IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

1 Antwort

Bushmills145

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux

24.04.2023, 22:52

Bevor Daten durch den Tunnel, den wireguard bei Verbindung einrichtet, gesendet werden können, muss der eine Peer den anderen auf seiner Server-Adresse erreichen können. Das ist bei dir 192.168.178.11. Da es sich um eine RFC1918-Adresse handelt, wird diese nicht durch Internet geroutet. Verbindest du also mittels mobiler Verbindung oder von einem anderen WLAN, kann der eine Peer den anderen nicht erreichen, und infolgedessen auch nicht den wireguard-Tunnel zwischen den beiden aufbauen.

Du bräuchtest für den Peer, den du erreichen möchtest, entweder eine öffentliche IP Adresse, oder müsstest an deinem Router eingehende UDP Pakete gerichtet an den anderen Peer zu dem weiterleiten.

Woher ich das weiß:Berufserfahrung – LPI zertifiziert

PAULL421

Beitragsersteller

25.04.2023, 07:47

über Mobilfunk funktioniert es doch?
eine URL ist mit der DynDNS vom Heimnetz verbunden und der Port 51820 ist offen.

Bushmills145

25.04.2023, 07:49

@PAULL421

RFC1918 Adressen werden nicht durch Internet geroutet. Da helfen keine offenen Ports und kein DynDNS

PAULL421

Beitragsersteller

25.04.2023, 11:59

@Bushmills145

Kann ich mich trotzdem irgendwie mit dem VPN verbinden?

Bushmills145

25.04.2023, 12:07

@PAULL421

Nimmst die Router Adresse als Server Adresse, statt der 192.168... und konfigurierst deinen Router so, dass eingehende UDP Pakete mit Zielport dem des wireguard peers weitergeleitet werden zum wireguard peer.

Oder einfacher, konfiguriere stattdessen deinen Router als wireguard peer.

Oder lässt den wireguard peer selbst verbinden mit einem anderen im Netz mit öffentlicher und bevorzugt fester IP Adresse

Bushmills145

25.04.2023, 12:10

@PAULL421

Oder lässt den wireguard peer selbst verbinden mit einem anderen im Netz mit öffentlicher und bevorzugt fester IP Adresse, dann können auch weitere peers mit dem verbinden und untereinander Daten austauschen.

Ähnliche Beiträge

Was spricht gegen "iptables -P FORWARD DROP"?

Ich will ja nicht, dass mein Gerät IP Pakete zwischen irgendwelchen anderen Geräten routet, von denen ich nichts weiß.

Die Standardeinstellung ist aber nicht DROP, sondern ACCEPT. Warum?

...zum Beitrag

Iptables - Port wird nicht freigeben?

Hi, ich habe über

iptables -A INPUT -p tcp --dport 8000 -j ACCEPT

den Port 8000 freigegeben, dieser ist jedoch nicht erreichbar, obwohl ich den, wie schon gesagt, freigegeben habe und auch die Software dafür läuft! Diese ist über den Port 8000 schon lokal verwendbar!

...zum Beitrag

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zum Beitrag

Hej können normale Informatiker Ip Adressen ablesen oder kann dass nur die Polizei oder Staatsanwaltschaft?

Hej,

Weil jemand auf einen Live Stream hat mir gedroht dass er meine IP Adresse ablesen wird. Heute hat diese Person gesagt ,(ich war selbstverständlich auf meinen Nebenkonto damit sie die Wahrheit sagt) dass sie schon etwas über mich weiß und dass sie wartet bis sie eine Nachricht bekommt mit meinen Standort usw. Können/dürfen Informatiker sowas machen? Und wenn sie die IP haben, können sie dann auch meine Adresse davon ablesen?

...zum Beitrag

Mit dem Laptop auf das Heimnetzwerk zugreifen?

Moin!

Ich habe Zuhause meinen Hauptcomputer. Auf diesen läuft eine Datenbank die ein bestimmtes Programm verwendet. Wenn ich mit meinem Laptop auch im Heimnetz bin habe ich kein Problem auf die DB zuzugreifen. Bin ich aber unterwegs in einem anderen Netzwerk habe ich kein Zugriff mehr drauf.

Was ich bisher herausgefunden habe ist, das mir ein VPN-Tunnel zwischen den beiden PCs helfen würde (sowas wie OPENVPN). Leider habe ich keine Ahnung wie man sowas aufsetzt, Client und Server...

Wenn ihr gute Tutorials kennt, oder selbst sowas schon umgesetzt habt würde ich mich um eine Antwort freuen!

...zum Beitrag

VPN einrichten mit 2 Routern hintereinander?

Hallo alle Zusammen,

ich habe hinter meiner Fritzbox 6690 meinen Asus ROG Rapture GT-AXE16000 Router verbunden.

Alle meine Geräte wie Webserver oder PC sind am Asus Router angeschlossen. Ich möchte nun einen WireGuard VPN einrichten womit ich im Mobilen Netz von mein Handy oder Laptop von außen auf mein lokales Netzwerk vom Asus Router zugreifen kann.

Als Public Adresse würde ich gern die MyFRITZ!-Adresse nutzen.

Ich kann zwar an der Fritzbox einen Wireguard VPN einrichten welcher auch funktioniert, aber mit diesen kann ich nicht auf die Lokalen Adressen vom Asus Router zugreifen, da sie nicht dem Schema 192.168.178.0 sondern 192.168.50.0 entsprechen.

Hier einmal ne Übersicht von meinen Netzwerk:

Im Asus Router kann man auch einen Wireguard VPN einrichten. Scheint aber nicht zu funktionieren, da wenn ich mich mit dem VPN verbinde die Internet Verbindung vom Gerät welches sich mit dem VPN verbindet weg ist. Außerdem weiß ich nicht welche IP ich als Tunnel IPv4 and / or IPv6 Address nutzen soll.

Vielleicht kennt sich jemand etwas besser aus und kann mir ein Tipp geben.
Ich vergebe auch Daumen und Hilfreichste Antwort :)

...zum Beitrag

VPN-Tunnel im VPN-Tunnel. Wo ist der Exit-Point?

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zum Beitrag

Wie baue ich ein Magic Package für WoL auf? Wie geht das von extern?

Hallo an alle da draußen,

ich habe für einen Freund letztens einen leistungsstarken PC zusammengestellt und aufgebaut, der nun von unterwegs über einen billigen Laptop ohne viel Leistung, der nicht geklaut wird, angespielt werden soll.

Deine DynDNS für den Router habe ich bereits, WoL ist für den PC bereits aktiviert, die MAC-Adresse des PCs ist bekannt und zur Not kann auch eine statische IP vergeben werden (zur Not vom Router aus). Die Subnetzmaske ist ebenfalls bekannt. Auf eine VPN soll nach Möglichkeit verzichtet werden, da ich es nicht zu umständlich machen will.

Ziel ist es über eine dafür spezialisierte App (Wake On Lan Apps zu Genüge im Appstore und Playstore vorhanden) oder über eine entsprechende Software für den besagten Laptop ein Magic Package zu versenden, das dann von der Ferne aus den PC im Heimnetz startet.

Die Frage, die sich nun allerdings stellt lautet: Wie genau muss ich das Magic Package nun aufbauen?

Im Internet finden sich nur viele Brocken voller Kauderwelsch von wegen "die Subnetzmaske ist mit _____ zu kodieren" (mit Brocken allein baut sich kein kompletter Befehl) oder "per DynDNS usw. geht das auch von der Ferne" (nette Info aber keine Erklärung) oder es werden einem gleich die wildesten Dinge um die Ohren geworfen, die ewig lang sind und deren genauer Aufbau nicht weiter erläutert wird.

Ein wenig schade.

Daher nun die Frage an Euch wie genau welcher Teil kodiert wird mit welchen Befehlen, was was bedeutet und was wie stückweise zusammengesetzt wird.

Gerne auch im folgenden Format:[Subnetzmaske] = <Kodierung hier>[Magic Package] = [Kodierte Subnetzmaske][MAC-Adresse]...

(Feste Werte in eckigen Klammern als Variablen übersichtlich dargestellt)

Ich hoffe Ihr versteht worauf ich hinaus will und könnt mir etwas helfen und ggf. meinen Knoten im Hirn etwas lösen.

...zum Beitrag

wie einzelne ports weiterleiten zu vpn server?

ich habe jetzt auf einem vserver einen wireguard server in docker aufgesetzt der auch so funktioniert wie er soll, jetzt habe ich noch einen zweiten server dessen ports nicht öffentlich sein sollen, sondern nur bestimmte ports über den wireguard server erreichbar sein sollen, wie erreiche ich das am besten?

...zum Beitrag

Website mit VPN über Server weiter leiten?

Hi, wollte mal fragen ob wer ne Idee hat wie man das Folgende machen kann:

Also ich habe eine lokal gehostete Website in einem Netzwerk (B) um auf diese zu zugreifen muss ich mich mit einer WireguardVPN verbinden. Jetzt würde ich gerne aus Netzwerk (A) auf diese Seite Lokal zugreifen können. Mein Lösungsansatz wäre nun Eine Verbindung von meinem Server in Netzwerk (A) zu der Website in Netzwerk (B) aufzubauen und diese dann "weiter zuleiten (Passthrough)". Allerding habe ich keinen Plan wie man das umsetzen kann und ich weiß auch nicht wie ich das vernünftig für Google Formulieren kann, daher wollte ich mal hier fragen nach Tipps und Erfahrungen.

mfg

...zum Beitrag

PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

...zum Beitrag

Wie kann man erkennen ob jemand wirklich zuhause ein eigenes Netzwerk hat!?

Unser Lehrer hat nämlich gesagt dass man dafür früher eine Standleitung brauchte, da die IP-Adresse sonst nicht ausgereicht hätte und man das immer von IPv4 umrechnen musste.

...zum Beitrag

WireGuard Fehler?

Ich importiern die Config Datei und bekomme dann dass bei Aktivierung:

the request name is valid but no data of the requested type

Was ist der Fehler, also was genau? Aus einem anderen Netzwerk geht es.

...zum Beitrag

Unterschiedliche IP-Adressen greifen auf meine Webseite zu?

Hallo. Ich habe einen Raspberry Pi, der eine Webseite hostet. Diese ist mit Port-Forwarding im Internet öffentlich. Ich habe den Link allerdings nur einer Person bisher gegeben, der ich vertraue. Ich habe jetzt aber gesehen, dass unterschiedliche IP-Adressen aus unterschiedlichen Ländern auf meine Webseite zugegriffen haben. Ist das schlimm?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen