OPN zu OPN per Wireguard VPN - Wie kann ich das konfigurieren?

Started by BeTZe313, July 10, 2025, 03:48:17 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
July 16, 2025, 12:34:40 PM #15
Ich habe jetzt bei beiden OPN die Instanzen und Peers gelöscht und neu konfiguriert. Leider ohne Erfolg. Es wird keine Verbindung aufgebaut. Leider verstehe ich nicht, woran es jetzt liegt. Vor allem da es ja schon geklappt hat. Hat vielleicht noch jemand einen Tipp für mich?

OPN1 - Instance, Peer und Firewall
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.
July 16, 2025, 12:35:41 PM #16
OPN2 - Instance, Peer und Firewall

You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.
July 16, 2025, 12:46:48 PM #17
Du hast auf einer Seite die Endpoint address des Peers weggelassen. Hat die andere Seite eine dynamische IP-Adresse? Ist sie am Ende hinter einem anderen Router?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 16, 2025, 12:59:21 PM #18
Allowed IPs für den Peer sollten für das Tunnelnetz immer /32 sein oder genauer gesagt, eben nur der jeweilige Peer selbst.
July 16, 2025, 01:36:44 PM #19
@Bob.Dig muss nicht. Bei einer P2P-Verbindung ist es tatsächlich wurst. Wenn ich einen Stern habe, kann ich z.B. in der Zentrale überall /32 eintragen und in den Niederlassungen /24 - dann können die auch miteinander sprechen.

Also es kann zumindest nicht der Grund sein, weshalb es gar nicht funktioniert.

@BeTZe313 tcpdump auspacken und gucken, ob da überhaupt Pakete kommen ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 16, 2025, 01:49:38 PM #20 Last Edit: July 16, 2025, 02:09:31 PM by BeTZe313
Ich habe jetzt die fehlende Endpoint Adresse hinzugefügt. Es ist eine feste IP. Und die Tunnelnetze sowohl mit /32 wie auch /24 probiert. Leider kein Erfolg.

Edit:
Ich kann aber z.b. noch immer eine Verbindung mit dem Wireguard Client auf meinen Handy zur OPN1 aufbauen. Das klappt.

@Patrick M. Hausen
Was für ein Eintrag müsste beim tcpdump kommen damit ich weiß, ob da was passiert?
July 16, 2025, 02:37:26 PM #21
Code Select
tcpdump -n -i <wan-if> port 51821
Und dann gucken, ob Pakete in beide Richtungen fließen, was sie wahrscheinlich aus irgendeinem Grund nicht tun.

Code Select
wg
ohne weitere Parameter gibt dir den aktuellen lokalen Status aus.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 16, 2025, 02:45:37 PM #22 Last Edit: July 16, 2025, 02:57:52 PM by BeTZe313
Stand Blödsinn
July 16, 2025, 02:47:25 PM #23 Last Edit: July 16, 2025, 03:01:04 PM by BeTZe313
Wenn ich das laufen lasse kommt folgendes
Quote from: BeTZe313 on July 16, 2025, 02:45:37 PMtcpdump -n -i re1 port 51821
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

Wenn ich die Verbindung über meinen Handycleint aufbaue kommt unter anderem folgendes:
Quote from: BeTZe313 on July 16, 2025, 02:45:37 PMtcpdump -n -i re1 port 51820
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on re1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
14:59:51.530368 IP 00.234.51.228.51820 > 00.203.185.137.42517: UDP, length 148
14:59:54.441819 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 148
14:59:54.442221 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 92
14:59:54.485865 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
14:59:54.485891 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 32
14:59:54.491922 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
usw.
July 16, 2025, 02:56:04 PM #24
Findest du mit

Code Select
ifconfig
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 16, 2025, 03:32:12 PM #25
Ich habe folgende jetzt mit tcpdump laufen lassen

re1 - wan
wg0 - Handy Client
wg1 - OPN1 zu OPN2

Port 51820 - Handyclient
Port 51821 - OPN1 zu OPN2

re1
Da wird mir beim Verbindungsaufbau über den Handyclient auch mit dem Filter Port 51821 etwas angezeigt. Aber nichts bei Port 51820

wg0
Sobald ich den Client auf dem Handy aktiviere bekomme ich Einträge angezeigt

wg1
Da passiert nichts. Auch nicht, wenn ich Wireguard neu starte.
July 16, 2025, 04:28:23 PM #26
Ich würde mal folgendes tun:

1. Auf einem System in einem der beiden 192.168er Netze ein Dauer-Ping zu einem anderen System in dem Remote-Netz laufen lassen.

2. Auf einer Firewall WG durchstarten und gleichzeitig auf derselben Firewall mit tcpdump auf WAN gucken, ob da Pakete an die andere FW, Port 51821 geschickt werden.

Wenn nicht, ist dort lokal schon was kaputt. Was "sagt" denn "wg" ohne weitere Parameter?

3. Wenn da Pakete raus gehen, dann dasselbe nochmal aber auf der anderen Firewall gucken, ob Pakete eingehend zu sehen sind.

Wenn nicht, dann stimmt da mit dem Routing unterwegs oder mit der Ziel-IP was nicht.


Und Wireguard ist aktiv, ja? Und du hast nicht den Haken bei "Disable routes" gesetzt? Wie schon geschrieben, probier mal "wg" aus.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 17, 2025, 10:05:05 AM #27
Quote from: Patrick M. Hausen on July 16, 2025, 01:36:44 PM@Bob.Dig muss nicht. Bei einer P2P-Verbindung ist es tatsächlich wurst. Wenn ich einen Stern habe, kann ich z.B. in der Zentrale überall /32 eintragen und in den Niederlassungen /24 - dann können die auch miteinander sprechen.
Danke, wieder was "gelernt".
Print
Go Up Pages 1 2
User actions