Wireguard VPN: Netzwerk-Zugriff nur von iOS möglich

Es gibt 20 Antworten in diesem Thema, welches 2.242 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    TLDR: Wireguard Zugriff auf Netzwerkgeräte in anderem VLAN nur über iOS möglich, nicht über Windows. Dort Zugriff nur im VPN Adressbereich.


    Hallo liebes Forum.

    Ich lese hier schon länger mit und habe schon viele hilfreiche Sachen umsetzen können. Vor allem die Threads zum Thema Wireguard.

    Leider verzweifele ich gerade bei diesem Thema und hoffe, jemand hat einen hilfreichen Tipp.


    UDM Pro v3.1.16

    Netzwerk 8.0.7


    Anbindung iOS Geräte über "Teleport":

    Geräte taucht im Netz auf - Zugriff ins Default-LAN 192.168.1.0/24 funktioniert.

    Adressbereich der Geräte bei VPN Verbindung: 192.168.4.1-254

    (Netzwerkübersicht-ipad.png)


    Wireguard VPN Server Einrichtung funktioniert, Client hinzufügen geht, Config Datei laden - alles klappt.

    Adressbereich: 192.168.3.1-254

    (Wireguard-Config.png)


    Windows Laptop wählt sich ein und wird auch im Netzwerk angezeigt.

    Adresse: 192.168.3.2

    (Netzwerkübersicht.png)


    Vom Windows-Laptop ist kein Zugriff ins "Default" LAN (192.168.1.0/24) möglich, allerdings kann ich Geräte anpingen, die im selben Adressbereich z.B. 192.168.3.99 liegen.

    Meine VLAN Einstellungen

    (Netzwerk-Einstellungen.png)


    Laut vielen Foren-Einträgen erfordert Wireguard keinen zusätzlichen Eintrag in der Firewall.

    (Firewall-Regeln.png)


    Weiss jemand von Euch, welche zusätzlichen Regeln ich in der Firewall einstellen muss, oder was ich sonst eventuell falsch eingestellt habe?

    Vielen Dank für Tipps.


    Betse Grüße.

    Hast Du eine Firewallregel die Traffic zwischen den VLANs blockt? Falls ja wirst Du vermutlich alle RFC1918 IP Adressbereiche dafür benutzt haben. Somit müsstest Du dann vor der Regel in LAN IN eine Regel einfügen die den Traffic zu deinen VPN Adressen (192.168.3.0/24) erlaubt.

    Hallo

    Danke für den Hinweis.

    Zitat von DoPe

    Hast Du eine Firewallregel die Traffic zwischen den VLANs blockt? Falls ja wirst Du vermutlich alle RFC1918 IP Adressbereiche dafür benutzt haben. Somit müsstest Du dann vor der Regel in LAN IN eine Regel einfügen die den Traffic zu deinen VPN Adressen (192.168.3.0/24) erlaubt.

    Da der Zugriff aus dem per Teleport aufgesetzten VPN mit dem Bereich 192.168.4.1-254 ins Default LAN ja funktioniert und ich auch keine Firewall zusätzlich zu den default regeln erstellt habe, sollte der Zugriff nicht geblockt werden. Kann ich denn speziell eine Regel erstellen, die direkt den Zugriff von 192.168.4.1-254 nach 192.168.1.1-254 erlaubt? und eine zweite dann für den Zugriff zurück?

    Danke.

    Zitat von DoPe

    Wenn Du keine block Regel hinzugefügt hast, dann brauchst Du nichts zusätzlich erlauben. Bei Unifi ist per Default nichts geblockt.

    Hallo

    Ich habe keine zusätzlichen Regeln definiert (Firewall-Regeln.png).

    Deshalb ja mein Problem: Wireguard Zugriff auf Netzwerkgeräte in anderem VLAN nur über iOS möglich, nicht über Windows. Dort Zugriff nur im VPN Adressbereich.

    Danke für Tipps.


    Edit / Ergänzung: Hier ein Screenshot der aktiven Wireguard-Verbindung (Wireguard-Verbindung.png). Vielleicht ist dort etwas verrutscht?
    Danke.

    Moment... Du meinst bei dem Handy geht der Zugriff mit Teleport und mit dem Windows PC gehts nicht per Wireguard.... Das dies zwei unterschiedliche VPN Server weisst du? Trotz allem kannst du bei Standard Einstellungen der Firewall auf alle Netze zugreifen. Zeig mal bitte deine Wireguard Config Datei.

    Hallo jkarsten.

    Zitat von jkasten

    Moment... Du meinst bei dem Handy geht der Zugriff mit Teleport und mit dem Windows PC gehts nicht per Wireguard.... Das dies zwei unterschiedliche VPN Server weisst du? Trotz allem kannst du bei Standard Einstellungen der Firewall auf alle Netze zugreifen. Zeig mal bitte deine Wireguard Config Datei.


    Das ist die Config-Datei:


    Code
    [Interface]
PrivateKey = ***************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.3.1

[Peer]
PublicKey = ****************************************FM=
AllowedIPs = 192.168.3.1/24, 192.168.3.2/24, 0.0.0.0/0
Endpoint = xx.xxx.xxx.xxx:51820


    Dankeschön.

    2 Mal editiert, zuletzt von Tobias21244 ()

    Okay. Der Wireguard Client zeigt gesendete und empfangene Daten ... schonmal gut.


    In der Konfig ist 0.0.0.0/o enthalten -> Der komplette Traffic sollte durch den Tunnel gehen. Sprich wenn Du von ausserhalb den Client anmachst, solltest Du über den VPN Tunnel surfen.

    Bitte mal abprüfen was heise.de/ip ohne und mit aktivierten Tunnel anzeigt. ohne Tunnel sollte die IP vom Standort des Wireguard Clients angezeigt werden, mit Tunnel die IP des VPN Server Internetzugangs. Falls IPv6 dazwischen spuckt, mal kurz das Häckchen bei der Netzwerkverbindung abwählen im Windows.


    Wenn das so passt, wirds eigenwillig. Hat das Gerät auf das Du zugreifen willst eine eigene Firewall? Oftmals ist per Default Zugriff nur aus dem gleichen IP Subnet möglich. Windows Clients antworten per Default auch nicht auf Pings aus anderen IP Bereichen.

    Hallo

    Danke für den Tipp. Hier die Ergebnisse.


    Ohne VPN:


    Mit aktiviertem Tunnel (Surfen ist möglich, Netzlaufwerke zum Server / 192.168.1.11 werden getrennt)


    Im Synology NAS ist die Firewall deaktiviert (Synology-Firewall-Regeln.png)

    Trage spaßeshalber mal dein Internes Netz noch in die Wireguard Config ein und teste erneut.

    Nee nicht anpingen sondern im Browser heise.de/ip aufrufen. Dann siehst Du die öffentliche IP über die Du surfst ...


    Aber sage mal testest Du die VPN aus deinem lokalen Netzwerk oder wieso kannst Du die Syno ohne VPN anpingen?

    Guten Morgen.

    Zitat von jkasten

    Trage spaßeshalber mal dein Internes Netz noch in die Wireguard Config ein und teste erneut.

    Vielen Dank für den Tipp. Ich habe das interne Netz (192.168.1.1) eingetragen und damit kann ich auf den Synology Server und auch auf Windows-Clients per IP zugreifen.

    Code
    [Interface]
PrivateKey = ***************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.3.1

[Peer]
PublicKey = ****************************************FM=
AllowedIPs = 192.168.1.1/24, 192.168.3.1/24, 192.168.3.2/24
Endpoint = xxx.xxx.xxx.xxx:51820


    Das ist super. Vielen Dank. DNS funktioniert allerdings nicht und auch das Ergänzen von "DNS = 192.168.1.1" im Abschnitt [PEER] wird als ungültiger Eintrag quittiert.
    Wo könnte ich diesen Eintrag ergänzen?

    Dankeschön.

    Hallo. Guten Morgen.


    Zitat von DoPe

    Nee nicht anpingen sondern im Browser heise.de/ip aufrufen. Dann siehst Du die öffentliche IP über die Du surfst ...


    Aber sage mal testest Du die VPN aus deinem lokalen Netzwerk oder wieso kannst Du die Syno ohne VPN anpingen?

    Danke für den Tipp.

    Komischerweise wird bei aktivem und deaktiviertem Tunnel immer die öffentliche IP meines Laptops angezeigt.

    Ich sitze hier mit einem PC im Zielnetz , inkl. UDM Pro und mit dem Laptop am Handy Hotspot.

    Zitat von Tobias21244

    Hallo. Guten Morgen.


    Danke für den Tipp.

    Komischerweise wird bei aktivem und deaktiviertem Tunnel immer die öffentliche IP meines Laptops angezeigt.

    Ich sitze hier mit einem PC im Zielnetz , inkl. UDM Pro und mit dem Laptop am Handy Hotspot.

    Dein Handy ist aber nicht im WLAN angemeldet? Sprich die Synology ist in der Konstellation jetzt nie erreichbar? Das mit und ohne Tunnel die gleiche IP ausgehend genutzt wird soll eigentlich nicht sein. Wireguard ist auf dem Notebook am laufen und nicht auf dem Smartphone Hotspot?


    Ich musste übrigens im Handy einen anderen APN nehmen, damit ich dort eine IPv4 bekommen habe (Zuhause ist nur IPv4) und somit konnte ich auf dem Handy den Tunnel nur in anderen WLANs nutzen, aber nicht unterwegs per Mobilfunk.

    Guten Morgen.

    Danke für deine Überlegungen. Der Zugriff mit dem Laptop und Wireguard über den Handy-Hotspot klappt wie beschrieben gut. Ich kam ja bereits in das lokales Netz, ich kam nur nicht aus dem VPN IP-Bereich raus.

    Mit dem Tipp von jkasten hatte der Zugriff ins Zielnetz geklappt.

    Zitat von jkasten

    Trage spaßeshalber mal dein Internes Netz noch in die Wireguard Config ein und teste erneut.


    Nice to have wäre es nur noch, wenn DNS funktionieren würde. Das Ergänzen von "DNS = 192.168.1.1" im Abschnitt [PEER] der Wireguard Config wird als ungültiger Eintrag quittiert.
    Dankeschön.

    Zitat von Tobias21244

    DNS funktioniert allerdings nicht und auch das Ergänzen von "DNS = 192.168.1.1" im Abschnitt [PEER] wird als ungültiger Eintrag quittiert.

    Wo könnte ich diesen Eintrag ergänzen?

    Dankeschön.

    DNS gehört auch nicht in den Peer. Schau Deine Konfig an, oben steht bereits DNS = da kannst Du kommagetrennt auch mehrere Server eintragen. Stehen da nur Server wirds vermutlich noch immer nicht klappen. Du kannst dann auch noch das DNS-Präfix angeben ... Das ist dann auf deinem Rechner das Verbindungsspezifische DNS-Suffix deiner VPN.

    Hallo

    Zitat von DoPe

    DNS gehört auch nicht in den Peer. Schau Deine Konfig an, oben steht bereits DNS = da kannst Du kommagetrennt auch mehrere Server eintragen. Stehen da nur Server wirds vermutlich noch immer nicht klappen. Du kannst dann auch noch das DNS-Präfix angeben ... Das ist dann auf deinem Rechner das Verbindungsspezifische DNS-Suffix deiner VPN.

    Vielen Dank für den Tipp. Es funktioniert jetzt sehr gut.

    Also zusammenfassend bleibt festzustellen, dass die zusätzliche Angabe des zu erreichenden internen Netzes in der Config bei "AllowedIPs" und die Angabe des lokalen DNS Servers bei "DNS" in der WireGuard Config meine Probleme gelöst haben.
    Vielen Dank DoPe und jkasten

    Hallo Zusammen.

    Ich muss den alten Thread nochmal hochholen, da seit 3 Tagen der Zugriff über Wireguard nicht mehr funktioniert.

    Es wurde nichts an den Einstellungen der UDM Pro oder an der Wireguard Config geändert (Standardgateway fehlt?):



    Code
    [Interface]
PrivateKey = ******************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.1.1, localdomain

[Peer]
PublicKey = *******************************************FM=
AllowedIPs = 192.168.1.1/24, 192.168.3.1/24, 192.168.3.2/24
Endpoint = ***********.******.org:51820


    Die dyndns.org Adresse löst auch direkt auf und führt zur UDM Pro Weboberfläche.

    Getestet wurde von mehreren verschiedenen Geräten, aus verschiednen Netzen. Der Zugriff von iOS Geräten funktioniert.
    Hier die Ping Versuche:



    Vielleicht habt Ihr noch irgendeine Idee, warum es wieder nicht geht?

    Dankeschön für Tipps.

    VG

    Code
    AllowedIPs = 192.168.1.1/24, 192.168.3.1/24, 192.168.3.2/24

    Das ist falsch..


    192.168.3.1/32, 192.168.3.2/32, 192.168.1.0/24 sollte passen wenn 192.168.1.0 das Netz ist in das du willst.

    Hallo jkasten

    Vielen Dank für deine Antwort.

    Mein Zielnetz ist 192.168.1.xxx


    So sieht es aus, wenn ein PC funktionierend / direkt mit dem LAN verbunden ist:

    Code
    Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: localdomain
   Verbindungslokale IPv6-Adresse  . : ****::****:****:****:****
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.190
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.1.1


    Dankeschön.