Wireguard ping/access vom Server funktioniert nicht

    Hallo zusammen,

    ich möchte via Wireguard eine VM bei Hetzner anbinden und verzweifel hier langsam, wegen folgendem Problem.

    Ich hab bei Hetzner eine Ubuntu VM aufgesetzt und Wireguard installiert. Auf der UCG-Ultra hab ich die passende Konfiguration auch hinterlegt. Nachdem ich auf der UCG-Ultra noch die passende Route hinterlegt hab, kann ich die VM anpingen und mich per SSH verbinden (Port 22 ist auf der VM-Firewall zu, d.h. die Verbindung läuft über Wireguard). Soweit so gut.

    Was leider nicht funktioniert ist der "Rückweg". Ich kann trotz angepasster Firewall auf der UCG-Ultra, weder die Wireguard-IP von der UCG-Ultra anpingen, noch ein lokales Netz. Da der ping auf der VM einfach keinen output zurückgibt, vermute ich, dass es an der Firewall liegt. Die Routen auf der VM hab ich auch gecheckt, die sollten passen.

    Hier mal meine Configs.

    Code: wg0.conf (VM-Hetzner)
    [Interface]
PrivateKey = ...
ListenPort = 51820
Address = 172.31.0.2/30
MTU = 1420

[Peer]
PublicKey = ...
AllowedIPs = 172.31.0.1/32
AllowedIPs = 192.168.30.0/24


    Check für die Routen auf der VM

    Code
    $ ip route get 172.31.0.1
172.31.0.1 dev wg0 src 172.31.0.2 uid 0 
    cache
$ ip route get 192.168.30.228
192.168.30.228 dev wg0 src 172.31.0.2 uid 0 
    cache

    iptables und ufw sind auch leer bzw. aus auf der VM, da ich die Hetzner Firewall nutze.

    Für die Firewalls auf der UCG-Ultra habe ich folgende Ansätze ausprobiert:

    • Wie hier beschrieben, in ein Object die Netzwerke 172.31.0.0/30 und 10.0.0.0/8 hinterlegt. Als Firewallregel (Zulassen) dann Quelle extern mit dem angelegten Object und Ziel intern (beliebig).
    • Dann dieser Ansatz, der fast identisch wie oben ist, allerdings Quelle intern und Ziel intern und bei der Quelle die VPN-IP (172.31.0.1).

    Beides hat leider nichts geholfen.

    Ich bin mir fast sicher, dass ich irgendwas übersehe. Hat jemand einen Tipp?

    Vielen Dank schonmal!

    E: Ich glaub, ich hab den Thread im falschen Subforum aufgemacht. Könnte den jemand verschieben? Danke

    Die UCG ist der Wireguard Client wenn ich das richtig sehe (ist wichtig für die Firewall)?

    Firewallregeln bei Intern-Intern stehen nicht in Verbindung mit der VPN!

    Der Wireguard Client ist in der Zone External. Dein Netzwerk ist in der Zone internal. Dein UCG ist die Zone Gateway. Also haben nur Firewallregeln aus diesen Zonen Kombinationen einen Einfluss.

    Internal-External sollte ja alles durchlassen (Du hast ja auch Zugriff auf die VM).

    External-Internal da sollte eine Regel rein die alles von einem "Firewall-Objekt X" als Source und deinen gewünschten UCG Netzwerken als Destination erlaubt.

    External - Gateway da sollte eine Regel rein die alles von einem "Firewall-Objekt X" als Source und Gateway (mit Any, Any) als Destination erlaubt.


    Das "Firewall-Objekt X" enthält das IP Subnet des Wirguard Netzes oder wenigstens die Wireguard IP der VM. Wenn ich das richtig sehe ist 172.31.0.0/30 das Wireguardnetz ... Was ist das 10.0.0.0/8 Netz?

    Die Firewallregeln müssen dann natürlich jeweils an eine Position in der Firewallreihenfolge, bei der nicht dadrüber eine Regel steht die schon etwas blockt, was für die VPN relevant ist.


    Weiter notwendig, eine policy based Route auf dem UCG, welche den Traffic von den Geräten deines Netzwerks (mindestens die Geräte die die VM erreichen sollen und auch die die von der VM erreichbar sein sollen) an die IP der VM durch den entsprechenden Wireguardtunnel schickt.

    Zu bedenken ist weiterhin noch, das der Wireguardclient auf der UCG NATet. Das kann man prinzipiell auch deaktivieren.

    Noch zu beachten. Wenn Du einen Windows PC in deinem UCG Netz von der VM aus anpingen willst, dann bitte die Windows Firewall anpassen. Zumindest die Windows Client OSes antworten nicht auf Pings aus anderen IP Subnetzen!

    Wenn das alles nichts hilft, müsstest Du mal Screenshots von den oben genannten Dingen posten.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login