Wireguard - Trotz Handshake und connection kein traffic

[W0nderW0lf]

Hi @ll,

ich bin ein wenig irritiert was das VPN von meiner Linux Kiste betrifft.
Ich habe 2 Clients ( 1x Android, 1x Linux). Bei beiden habe ich die gleiche peer config um zu vergleichen.
Bei meinem Linux client handelt es sich um mein "admin-notebook".

Auf meinem Handy klappt die config ohne probleme. Ich komme überall hin und komme sogar auf mein OPNsense Dashboard + NAS..
Szenario: Ich deaktiviere das VPN auf meinem Handy und kurze Zeit darauf connecte ich mich über mein Notebook.

Die Verbindung würde laut Ausgabe und ifconfig stehen. Trotzdem kann ich leider weder pingen noch DNS auflösen. Habt ihr eine idee woran das liegen könnte?

Code Select Expand


# sudo wg show
interface: wg0
  public key: Ztq...xw=
  private key: (hidden)
  listening port: 57454
  fwmark: 0xca6c

peer: v3/pBIk...=
  preshared key: (hidden)
  endpoint: 95.x.x.x:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 3 seconds ago
  transfer: 588 B received, 31.35 KiB sent


meine config:

Code Select Expand


[Interface]
PrivateKey = <redacted>
Address = 100.65.0.10/32
DNS = 100.65.0.1

[Peer]
PublicKey = v3/pB...=
PresharedKey = CE...=
AllowedIPs = 0.0.0.0/0
Endpoint = example.com:51820

Dadurch das mein Handy soweit keine probleme hat, gehe ich erstmal nicht von mangelnden rules aus. Zu Mal es ja die gleiche config ist. Es ist nur die gleiche config, weil ich testen wollte ob es bei einem anderen client auch nicht gehen würde.

[tiermutter]

WG behauptet immer, dass die Verbindung steht, selbst wenn es unmöglich ist, und richtet auch das Routing entsprechend ein, auch wenn es ins Nirvana geht...

Hast Du dafür gesorgt, dass der Public Key der Clients identisch ist?
Das ist manchmal nämlich gar nicht so einfach möglich... Ich vermute der Key vom Laptop unterscheidet sich von dem was in der Sense als Peer konfiguriert ist.

Am besten direkt Peers für beide Geräte einrichten, so wie es gedacht ist ;)

[tiermutter]

Es ist nur die gleiche config, weil ich testen wollte ob es bei einem anderen client auch nicht gehen würde.

Das hatte ich irgendwie missverstanden  :o

[W0nderW0lf]

Hi,
ich bin mir ziemlich sicher das die Key's identisch sind.
Ich bin unterwegs und wollte VPN als erstes ausprobieren (hatte in der vergangenheit auch geklappt).
Da ich nicht ohne VPN an meinen Server komme, kann ich die Konfiguration nicht einfach mal so neu erstellen.
Ich muss die Tage wenn ich wieder @home bin nochmal vergleichen. Allerdings hat das gestern @home im eigenen LAN auch funktioniert. Also connection war da und es ging... Darum bin ich auch so verwundert.
Ich dachte der Handshake an sich ist schon ein indiz das die schlüssel erfolgreich ausgetauscht wurden. Aber dann hab ich mich wohl geirrt. :/

[tiermutter]

Wie erreichst du dem VPN Server denn? Via IPv4 oder v6?

[rkube]

WG behauptet immer, dass die Verbindung steht, selbst wenn es unmöglich ist, und richtet auch das Routing entsprechend ein, auch wenn es ins Nirvana geht...

Wie würde es denn bei allowed ips: = 0/0 das routing einrichten? Mit einer zusätzlichen`host route` (/32) zum eigentlichen default gateway? Bei Android und auch bei Linux?

Ich würde eher darauf tippen wollen (und mich wahrscheinich gerade mal wieder richtig irren wollen), dass das routing der auschliesslich für in den Tunnel gedachten Packete nicht passt.

Versuchen würde ich es zunächst mit allowed ips: 192.168.0.0/16 und passender Route

Code Select Expand

ip route add 192.168.0.0/16 dev wg0 auf das wg-interface nur genau das richtige Zielnetz in den Tunnel zu packen.

Bg
Reza

[axlemoxle]

Nachdem mein Open VPN den Dienst irgendwie seit neustem verweigert und ich nicht dahinter steige wo es klemmt (Verify Error, Depth=1, SSL Certificate verify failed, handshake failed, usw) habe ich auch mal versucht Wireguard einzurichten, auch hier scheiterte der Versuch...
Der Client sagt immer aktiviert, aber selbst wenn ich beim Host www.google.de reinschreibe. Ich habe den Eindruck, sobald der DNS aufgelöst werden kann sagt er Verbindung aufgebaut. Im Log stehn dann natürlich Fehler.
Was ist das denn für ein Quatsch ?

[rkube]

Der Client sagt immer aktiviert, aber selbst wenn ich beim Host www.google.de reinschreibe. Ich habe den Eindruck, sobald der DNS aufgelöst werden kann sagt er Verbindung aufgebaut. Im Log stehn dann natürlich Fehler.

Ne... er sagt auch nur das er einen Tunnelendpunkt für die von dir vorgegebene Config laufen hat. ;-) Aber ja, falls die DNS-Auflösung nicht klappt, würde er den Tunnelendpunkt auch nicht aufmachen.

Für das Verständnis vielleicht entscheidend: Wireguard baut nicht direkt einen ständigen Tunnel auf, überwacht nicht dessen "Durchgängig" oder sonstigen Zauber; sondern er startet erst mal nur einen Prozess, welcher bei "Bedarf" Pakete in den Tunnel ein- und ausleiten würde.
Der "Bedarf" würde erst dadurch entstehen das Pakete zum Routen am jeweiligen wg-Interface ankommen würden.

Was ist das denn für ein Quatsch ?

im Allgemeinen: "IT"


P.S.: Erst handshakes zeigen an das zwei Tunnelendpunkte erfolgreich ein Paket durch den Tunnel schieben konnten.