Wireguard VPN nach Update

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo zusammen,

    ich benutze seit 2 Jahren einen Wireguard VPN zu meiner DM pro damit ich auf die dahinterliegenen Unifi UNAS Pro zugreifen kann. Das hat bis jetzt immer wiederbar funktioniert. Vor 2 Tagen allerdings, muss endweder bei Windows oder bei Unifi eingespielt worden sein - seit dem kann ich zwar den Tunnel aufbauen, allerdings bekomme ich nicht die richtige Subnetzmaske und kein Standardgateway zugewiesen. Darum funktioniert auch der Zugang zur NAS nicht mehr. Das Internet läuft.

    Hat jemand zufällig das selbe Problem?

    Ich bin einigermaßen verwirrt. Ob und wo ein Update eingespielt wurde, solltest Du wohl ermitteln können.

    Was mich wundert, seit wann bekommt ein Wireguard Client eine Subnetmaske und einen Standardgateway zugewiesen? Beides ist fest in der Client Konfiguration enthalten.

    Steht die Verbindung wirklich - also zeigt der Client gesendete und empfangene Daten an?

    Was soll uns der Satz "Das Internet läuft." sagen?!?

    tut mir leid habe es evtl ein bisschen Pauschal und einfach geschrieben.

    Update: Es wurde gleichzeitig ein Update Windows11 und bei der Unifi DM Pro geladen - ich kann nicht feststellen welches Update nun schuld"" ist.

    Die Wireguard Konfig wurde nicht verändert - ich habe per ipconfig gesehen, dass weder Subnetz noch Gateway passt darum dachte ich mir das könnte der Fehler sein? Siehe Screenshot.


    Der Client zeigt Daten an gesendet sowohl auch erhalten - Wenn ich den Haken bei "Verkehr außerhalb vom Tunnel blockieren" aktiviere, komme ich ins Internet

    Update:

    kann es an den Firewallrules liegen?

    Ich erhalte vom Wireguard die IP 192.168.2.x die lokale IP der UNAS ist aber 192.168.88.120

    Das sollte ja automatisch intern weitergeroutet werden?

    Edited once, last by Ionize (March 15, 2026 at 4:21 PM).

    Der Wireguard Server hat mit seinen Clients immer ein eigenes Subnet (bei Fritz läuft es anders). Ist bei Dir offenbar 192.168.4.0/24 wobei der Server auf dem Unifi Gateway die .1 ist. Das ist soweit korrekt.

    Es gibt bei dem Aufbau zwei Stellen, an denen geroutet wird. Beim Client wird entschieden in den Tunnel zu routen oder das lokale LAN und dessen Gateway zu verwenden. Im Unifi Gateway wird entschieden in ein lokales VLAN, zum lokalen Internet oder in den Tunnel ( für Antworten zum Client) zu routen. Sollte alles gegeben sein. Wichtig ist noch, dass die Geräte hinter dem Unifi Gateway, dieses auch als Standardgateway nutzen.

    Die Firewall auf dem Unifi Gateway kann in den Traffic eingreifen. Tut sie per Default nicht.

    Auf dem Client evtl. noch irgendwelche Security Software drauf?

    Nein, es ist auf keinem der beiden PCs auf dem der Wireguard Tunnel bis vor ca. 2 Tage noch funktioniert hat eine Security Software drauf (außer Windows Defender aber diese wurde schon deaktiviert aus Testzwecke).

    Ich bilde mir ein, ich habe früher beim Aufbau des Tunnels auch ein Standardgateway zugewiesen bekommen. Nun lautet es lt. Screen 0.0.0.0

    Ich gehe davon aus, dass hier auch der Fehler liegen könnte?

    okey dann kann das wohl nicht der Fehler sein.

    Ich habe gerade den VPN Server bei der UDM gelöscht und einen neuen angelegt. Hat nichts gebracht. Ich bin zwar nach wie vor per Wireguard mit dem entfernen Netz verbunden (192.168.2.x). Bekomme aber keine Verbindung zu den Clients im lokalen Netz der UDM (192.168.88.x). Wenn ich zb. das Gateway also die UDM per Ping versuche zu erreichen, gehen alle Pakete verloren.

    Kann es doch sein, dass die UDM durch das Update auf 5.0.12 die Firewall so verändert hat, dass das einfach nicht mehr funktioniert ohne eine neue Regel anzulegen?

    Also ich habe auch die 5.0.12 Version drauf und erst gestern einen VPN aufgebaut und klappte sofort.

    Hast du noch was dazwischen eine FB oder so dazwischen, welche Stress machen könnte?

    Windows Laptop blockt auch nichts? Mal ein Android oder Apple Mobilgerät getestet, immer einen eigenen Wirequard Client erstellen für jedes Gerät.

    Dyndns läuft auch richtig, oder feste IP?

    Ich habe hier einige UDMs und UCGs mit Wireguard Servern drauf, seit die Gateways eingerichtet wurden. Die haben alle schon etliche Unifi OS und Network Updates hinter sich und Wireguard läuft schlicht weg seit dem ohne Probleme durch. Das Firewallregeln geändert werden bei einem Update halte ich erstmal für sehr sehr unwahrscheinlich. Es gab vor einiger Zeit mal ein Windows Update, nach dem die Wireguard Config, die per Default vom Unifi Gateway generiert wurde nicht mehr funktionierte. Das ist aber gefühlt über ein Jahr her ... Da wurde bei den allowed IPs auch die IP des Wireguard Clients aufgelistet, was vor dem Windows Update problemlos war. Allerdings scheint deine Wireguardkonfig ja 0.0.0.0/0 als allowed IPs eingetragen zu haben, haut also alles in den Tunnel.

    Quote

    Wenn ich den Haken bei "Verkehr außerhalb vom Tunnel blockieren" aktiviere, komme ich ins Internet

    Dieser Haken beeinflusst eigentlich die Erreichbarkeit des lokalen Netzwerks des Clients. Bei 0.0.0.0/0 wird alles in den Tunnel geblasen und man erreicht auch nichts mehr in seinem eigenen Netzwerk (Bei gesetztem Haken). Ist der Haken nicht gesetzt, ändert sich 0.0.0.0/0 in 0.0.0.0/1, 128.0.0.0/1 und das eigene lokale IP Netz ist erreichbar. Gesurft wird in beiden Fällen über das Remote Netz hinter dem Wireguard Tunnel. Also sollte der Haken auf das Internet schon keinen Einfluss haben, was bei dir aber wohl unterschiedliches Verhalten bewirkt.

    Wenn es gar nicht dein Ziel ist über den Tunnel zu surfen und du nur das NAS erreichen willst, bzw. irgendein Gerät in deinem Netzwerk, dann würde ich das Ganze ohnehin händisch anpassen. Allowed IP 192.168.2.1/32, 192.168.88.0/24 sollten dann reichen.

    Welche Version der Firewall nutzt Du denn? Die alte oder die zonenbasierte? Erstaunlich finde ich ja die Tatsache, dass Du nicht mal auf die UDM kommst mit 192.168.2.1 oder 192.168.88.1 (oder welche IP die UDM in dem Netz auch immer hat).

    Der entfernte Standort hat eine Statische IP. Somit kann ich sicherlich sagen, dass der Tunnel auch korrekt aufgebaut wird. Allerdings erreiche ich zb. per Ping kein einziges Gerät im Netz 192.168.88.0/24. Ich nutze noch die die alte Firewall. Dort ist ein Eintrag "Allow Wireguard Server" sonst nichts. Ich selbst habe dort aber auch nichts geändert.


    Der Tunnel hat seit 2 Jahre immer korrekt funktioniert -> seit nun ca. 3 Tage geht nichts mehr -> weder am PC, noch am Laptop bzw. Smartphone. Überall der selbe Fehler.

    Die Desktop Version von Unifi Endpoint würde automatisch Netzlaufwerke mounten um den Zugang zur Unifi NAS zu erleichtern.

    Bin auf den Fehler drauf gekommen, weil plötzlich die Netzlaufwerke nicht mehr erreichbar waren...

    Habe ich gerade probiert - genauso wie Wireguard es baut den Tunnel auf - aber NAS ist nicht erreichbar (Kein Gerät in der Range 192.168.88.0/24 ist erreichbar)

    Komme mit der neuen Zonenbasierten Firewall nicht ganz klar - was müsste man denn Einstellen wenn man den Wireguard Tunnel auf das Netz zulassen möchte - auch wenn das normal sich nicht von alleine Umstellt, es kommt wirklich nichts mehr in Frage sonst - es wurde nichts verändert und auf sämtlichen Clients funktioniert plötzlich nichts mehr.

    Quote from Ionize

    Natürlich immer noch unverändert - bei jedem PING kommt "allgemeiner Fehler"....

    Allgemeiner Fehler hat wahrscheinlich gar nichts mit irgendeiner Firewall zu tun. Ist eine Firewall schuld, kommt normalerweise bei einem ping ein timeout (wenn die Firewall droppt) oder ein Reject, wenn die Firewall eben rejected statt zu droppen. Letzteres ist eher ungewöhnlich, da es sinnlosen Traffic generiert und die Firewall sich so nicht Tod stellt.

    Allgemeiner Fehler deutet eher auf IP Stack, Routen oder ähnliches hin. Wie sehen denn eigentlich die lokalen IPs aus und die im Remotenetz? Wie sieht die IP Konfiguration des Wireguard PCs aus auf der LAN oder WLAN Schnittstelle. "allgemeiner Fehler" kommt auch wenn dein PC keinen oder einen Standardgateway aus einem anderen IP Netz hat und zwar auf der Netzwerkschnittstelle. Ebenso kommt der Fehler auch wenn ausgehend keine ICMP Pakete verschickt werden dürfen, also die Windows Firewall nicht original ist. Auf Pings aus anderen IP Bereichen antwortet Windows per Default nicht, aber man kann normalerweise in andere IP Netze pings senden.

    Das Problem scheint irgendwie etwas tiefer zu sitzen als nur eine Firewallregel.

    JAAAA ENDLICH !!!! Fehler gefunden läuft wieder. Natürlich an dieser Stelle ein DANKE an alle die mich unterstützt haben.

    Also falls jemand noch das Problem hat hier die Erklärung was ich gemacht habe:

    Das entfernte Netz auf das ich zugreifen möchte per Wireguard hat die IP Range 192.168.88.0/24. Mein Netz von dem ich aus mittels Wireguard arbeitete hat auch 192.168.88.0/24. Beide Netze liegen hinter eine UDM Pro. Bis Dato hat das auch so funktioniert - Wireguard Tunnel aktivieren und die Netzlaufwerke der NAS wurden mit per Unifi Endpoint im Explorer angezeigt.

    Nun habe ich dem Netz von dem ich aus auf die NAS zugreifen möchte eine andere IP Range gegeben 192.168.100.0/24.

    Zugriff funktioniert wieder. Scheint so als ob der Tunnel nicht genau gewusst hat, wohin er die Anfrage routen soll und alles ist am Ende wieder bei mir im Lokal Netz gelandet - darum evtl auch der komische PING Fehler.


    Aufjedenfall nochmals danke an alle ;-)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login