Site to site VPN via VPS mit Wireguard Problem/Frage

Es gibt 11 Antworten in diesem Thema, welches 705 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • Hay Community.

    Ich habe folgen netz aufbau. Ich will von dem einen auf ein Gerät im anderen via vpn über vps zugreifen mit Wireguard.

    Mein Netz: Deutsche Glasfaser -> USG 3 (192.168.1.1)(Nicht hinterfragen ist halt so :D) ->Lan -> in WAN UDM Pro (192.168.0.1)

    Das entfernte netz: Deutsche Glasfaser -> Fritzbox 7590



    Vps Server bei Oracle erstellt, wireguard installiert und schonmal in der UDM Eingearbeitet. Bei dem USG habe ich einfach mal die gleichen Firewall regeln angelegt. Einmal internet in und einmal internet local.

    Ich kann jetzt in der UDM bei VPN Client den Aktiven tunnel sehen.


    Wenn ich vom VPS jetzt ins heimnetz auf die 10.7.0.2 IP (Vonwireguard vergeben) Pinge klappt es. Ich kann aber aktuell noch nicht in meinen Heimnetz IP bereich pingen. (192.168.0.1) Ich habe gestern mal eine statische route gesetzt, das ging leider nicht, weil diese wahrscheoinlich falsch aussah, kann mir da jemand helfen?



    (Aktuell wurde der Wireguard client noch nicht auf der Fritte eingerichtet.)

  • Wichtig! Pingst Du einen Windows PC an, dann bitte die Firewall (ggf. die Windows eigene) so anpassen, dass Pings aus anderen IP Netzen erlaubt sind (Notfalls testweise die Firewall deaktivieren).


    die 10.7.0.2 ist dann also die Wireguard IP den der Wireguardclient UDM-Pro hat?


    Dann sollte die Route für das Ziel 192.168.0.0 / entweder /24 oder mit Subnetmaske 255.255.255.0) sein und als Gateway die 10.7.0.2 verwendet werden.

  • Das ist die WG datei vom server


    Das ist die firewall config der UDM.

    Die 10.0.0.200 IP ist die Private IPV4 vom VPS server


    Der Ping ging auf die IP der UDM Pro Und auf das USG3. Beide meldeten nichts zurück


    Wie könnte ich den traffic denn durch das USG 3 an die UDM Pro weiterleiten?

  • Was ist denn bitte die 10.0.0.200 als Source in den Regeln da auf einmal?!? Die passt ja wahrscheinlich überhaupt nicht zum VPN Netz ... die Clients haben allowed IPs 10.7.0.x IPs ... drin stehen und das genau eine einzige und jeweils eine andere obwohl es der gleiche Server sein soll ... Da stimmt gefühlt überhaupt nichts. Da ist mehr schief als das Routing.



    Deine USG3 hat mit der VPN absolut nix zu schaffen. Die UDM baut den Tunnel auf zum VPS. Für die USG3 sind das einfach nur irgendwelche Datenpakete.

  • Was heisst denn interne IP vom VPS Server? auf welchem Interface ist die denn?!?


    Theoretisch sollte der VPS auf der Schnittstelle des Wireguardservers eine IP haben, die zum IP Netz des Wireguard VPN Netzes passt. Die sollte in der Konfiguration als Address im Interface Abschnitt stehen.


    also z.B.

    VPS Wireguard 10.7.0.1

    UDM 10.7.0.2

    Handy 10.7.0.3


    Hast Du auf dem Server mehrere wg Konfigs? Sieht auf dem Screen so aus ...


    Am besten wäre Du zeigst hier mal die Wireguardkonfiguration des VPS und die der beiden Clients (UDM und Handy). Die Keys unkenntlich machen.

  • Das da oben ist nicht die Konfiguration des Wireguardservers, das dürfte die Ausgabe von "sudo wg" sein ... und da sieht man eben nicht die IP die auf dem wg0 ist, welche aber eine 10.7.0.x sein muss weil bei der UDM und im SW Client die Netzmaske /24 für die Tunnel IP verwendet wird. Da Du aber die IPs von UDM und Handy anpingen kannst?!?, wird die IP wohl passend sein.


    Auf dem Server ist ersichtlich dass für die peers nur die jeweils dem Peer gehörende IP als allowed drin steht. Dein 192.168.0.0/24 Netz ist an keiner stelle ersichtlich. Das sollte in der VPS Konfig bei dem peer für die UDM ebenfalls bei allowed ips aufgeführt sein. Gibt es auf dem Server eine statische route für das 192.168.0.0/24er Netz?

    Am besten mal die Routing Table ausgeben lassen. Geht glaube ich mit route

  • Also das ist auch nicht die Wireguard Konfiguration :smiling_face: Wireguard hat irgendwo seine Konfiguration in einer Datei im Textformat. Ich vermute mal in /etc/wireguard oder ähnlich. Vermutlich sind da 2 Dateien (eine je Instanz) und die sehen so aus wie die Konfigdateien für die UDM und dem Handy ...


    In der Routing Tabelle ist wie erwartet kein Route für dein 192.168.0.0/24 Netz, also landen alle Pings usw. zu deinem Netz beim Standardgateway in Richtung Internet. Der Provider möchte das nicht haben und kann damit auch nichts anfangen.


    Warum gibt es bei Dir außer wg0 noch eine unifi Instanz bzw. Schnittstelle? Auf Grundlage von was hast Du das bisher eingerichtet? Irgendeine Anleitung oder wildes probieren?

  • Also, ich bin wie folgt vorgegangen.

    1. VPS mit ubuntu aufgesetzt.

    2. Per ssh drauf zugegriffen und Wireguard installiert.

    3. Per wireguard config die clients erstellt. (Da wo einem auch der QR code angezeigt wird)

    4. in der UDM den zugang unter VPN Client eingetragen.

    5. Die Portfreigaben erstellt. Dann stand in der UDM auch verbunden, was da vorher nicht stand.


    Ich hatte mich grob hier ran gehalten:https://www.vps-mart.com/blog/how-to-set-up-wireguard-on-vps

    Wobei ich den Client per GUI hinzugefügt habe. Diese Config steht ja oben in den bildern.


    Wireguard Konfiguration

    jetzt sollte es die richtige sein.

  • Ändere bitte mal im peer Abschnitt UDM-Pro auf dem VPS die Zeile

    AllowedIPs = 10.7.0.2/32


    in


    AllowedIPs = 10.7.0.2/32, 192.168.0.0/24


    und dann muss da noch eine statische route im VPS eingetragen werden.


    Ziel: 192.168.0.0/24 bzw. 255.255.255.0 mit dem Gateway 10.7.0.2


    Da müsste ich aber selbst schauen wie das genau geht bei Ubuntu. Mit ip route .... wird das keinen reboot des VPS überleben. Zum testen reichts aber erstmal.