Wireguard geht nicht, Teleport schon: Habe ich keine öffentliche IPv4 (Vodafone Kabel) oder woran liegt es?

opensec · October 25, 2023 at 2:20 PM

Hi Zusammen,

ich stehe vor dem Problem, dass mein Wireguard VPN Server der UDM SE nicht mehr funktioniert. Eigentlich kann das nicht sein. Das was ich vermute ist, dass ich anscheinend keine öffentliche IPv4 Adresse mehr habe?! Obwohl ich eben diese ja sogar extra bei meinem Kabel Deutschland Tarif mit dabei habe.

Ein Ping auf die Adresse geht nicht. Bzw. habe ich mit DynDNS (über Securepoint spdyn.de) ein DDNS eingerichtet. Aber auch hier klappt ein Ping auf die dyndns Adresse auch nicht.

Wie kann man überprüfen über DynDNS läuft bzw. woran es liegt?

Könnt Ihr mir helfen?

DoPe · October 25, 2023 at 2:34 PM

Schau doch mal in deine UDM was dort als WAN IP angezeigt wird. Dann pingst Du deinen DDNS Hostnamen mal an oder machst ein nslookup auf den Namen. Wenn die Aktualisierung funktioniert solltest Du die WAN IP als Ergebnis zurück bekommen. Du kannst auch gerne mal heise.de/ip aufrufen um mal zu schauen was da so angezeigt wird. Sollte ja prinzipiell übereinstimmen dann.

Hier gibts von KD derzeitig 31er und 91er IPs.

**BlackSpy** · October 25, 2023 at 2:34 PM

Erstmal die zugewiesene IP4 auslesen, ist die UDM direkt mit Provider verbunden oder befindet sich das Modem im Bridge Modus, so steht die IP4 in der Controller Oberfläche der UDM

Ist zB ne Fritzbox davor und du diese ist Gateway, so musst du in der Fritzbox Oberfläche nachsehen.

Liegt deine IPV4 innerhalb dieser Bereiche:

Klasse A: 10.0.0.0 to 10.255.255.255.
Klasse B: 172.16.0.0 to 172.31.255.255.
Klasse C: 192.168.0.0 to 192.168.255.255.

Ist sie nicht öffentlich und damit von außen nicht erreichbar.

Hast du eine von 100.64.0.0 - 100.127.255.255 hast du CGNAT und wohl das gleiche Problem

opensec · October 25, 2023 at 4:42 PM

Danke für Eure Mithilfe. Es ist einer 91. er Adresse.... Ping direkt klappt nicht - kommt request timeout für icmp (wohl gesperrt)?

Aber er zeigt direkt dort die richtige IP an. Bzw. auch der nslookup auf DDNS klappt soweit mit der richtigen IP.

Generell:

- Kabelrouter (Kabel Deutschland bzw. Vodafone Netz) als Bridge Modem degradiert und dahinter die UDM SE gehangen.

Soweit klappt das auch alles. Jedoch halt einfach nicht der Wireguard. Er stellt zwar eine Verbindung her - überträgt aber null Daten in beide Richtungen und ich komme auch auf keine lokalen IPs drauf. (mit Teleport geht es - aber ich möchte gerne direkt Wireguard nutzen).

DoPe · October 25, 2023 at 6:35 PM

Für den Ping musst Du erst icmp in der Firewall bei Internet local erlauben... etwa so:

Wie schaut denn Deine Wireguard Konfiguration für den Client aus?

Hast Du sonst noch Firewallregeln, die den Traffic ggf. blockieren? z.B. Quelle alle priv. IPs nach Ziel alle priv. IPs?

**BlackSpy** · October 25, 2023 at 6:43 PM

Wie schaut dein config File aus?

Wichtige stellen bitte schwärzen oder Xen

Flo_coe · October 25, 2023 at 6:55 PM

Kabel zu 90% DS-Lite außer du hast einen Business Vertrag. Versuche es am besten per IPv6

**BlackSpy** · October 25, 2023 at 7:11 PM

Er schreibt oben das er einen extra Vertrag mit IPV4 hat.

Seine IP fängt mit 91.x.x.x an, sollte daher öffentlich sein.

Flo_coe · October 25, 2023 at 7:15 PM

Pardon, hatte ich wohl überlesen, sorry.

Dann sind wir tatsächlich bei der fw.

**BlackSpy** · October 25, 2023 at 7:18 PM

Alles gut.

Vermute das im Config File was nicht korrekt steht, ist oft ein Fehler und es bedarf Handarbeit

opensec · October 25, 2023 at 8:25 PM

Hi.

Danke für die Mithilfe... Es war das lokale Netz in dem ich war - dort musste der Router resettet werden, damit WG wieder geht.

Habe es über mein Mobilfunk-Netz probiert - das ging dann. Danach entspr. recherchiert, woran es liegen kann.

Trotzdem danke für die Mithilfe. An Vodafone, der fixen IPv4 etc. lag es dann nicht. Jetzt klappt alles wunderbar.

Participate now!