Client kommt über Wireguard nicht ins Internet

    Hallo, ich habe mich erstmals über VPN gewagt. Hintergrund ist, das ich im Ausland Urlaub, mit einem Firestick heimisches TV gucken kann.

    Im Prinzip steht die VPN Verbindung vom Client zum Cloud Gateway und somit ins Heimnetz.

    Jedoch komme ich mit dem Client über das VPN nicht ins I-Net.

    Zum Testen ist mein Client aktuell ein Android Handy (Pixel5) mit installierter und eingerichteter Wireguard APP

    Wenn ich nun am Handy über das Handynetz und aktivem VPN versuche eine Webseite zu öffnen, bekomme ich die Fehlermeldung "DNS Fehler", die VPN Verbindung zum UCG-Ultra scheint aber zu stehen. Zumindest meint das das Handy und die App

    Firewall Regel oder eventuelle Routings am UCG-Ultra habe ich vorerst keine erstellt, weil laut diversen Anleitungen, das nicht nötig ist. 🤔

    Im VPN Setup am UCG-Ultra habe ich alles auf Standard gelassen. Das einzige was ich geändert habe ist, das ich die IP Range auf nur 5 IP's geändert habe, weil ich am Ende nur 2-3 Clients benötige.

    Hat wer einen Tip, ich bin am Ende meiner Möglichkeiten und meines Wissens angekommen

    Hi Rasik,

    bist du hier weiter gekommen?
    Ich habe ein ähnliches Problem wie du.
    Mein Wireguard Client auf dem Handy verbindet sich mit einen Wireguard Server auf einem VPS.
    Von dem UDR verbindet sich auch ein Client mit dem VPS Wireguard Server.

    Auch ich möchte so später den "Medien Stick" über Wireguard mit meinem Heimnetz verbinden und darüber ins Netz gehen.

    Die Verbindung zum Heimnetz steht und ich komme z. B. auf mein NAS oder auf meinen Unifi Router.

    Aber halt nicht weiter ins Internet.

    Leider kenne ich mich mit Routing usw. gar nicht aus.

    Habe schon einiges probiert, aber nix hat den gewünschten Erfolg gebracht.


    Bist du da schon weiter?


    VG


    Thunder

    Ja, ich habe es glaube hinbekommen, mit Hilfe einer KI. Wireguard erstellt eine Fehlerhafte Conf glaube ich. Ich muss aber sagen, ich bin da ein ziemlicher Laie.

    Also, so funktioniert es wahrscheinlich.

    In der Client Conf, sind Standartmäßig Fehler.

    Zuerst mal am Server habe ich zwei öffentliche DNS eingetragen und nicht auf Standard gelassen. Ebenso aufpassen, das sich die Client IP von deinen lokalen IP,s unterscheidet. Ich bin da aus Sicherheit auf 10.10.10.x/32 gegangen. In meinem/diesem Beispil gebe ich nur 5 IP Adressen frei, mehr brauche ich nicht!

    Bei den Client Einstellungen muß der Punkt "Remote Client Network" aktiviert werden und dort müsste die IP 0.0.0.0/0 eingetragen werden. Das nimmt er aber nicht! Also ersetzt du /0 mit zB/32.

    Jetzt Client speichern, Server speichern und Conf downloaden.

    Weiter geht's mit der Conf die nun in einem Editor bearbeitet und überprüft werden muss.


    Prüfe das die DNS, exakt die selben sind, auch in der Reihenfolge wie zuvor im Server eingetragen.

    Bearbeite AllowedIP: Da ich in Zukunft lokal nichts benötige, habe ich nur noch 0.0.0.0/32 auf 0.0.0.0/0 geändert und dort stehen Alles andere habe ich entfernt #Das ermöglicht den Internet Zugang aus deinem Heimnetz, aber keinen Zugriff aufs Heimnetz mehr.

    Prüfe Endpoint = Deine Wan IP:51820

    Ergänze um die Zeile ganz unten
    PersistentKeepalive = 25


    So das sollte es gewesen sein.

    Berichtet mal ob's bei euch klappt.

    Ich kann mich jedenfalls, jetzt mal unterwegs ins Internet über mein Heim WAN verbinden, glaube aber, das das noch nicht ganz perfekt ist.

    Hi Rasik,
    danke für die schnelle Antwort.

    Wo läuft denn dein Server? Ich hab auf der Unifi und dem Handy nur die Clients installiert.
    Dort sind die Standard DNS 1.1.1.1 und 8.8.8.8 eingestellt.

    Der Wireguard Server läuft auf dem VPS bei INOS.
    Da werden aber, glaube ich, keine DNS Server eingestellt.

    Beide Clients verbinden sich mit dem Server und so wird die Verbindung hergestellt.
    Das lief auch bis gestern Abend (aktuell verbindet sich der VPS Server nicht mit der Unifi), da muss ich wohl was strubbelig gemacht haben.

    Quote from RasiK22

    Bearbeite AllowedIP: Da ich in Zukunft lokal nichts benötige, habe ich nur noch 0.0.0.0/32 auf 0.0.0.0/0 geändert und dort stehen Alles andere habe ich entfernt #Das ermöglicht den Internet Zugang aus deinem Heimnetz, aber keinen Zugriff aufs Heimnetz mehr.

    In welchem Client stellst du das ein, Handy, Unifi, oder VPS wireguard Server?


    Quote from RasiK22

    Prüfe Endpoint = Deine Wan IP:51820

    Das habe ich im Handy Client, aber da muss doch die IP vom VPS Server rein, sonst geht das doch gar nicht, oder???
    Zumal meine IP dynamisch ist, daher ja auch der Server.


    Wo läuft denn bei dir der Server?

    Bei mir läuft der WireGuard Server am Unifi Cloud Gateway Ultra! Mein Client, soll wenn es mal richtig funktioniert, ein Firestick TV sein, um im Ausland heimisches TV schauen zu können. Mein TV Anbieter blockt Adressen von VPN Anbietern, weil die IP Adresse nicht aus dem eigenen Netz kommt. Also bezahl VPN, sind nutzlos für mich, habe 2 verschiedene probiert. WireGuard am heimischen Cloud Gateway Ultra, könnte eventuell das Problem lösen, so meine Hoffnung.🤔

    Deine Konfiguration ist da was ganz anderes.

    Ich habe eine fixe IP beim Provider, Magenta.at) aber nutze auch zusätzlich DynDNS von selfhost.de um meine WAN IP im Alltag leichter erreichbar zu machen. zB habe ich eine Synology Diskstation, die ich so mit einer Webadresse, anstelle einer schwer zu merkenden IP erreiche.

    Eure Konfiguration und die Zielsetzung im Detail unterscheidet sich bei euch völlig.

    Thunder bei dir wird vermutlich der Internettraffic bereits am VPS ins Internet abbiegen. Sämtliche VPS Anleitungen die ich kenne, beziehen sich immer darauf auf das Heimnetz zugreifen zu können weil mangels öffentlicher IPv4 eine direkte VPN Einwahl nach Hause nicht machbar ist.

    RasiK22 Was Du da so beschreibst klingt megaabenteuerlich ... Remote Client Network aktivieren?!? Wenn sich einfach 2 Geräte als Wireguard Client einwählen, dann gibt es überhaupt kein Remote Client Network. Und was die fehlerhafte Erstellung der Konfigdatei angeht, da wurde eine Konfig erzeugt, die lediglich mit Windows nach einem MS Update für eine nicht funktionierende VPN sorgte. Das wurde aber schon lange gefixt.

    Quote from DoPe

    Eure Konfiguration und die Zielsetzung im Detail unterscheidet sich bei euch völlig.

    Thunder bei dir wird vermutlich der Internettraffic bereits am VPS ins Internet abbiegen. Sämtliche VPS Anleitungen die ich kenne, beziehen sich immer darauf auf das Heimnetz zugreifen zu können weil mangels öffentlicher IPv4 eine direkte VPN Einwahl nach Hause nicht machbar ist.

    RasiK22 Was Du da so beschreibst klingt megaabenteuerlich ... Remote Client Network aktivieren?!? Wenn sich einfach 2 Geräte als Wireguard Client einwählen, dann gibt es überhaupt kein Remote Client Network. Und was die fehlerhafte Erstellung der Konfigdatei angeht, da wurde eine Konfig erzeugt, die lediglich mit Windows nach einem MS Update für eine nicht funktionierende VPN sorgte. Das wurde aber schon lange gefixt.

    Was soll ich dazu sagen, Remote Client Network, war die Option, die den Client über VPN ins I-Net ließ, ohne keine Chance.

    Was die Konfiguration Datei betrifft, die ich aus der Unifi VPN Oberfläche erstelle, die funktioniert bei mir überhaupt nicht. Mach ich was falsch?

    Hättest du eine andere Idee, für jede Hilfe bin ich sehr dankbar?

    Mein Ziel ist das ein Firestick über VBN über mein WAN ins Netz geht. Mehr Brauch ich nicht, auch keinen Zugriff auf mein Heimnetzwerk.

    Zeig mir mal eine config, die funktionieren sollte, dann teste ich das gerne.

    Dann poste mal bitte die Einstellungen des Wireguard Servers und der Clients dort (mit remote client network sichtbar), am besten Screenshoot und die keys unkenntlich machen.

    Dazu bitte die Clientkonfig die Du verwendest. Endpoint unkenntlich machen falls statische ip oder ein hostname verwendet wird. Da wird wohl kein Fehler sein sonst würde es ja gar nich gehen :)

    Ist am firetv IPv6 aktiv?

    Hallo und Danke.

    Zuerst kein IPv6 am Firestick, denn dazu habe ich gar keine Idee

    Ich habe alles so weit es geht per Screenshot dokumentiert

    Was dir gleich auffallen wird ist die 0.0.0.0/29, die ich in der Client .conf auf 0.0.0.0/0 editiert habe. Das soll den Weg ins I-Net öffnen. 🤔

    Auch der Persistent Keepalive = 25 wurde nachträglich von mir eingefügt und nicht von Winguard automatisch erstellt.

    Auf jeden Fall baut diese Config eine VPN zu meiner WAN Adresse auf, das habe ich mit

    https://ipconfig.me überprüft.

    Die DNS Prüfung ist auch OK

    DNS leak test

    Aber das ganze ist im VPN recht langsam, obwohl ich zu Hause eine 300Mbits Verbindung habe und die ich auch immer aus dem Heimnetz erreiche.

    Hier mag aber wohl das Handynetz bei meinen Test der Bremsschuhe sein.

    Die Clientkonfig sieht im Prinzip okay aus. Es wird aber wirklich alles in den Tunnel gekippt. Das Gerät hat also auch keinen Zugriff mehr auf das lokale Netz. Ist möglicherweise gewollt. Als DNS Server könntest Du natürlich auch die 10.10.10.1 (Wireguard Tunnel IP des Servers auf dem Unifi) nutzen. Je nach Nutzung könnte das die DNS Anfragen beschleunigen. Man kann dort übrigens auch mit einem weiteren , getrennt noch ein DNS Suffix eintragen. Wenn man dort dann den Domain Name aus den DHCP Server Optionen seines Heimnetzes einträgt, ist die Namensauflösung für Geräte im Heimnetz auch ohne FQDN nur mit dem hostanteil möglich, sofern der DNS im Unifi dazu ein Datenpärchen zum beantworten hat - Google kann das definitiv nicht beantworten.

    Die Serverkonfig sieht ebenso okay aus, bis auf das Remote Client Netzwerk. Der Eintrag erfüllt überhaupt keinen Sinn. Das Ganze legt quasi eine Route für das Netz 0.0.0.0/29 IP 0.0.0.1 bis 0.0.0.6 an, die auf den entsprechenden Wireguard Client zeigt. Das würde man nutzen, wenn der Wireguardclient ein router wäre und hinter ihm dann ein oder mehrere Netzwerke liegen. Dann allerdings mit einer entsprechend sinnvollen Netzwerkmaske die zum Netzwerk passt. Diese Einstellung sollte aber keinerlei reale Auswirkung haben und es muss auch ohne diese funktionieren.

    Bis auf den letzten Punkt, war also deine obige Beschreibung "wirrer" als die tatsächlichen Änderungen.

    Vielen Dank schon mal.

    Ich werde, einen 2. Client mit Bordmitteln anlegen und das dann hier posten.

    Ich habe das schon mehrfach gemacht, und kam damit nicht ins Internet.

    Erst als im Client 0.0.0.0/0 stand ging es.

    Aber ich teste das gerne nochmals.

    Wenn man im Server keinen DNS manuell anlegt, also die Einstellung auf Automatisch lässt, welcher DNS wird denn dann benutzt?

    Du meinst ja in meinem Fall 10.10.10.1, aber wie löst der auf? Woher nimmt der die Daten?

    Sorry für die vielleicht dummen Fragen, aber das ganze übersteigt meinen Horizont etwas.

    Als allowed IP 0.0.0.0/0 ist ja auch notwendig für Internet. 0.0.0.0/1 UND 128.0.0.0/1 gehen auch, dann hat man sogar Zugriff aufs lokale Netz. Die steht allerdings auch in der Konfiguration schon drin und die Konfiguration kann auch Instant genutzt werden für Zugriff auf das Heimnetz und das Internet über Zuhause.

    Es geht einzig um das Remote Client Network 0.0.0.0/29, was keinerlei Sinn macht bei einem Client Device ohne Routing Fähigkeit und einem entsprechenden LAN an diesem Client.

    Bei Auto wird, wenn ich mich nicht irre, die IP des Unifi genommen also die 10.10.10.1 in deinem Fall. Sieht man in der Konfig wenn es umgestellt ist ;) Im Unifi Gateway ist ein DNS eingebaut. Man hat dort die Möglichkeit selbst noch Einträge zu hinterlegen. Ansonsten wird das Ding wohl auch vom DHCP gefüttert (Wenn der auch auf dem Unifi läuft und nicht von einem anderen Gerät gehandelt wird). Alles was der so nicht beantworten kann (halt die ganzen DNS Namen des Internets) fragt das Unifi Gateway dann bei den DNS Servern ab, die quasi im WAN konfiguriert sind (Ausnahmen gibts bei Filterkram und Ad Blocking Zeugs). Die Antwort wird dann für eine gewisse Zeit (TTL des DNS Eintrags) gecached und das Unifi muss nicht jedes mal erneut nachfragen.

    Zunächt wieder vielen Dank für deine Geduld mit mir. 🥰

    Also, ich habe einen neuen VPN Server + 1 Client auf meinem Cloud Gateway Ultra angelegt.

    Ich habe alles auf Standart gelassen, nur die Client IP wurde geändert.

    Grundsätzlich funktioniert diese Configuration schon mal, ABER.

    1Unifi erstellt eine Client.conf mit ungültigen Namen. Syntax: Servername-Clientname.conf

    Ich vermute der - passt nicht, also muss man diesen Dateinamen anpassen um in der WireGuard APP von Android diesen zu importieren. Den QR Code habe ich nicht getestet.

    Was mir aber auch auffällt, ist die grotten schlechte Geschwindigkeit. Nun, jetzt weiß ich leider nicht, wie ich das am besten zu Hause verlässlich testen soll. Bis jetzt habe ich das alles am Handy, ohne WLAN zum Heimischen Netz, nur über mein Handynetz gemacht.

    Ein Speedtest mit eingeschalteten VPN gibt dann DL 0,9Mbits / UL 25Mbits aus. 🥵

    Ohne VPN im Handynetz 146/31 Mbits.

    Im WLAN oder LAN ohne VPN >300/50Mbits.

    Bin bei Magenta, fixe IP, Österreich

    An welcher Stellschraube muss ich jetzt noch drehen, das im VPN die Geschwindigkeit hochgeht. So kann ich definitiv nicht Streamen, was ja mein Ziel der Übung ist.🤔

    Die WG Konfiguration wird am Speed nichts ändern. Das es langsamer ist, ist normal, da in beide Richtungen immer Upstream vom Client oder Server genutzt wird und der ist in der Regel nicht so fix wie Downstream.

    Die Werte sind aber ziemlich daneben.


    Möglicherweise ist der Dateiname der Konfigdatei zu lang. Konfig benenne ich ehh um so wie ich dann gerne den Namen im Wireguard sehen möchte.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login