Wireguard unverständliches Problem... (für mich)

[Perun]

Hallo,

ich habe 2 WG Verbindungen (Mullvad) in verschiedene Länder. Dies funktioniert soweit für einzelne Hosts aus meinem LAN (getestet).

Was ich seltsam finde, wenn ich sowas wie "curl --interface wg1 $url" oder "curl --interface $mullvad_iface_ip $url" an der Konsole ausführe greift er immer mit meiner "normalen" public IP und nicht mit der IP aus dem jeweiligem Ende des WG Tunnels...
Wieso? Was könnte mir da fehlen?

Es gibt je eine FW Rule für alle nicht private IP Hosts als Ziel auf jeweiligem Mullvad Interface mit GW über das Mullvad Interface und je eine NAT Rule die alles am Mullvad Iface auf die Iface Adresse NATed. Wie gesagt Hosts aus dem LAN funktionieren mit so einer Rule aber wieso nicht die IP's die direkt am wgX Interface hängen?

Auf Anfrage kann ich auch mehr Infos liefern...

Vielen Dank für eure Antworten im Voraus!

[Bob.Dig]

Wenn Du das direkt auf der Firewall ausführst, dann gelten auch die Regeln der Firewall, also wird das Default Gateway genutzt. Mit WireGuard hat das dann absolut nichts zu tun.

[Perun]

naja ich habe an dem Iface ne Rule die alles an dem IFace zu der Wireguard GW leitet... da sollte doch auch alles von der src IP an dem iface auch über tunnel geschickt werden oder nicht?

[tiermutter]

Nein, denn die Firewall selbst kommt ja nicht bei sich selbst über das LAN Interface rein, also trifft diese Regel hier gar nicht zu.

Du brauchst eine statische Route, kein policy based routing für die Sense selbst.
Aber ist es entscheidend wo sich die Sense ihre Daten herholt?

[Perun]

ja weil eben damit kann ich via speedtest die Geschwindigkeit eines Tunnels "messen".

Hmm wenn ich die "Routing" Settings sehe kann ich das so nicht machen wie ich es mir vorstelle...
Ich kann da nur Destination Address setzen.

Hmmm musste dann 3 speedtests IP's/URLs als Ziele für je einen Weg machen (wg1, wg2, plain) hmmmm 

[Bob.Dig]

Ein Speedtest gehört jetzt auch nicht unbedingt auf die Firewall.

[Perun]

weil? ich will einfach die 3 Wege von einem Punkt vergleichen können geschwindigkeitstechnisch... es gibt ja speedtest-cli

[tiermutter]

Was hindert dich an der statischen Route? Du müsstest hier "nur" die Server IP angeben und dafür sorgen dass nur dieser Server für den speedtest verwendet.
Alternativ könnte es für ein einmaliges unterfangen klappen wenn du die GW Prio vom WG höher setzt, sodass diese default wird. Da die Verbindung vorher schon steht könnte das klappen.

[Perun]

oki ich habs mit verschiedenen Speedtest URL's und statischen Regeln gelöst.

Eine Frage hätte ich noch. Es gibt ja simple Wege die eigene Public IP zu ermitteln.
curl ifconfig.me

man kann auch curl sagen von welchem Iface die Anfrage gestartet werden soll:
curl --interface $IFACE ifconfig.me

Was ich nicht verstehe ist, wenn ich hier eins von den wgX Interfaces benutze, würde ich die IP am Ende des jeweiligen Tunnels als Ausgabe erwarten. Ich bekomme aber überall die gleich und zwar die public IP OHNE TUNNEL.

Wieso?
Gleiches Prinzip wie oben? Wie könnte ich es trotzdem machen?

Danke im Voraus für Antworten!

[Bob.Dig]

Was ist denn der Hintergrund deiner Bemühungen? Die Antwort kennst Du ja schon.

[Perun]

manchmal will man wissen was man für eine IP am Ende des VPN Tunnels hat...