP antwortet (ausserhalb des lokalen Netzwerk von der VPN 7590)
>falls nur IPv4 antwortet >>> FAZIT:
es muss am Standort West etwas bzgl. IPv6 nachgebessert werden.

nslookup xxxxxxxxxx.myfritz.net
nslookup xxxxxxxxxx.myfritz.net 8.8.8.8
nslookup xxxxxxxxxx.myfritz.net 1.1.1.1

 

[Novize]

Üblicherweise ist der lokale DHCP-Server (normalerweise der Router selbst) für die Vergabe der IPv6-Adresse zuständig. Natürlich muss dieser Router dabei auch vom Provider ein IPv6-Präfix & IPv6-Adresse erhalten haben, um daraus abgeleitet den einzelnen Geräte dann ihre individuelle IPv6-Adresse zuzuweisen.

 

[frank_m24]

ENTWURF Troubleshouting Procedere Anamese Wireguard:

Du musst halt einfach ein konsistentes Setup schaffen. Wenn der VPN Server nur via IPv6 erreichbar ist, dann müssen alle Clients überall IPv6 Adressen bekommen. Andernfalls muss der VPN Server auch über eine öffentliche IPv4 Adresse erreichbar gemacht werden.

 

[joe-avm1234]

Ok danke!

Troubleshouting Wireguard VPN Client
Entwurf-Schnelltest/Selbsttest "iPv6"

Befindet sich das Aussendienst-Notebook an einem auswärtigen Standort und möchte via Wireguard VPN zu einer Fritzbox 7590 via VPN (vpn-host) verbinden, so muss er sicherstellen das sein auswärtiger Standort IPv6 fähig ist.
Sofern seine 7590 (vpn-host) nicht explizit für IPv4 konfiguriert ist.

Man kann mittels nslookup xxxxxxxxxx.myfritz.net
prüfen, ob am auswärtigen Standort IPv6 verwendet wird, falls keine IPv6 Adesse sichtbar ist hat man eine mögliche Fehlerursache erkannt.

-- Zusammenführung Doppelpost by stoney

Habe iPv6 in der Watchguard aktiviert.
nslookup xxxxxxxxxx.myfritz.net
zeigte dann auch eine IPv6

https://whatismyipaddress.com/

und zeigte auch eine IP öffentliche IPv6


Problem:
Der Wireguard Client zeigte weiterhin:

No such host is known.​

Im Watchguard Traffic Log werde ich nochmal prüfen, es waren ein paar rote Einträge da.
Die Test-Notebook IP steht testhalber auf UDP/TCP ANY Out in der Watchguard.

 

[frank_m24]

Habe iPv6 in der Watchguard aktiviert.

Wo?

nslookup xxxxxxxxxx.myfritz.net
zeigte dann auch eine IPv6

Darauf hat die Watchguard auch keinen Einfluss.

https://whatismyipaddress.com/ und zeigte auch eine IP öffentliche IPv6

Wo? Auf welchem Gerät?

Zeige auf dem gleichen Gerät am gleichen Standort auch die Ausgabe von
ipconfig /all
route print
tracert -6 www.heise.de
tracert -4 www.heise.de

 

[joe-avm1234]

ok ,danke die Idee klingt viel versprechend. (ich werde die Werte ermitteln/nachreichen)
Habe für mich nachfolgend nur mal kurze Liste erstellt.

Anamnese Bogen Wireguard VPN verbindet sich überhaupt nicht:

a)
Ausführen an einem LAN oder WLAN PC
am Ziel-Standort
(zu dem man sich via VPN verbinden möchte)
(dort wo sich die Fritzbox 7590 befindet)

AUSFÜHREN:
ipconfig /all
route print
tracert -6 www.heise.de
tracert -4 www.heise.de


b)
AUSFÜHREN von Ausserhalb/am Remote Standort:

ipconfig /all
route print
tracert -6 www.heise.de
tracert -4 www.heise.de

nslookup xxxxxxxxxx.myfritz.net
nslookup xxxxxxxxxx.myfritz.net 8.8.8.8
nslookup xxxxxxxxxx.myfritz.net 1.1.1.1

c)
Beide Standorte:

prüfen ob
https://whatismyipaddress.com/ öffentliche IPv4 und öffentliche IPv6 zeigt.



d)
Auszug Wireguard Logauszug:


e)
Nachtrag.
Keine pers. Daten öffentlich posten, d.h. bestimmte Ziffern editieren.

 

[Grisu_]

Falls du Anamnese meinen solltest, wäre gut, dies auch so zu schreiben.
PS: Hab gegrübelt was das wohl für eine Fa. oder techn. Ausdruck sei.