Wireguard @ OpenWRT

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7398

05.01.2023 - 11:04

IP Addresses wurde wie vorgeschlagen geändert => ich kann weiterhin nicht auf Devices im LAN zugreifen, dafür kommt beim Ping "statt ping: sendto: Required key not available" ein klassisches timeout

any ideas?

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 11069

05.01.2023 - 12:58

Woher bekommt der Client seine IP in WireGuard auf OpenWRT?
Ich seh da nirgends die entsprechende Konfiguration.

Der Peer sollte jedenfalls in der Interface/Serverconfig als ip/32 drin stehen. Und ich würde auch den Server in der Clientconfig mal mit interfaceip/32 zu den AllowedIPs eintragen.

ICMP is eh on, oder?

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7398

05.01.2023 - 13:44

Zitat aus einem Post von hynk
Woher bekommt der Client seine IP in WireGuard auf OpenWRT?
Ich seh da nirgends die entsprechende Konfiguration.

Der Peer sollte jedenfalls in der Interface/Serverconfig als ip/32 drin stehen. Und ich würde auch den Server in der Clientconfig mal mit interfaceip/32 zu den AllowedIPs eintragen.

ICMP is eh on, oder?

Meinem Verständnis nach hat der Peer seine IP hier her:

Code:

[Interface]
PrivateKey = xxx
Address = 10.0.0.3/24

Mit der IP seh ich ihn auch (mit korrektem Handshake) verbunden auf OpenWRT- & Peer-seitig

unabhängig vom Ping kann ich weiterhin auf nichts zugreifen... http/s funktioniert nicht, nur die Fehlermeldung beim Pingen hat sich geändert durch die 'IP Addresses' Änderung wie vorgeschlagen

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 11069

05.01.2023 - 13:55

Dann macht's den Anschein als würd WG tadellos funktionieren und die Firewall Regeln sind jetzt das Problem.
Kannst die IP vom Interface pingen?

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7398

05.01.2023 - 15:59

Folgender Fortschritt:

Ich hab jetzt mal _alles_ rausgeworfen an wireguard configs und 1:1 laut OpenWrt Doku (via CLI commands) neu reingepfeffert.

lesson learned: änderungen in luci/GUI via "save & apply" reichen nicht aus, es MUSS ein interface restart passieren, damit gewisse Änderungen übernommen werden... da draufkommen hat gebraucht und genervt

Ich kann jetzt eine verbindung aufbauen mit einem erfolgreichen handshake ABER:

Wenn ich im wireguard interface unter Peers "Route Allowed IPs" anhake, dann kann ich auf die internen devices zugreifen und nicht mehr in's Internet (DNS not working)

Wenn ich es abhake, kann ich in's Internet (DNS working) aber nicht mehr auf die internen devices zugreifen

Hab beim Wireguard interface schon unter den DNS settings meinen internen DNS (pihole), externe DNS (1.1.1.1) oder "Use DNS servers advertised by peer" probiert => hat nichts geändert
Hab am Wiregaurd client auch die Allowed IPs statt derzeit 0.0.0.0/0 auf 192.168.0/32 gestellt => keine änderung

Check nicht was da los ist... aber als so ganz easy peasy stellt sich dieses wiregard setup bisher nicht heraus :confused:

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6493

05.01.2023 - 16:13

Ist es für dein Szenario sinnvoll split tunneling zu nutzen? Sprich das VPN nur für den Zugriff auf interne Ressourcen verwenden und Zugriffe ins Internet weiterhin über den default gateway?
Hier hat es jemand für Windows umgesetzt: https://asheroto.medium.com/split-t...ws-e2dfd86d5982

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 11069

05.01.2023 - 16:16

Kannst die neuen Configs mal posten bitte.

Dass das OpenWRT Plugin den Restart nicht macht is ordentlich gemein!

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3758

05.01.2023 - 16:27

In die AllowedIPs am Client gibst du alle Subnets rein die du erreichen willst, e.g. 192.168.1.0/24, und die Remote-Adresse vom Wireguard Interface, e.g. 10.0.0.1/32 in deinem Fall(?).

Am Server in der Peer Konfiguration gibst du nur die Remote Adresse vom Client rein, e.g. 10.0.0.2/32.

Die DNS Config würde ich nicht angreifen, außer du willst FQDN unbedingt in deinem LAN auflösen, dann würde ich dafür sorgen dass der dnsmasqd auch auf dem Wireguard Interface hört und die Adresse als DNS austeilen (10.0.0.1).

Vielleicht gleich ein etwas exotischeres Subnet wählen, um Problemen vorzubeugen, 10.6.66.0/24 oder sowas bietet sich an

Wäre vielleicht wirklich gut uns die /etc/config/network zu pasten.

Indigo

raub_UrhG_vergewaltiger

Registered: Mar 2001
Location: gigritzpotschn
Posts: 6691

05.01.2023 - 23:02

ich hab das mal mit meiner wg config in openwrt verglichen, in den FW zonen schauts bei mir so aus

und in den custom rules hab ich noch folgendes drin, das hab ich mir aus der vorhergehenden pivpn config gemopst, weil ich ohne das keine SMB shares mounten konnte (aus welchen gründen auch immer)

vielleicht hilfts ja...

TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7398	05.01.2023 - 11:04 IP Addresses wurde wie vorgeschlagen geändert => ich kann weiterhin nicht auf Devices im LAN zugreifen, dafür kommt beim Ping "statt ping: sendto: Required key not available" ein klassisches timeout any ideas?
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 11069	05.01.2023 - 12:58 Woher bekommt der Client seine IP in WireGuard auf OpenWRT? Ich seh da nirgends die entsprechende Konfiguration. Der Peer sollte jedenfalls in der Interface/Serverconfig als ip/32 drin stehen. Und ich würde auch den Server in der Clientconfig mal mit interfaceip/32 zu den AllowedIPs eintragen. ICMP is eh on, oder?
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7398	05.01.2023 - 13:44 Zitat aus einem Post von hynk Woher bekommt der Client seine IP in WireGuard auf OpenWRT? Ich seh da nirgends die entsprechende Konfiguration. Der Peer sollte jedenfalls in der Interface/Serverconfig als ip/32 drin stehen. Und ich würde auch den Server in der Clientconfig mal mit interfaceip/32 zu den AllowedIPs eintragen. ICMP is eh on, oder? Meinem Verständnis nach hat der Peer seine IP hier her: Code: `[Interface] PrivateKey = xxx Address = 10.0.0.3/24` Mit der IP seh ich ihn auch (mit korrektem Handshake) verbunden auf OpenWRT- & Peer-seitig unabhängig vom Ping kann ich weiterhin auf nichts zugreifen... http/s funktioniert nicht, nur die Fehlermeldung beim Pingen hat sich geändert durch die 'IP Addresses' Änderung wie vorgeschlagen
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 11069	05.01.2023 - 13:55 Dann macht's den Anschein als würd WG tadellos funktionieren und die Firewall Regeln sind jetzt das Problem. Kannst die IP vom Interface pingen?
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7398	05.01.2023 - 15:59 Folgender Fortschritt: Ich hab jetzt mal _alles_ rausgeworfen an wireguard configs und 1:1 laut OpenWrt Doku (via CLI commands) neu reingepfeffert. lesson learned: änderungen in luci/GUI via "save & apply" reichen nicht aus, es MUSS ein interface restart passieren, damit gewisse Änderungen übernommen werden... da draufkommen hat gebraucht und genervt Ich kann jetzt eine verbindung aufbauen mit einem erfolgreichen handshake ABER: Wenn ich im wireguard interface unter Peers "Route Allowed IPs" anhake, dann kann ich auf die internen devices zugreifen und nicht mehr in's Internet (DNS not working) Wenn ich es abhake, kann ich in's Internet (DNS working) aber nicht mehr auf die internen devices zugreifen Hab beim Wireguard interface schon unter den DNS settings meinen internen DNS (pihole), externe DNS (1.1.1.1) oder "Use DNS servers advertised by peer" probiert => hat nichts geändert Hab am Wiregaurd client auch die Allowed IPs statt derzeit 0.0.0.0/0 auf 192.168.0/32 gestellt => keine änderung Check nicht was da los ist... aber als so ganz easy peasy stellt sich dieses wiregard setup bisher nicht heraus
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6493	05.01.2023 - 16:13 Ist es für dein Szenario sinnvoll split tunneling zu nutzen? Sprich das VPN nur für den Zugriff auf interne Ressourcen verwenden und Zugriffe ins Internet weiterhin über den default gateway? Hier hat es jemand für Windows umgesetzt: https://asheroto.medium.com/split-t...ws-e2dfd86d5982
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 11069	05.01.2023 - 16:16 Kannst die neuen Configs mal posten bitte. Dass das OpenWRT Plugin den Restart nicht macht is ordentlich gemein!
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3758	05.01.2023 - 16:27 In die AllowedIPs am Client gibst du alle Subnets rein die du erreichen willst, e.g. 192.168.1.0/24, und die Remote-Adresse vom Wireguard Interface, e.g. 10.0.0.1/32 in deinem Fall(?). Am Server in der Peer Konfiguration gibst du nur die Remote Adresse vom Client rein, e.g. 10.0.0.2/32. Die DNS Config würde ich nicht angreifen, außer du willst FQDN unbedingt in deinem LAN auflösen, dann würde ich dafür sorgen dass der dnsmasqd auch auf dem Wireguard Interface hört und die Adresse als DNS austeilen (10.0.0.1). Vielleicht gleich ein etwas exotischeres Subnet wählen, um Problemen vorzubeugen, 10.6.66.0/24 oder sowas bietet sich an Wäre vielleicht wirklich gut uns die /etc/config/network zu pasten.
Indigo raub_UrhG_vergewaltiger Registered: Mar 2001 Location: gigritzpotschn Posts: 6691	05.01.2023 - 23:02 ich hab das mal mit meiner wg config in openwrt verglichen, in den FW zonen schauts bei mir so aus und in den custom rules hab ich noch folgendes drin, das hab ich mir aus der vorhergehenden pivpn config gemopst, weil ich ohne das keine SMB shares mounten konnte (aus welchen gründen auch immer) vielleicht hilfts ja...

Wireguard @ OpenWRT

Forum Index > Hardware > Peripherie > Netzwerktechnik

TOM

hynk

TOM

hynk

TOM

mr.nice.

hynk

nexus_VI

Indigo