WireGuard: interne Adressen vom Default Subnetz sind teilweise nicht erreichbar

Server geht klingt nach allgemein geht.

Karten Terminal wäre der erste Verdächtige:

KartenTerminal richtig mit Gateway eigerichtet (doofe frage aber die Pferde vor der Kneipe oder so)?

Karten Terminals lassen sich lokal aus einem anderen Netz Dingen ?

Viel Kram is so gebaut, dass es sich nur aus seinem eignen Netz ansprechen lässt.

Bei manche kann das einstellen (Gigaset GO Boxen sind ein gutes Beispiel)

Kartenterminals im medizinischen Kontext, also Telematik Infrastruktur?

Weder Cherry, noch Orga hat eine eigene Firewall, die sollten sich problemlos pingen lassen. Anders bei den Konnektoren, hier muss man alle Netze explizit freigeben, aus denen man sie ansprechen will.

Vielleicht sind die KTs immer ausgeschaltet, wenn Du Dich abends per VPN verbindest?

Praxen stehen ja auf ihren "Hauptschalter", mit dem dann der letzte das Licht ausmacht.

Ansonsten würde ich zur Eingrenzung des Problems mal versuchen, andere Hosts im Netzwerk über VPN anzusprechen. Und auch mal per RDP auf den Server und vor dort aus Ping gegen die Terminals.

Wie ist denn die die Wireguard .conf in Bezug auf die Allowd IPs ?

Knallex

Ich würde auch prinzipiell erstmal checken ob die Terminals einen korrekten Standard Gateway eingetragen haben und aus einem anderen VLAN anpingbar sind. Erst wenn das geht, würde ich mir Gedanken um die VPN machen. Müssen die Terminals überhaupt per VPN erreichbar sein - also hat das einen Nutzen oder ist die Frage eher grundlegend?

Supaman

Allowed-IPs wäre zwar eine Möglichkeit, aber vermutlich wird der TE ja nicht die allowed IPs so geändert haben, dass er Server darin aufgelistet hat und die Terminals nicht, ohne es zu wissen.

Knallex hast Du das aus einem anderen VLAN getestet oder waren die erfolgreichen Pings von einem Gerät, welches im gleichen VLAN wie die Terminals sind?

Die IP Config der Terminals hast Du gecheckt? insbesondere Gateway Eintrag? Statische Routen und Routing Table anzeigen gibts da ja bestimmt nicht in den Dingern.

Zitat von Knallex

In dem Fall von Cherry und soweit ich das sehen kann, keine Firewall.

Hatte ich ja schon geschrieben, dass diese Geräte definitiv keine Firewall haben.

Zitat von Knallex

Bei der TI könnte ich das ja noch nachvollziehen, das die nur aus dem Internen Netz erreichbar ist....

KTs sind Teil der TI, das kann man nicht trennen.

Zitat von Knallex

Die Wireguard config ist ganz entspannt.
Da ist nichts verboten oder so, eher ist sogar deutlich mehr erlaubt.

Da wird auch nichts explizit verboten, es ist alles "verboten", was nicht explizit erlaubt ist. Und falls nun nicht das Netz 172.20.0.0 erlaubt ist, sondern nur der Server 172.20.0.10, ist es kein Wunder, dass Du die KTs nicht erreichst.

Zitat von Knallex

Dann muss da wirklich irgendeine Firewall auf den Systemen laufen.

Wie gesagt, nein. Ich kann hier sämtliche KTs in verschiedenen Netzen über Wireguard-VPN erreichen, ohne dass die KTs speziell dafür konfiguriert worden wären.

Zitat von Knallex

(oder die andere Schreibweise: 172.20.0.0/24 ....übrigens, dass ist mir bisher auch nicht ganz klar, mal geht die eine mal die andere Schreibweite mit der Netzmaske....)

172.20.0.0/24 definiert ein Netz (das ganze also von 1-254 dun 255 als Broadcast)

172.20.0.1/24 definiert eine IP in diesem Netz.

Sind zwei unterschiedliche dinge

Zitat von Knallex

Könnte irgendwann nochmal testen, ob ich die Dinger aus einem anderen VLAN erreiche (ohne Subnetz) - klar würde ich eine Route erstellen

Das habe ich schon Dienstag gefragt, du könntest schon längst wissen ob VPN Probleme macht oder etwas an deinen Karten

Leser doof sind...

Zitat von Knallex

mal geht die eine mal die andere Schreibweite mit der Netzmaske

Nö. Nur ".0" steht für das Subnetz ".1" ist eine mögliche Host-Adresse und "172.20.0.1/24" ist ein ungültiger Ausdruck.

Zitat von Knallex

Wahrscheinlich ist da doch irgendwas in der TI und den KT's drin, dass wirklich nur das vorhandene Subnetz das Pingen zulässt.

Du willst mir nicht glauben, oder? Ich habe ungefähr 40 Kunden mit insgesamt rund 60 Kartenterminals und kann sie *alle* über VPN erreichen. Es gibt deutschlandweit exakt 2 zugelassene Modelle mit Netzwerkintegration, wir sprechen also von derselben Hardware.

Zitat von Knallex

Jupp...erreichbar sind die KT's vom Server aus (Gleiches Subnetz), nur halt aus dem VPN nicht.
Könnte irgendwann nochmal testen, ob ich die Dinger aus einem anderen VLAN erreiche (ohne Subnetz) - klar würde ich eine Route erstellen

Bitte jetzt einfach mal machen, was mindestens 2 oder gar 3 Leute abgefragt haben ... Das Du die Dinger im gleichen VLAN anpingen kannst, davon gehen wir aus. Also wie sieht es aus einem anderen VLAN aus?

Was meinst Du bitte mit Du würdest eine Route erstellen?!?

Also... ohne Antwort auf die Fragen gibt es zumindest von mir hier keinen Post mehr. Ohne diese Info kann man nicht weiter helfen und zumindest mir ist die Zeit zu schade um sich hier ewig im Kreis zu drehen.