Beiträge von Tobias21244

Hallo jkasten

Vielen Dank für deine Antwort.

Mein Zielnetz ist 192.168.1.xxx

So sieht es aus, wenn ein PC funktionierend / direkt mit dem LAN verbunden ist:

Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: localdomain
   Verbindungslokale IPv6-Adresse  . : ****::****:****:****:****
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.190
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.1.1

Dankeschön.

Hallo Zusammen.

Ich muss den alten Thread nochmal hochholen, da seit 3 Tagen der Zugriff über Wireguard nicht mehr funktioniert.

Es wurde nichts an den Einstellungen der UDM Pro oder an der Wireguard Config geändert (Standardgateway fehlt?):

Unbekannter Adapter VPN-Tobias:

   Verbindungsspezifisches DNS-Suffix: localdomain
   IPv4-Adresse  . . . . . . . . . . : 192.168.3.2
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . :


Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: gastlan.vonzuhause.local
   Verbindungslokale IPv6-Adresse  . : fe80::****:****:****:****
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.195
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.2.1

[Interface]
PrivateKey = ******************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.1.1, localdomain

[Peer]
PublicKey = *******************************************FM=
AllowedIPs = 192.168.1.1/24, 192.168.3.1/24, 192.168.3.2/24
Endpoint = ***********.******.org:51820

Die dyndns.org Adresse löst auch direkt auf und führt zur UDM Pro Weboberfläche.

Getestet wurde von mehreren verschiedenen Geräten, aus verschiednen Netzen. Der Zugriff von iOS Geräten funktioniert.
Hier die Ping Versuche:

Ping zu Heise
Ping wird ausgeführt für heise.de [193.99.144.85] mit 32 Bytes Daten:
Antwort von 193.99.144.85: Bytes=32 Zeit=11ms TTL=248

Ping zu 192.168.1.1 (UDM Pro)
Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Ping zu 192.168.1.11 (Synology NAS)
Ping wird ausgeführt für 192.168.1.11 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Ping zu 192.168.3.1
Ping wird ausgeführt für 192.168.3.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Vielleicht habt Ihr noch irgendeine Idee, warum es wieder nicht geht?

Dankeschön für Tipps.

VG

Hallo

Zitat von DoPe

DNS gehört auch nicht in den Peer. Schau Deine Konfig an, oben steht bereits DNS = da kannst Du kommagetrennt auch mehrere Server eintragen. Stehen da nur Server wirds vermutlich noch immer nicht klappen. Du kannst dann auch noch das DNS-Präfix angeben ... Das ist dann auf deinem Rechner das Verbindungsspezifische DNS-Suffix deiner VPN.

Vielen Dank für den Tipp. Es funktioniert jetzt sehr gut.

Also zusammenfassend bleibt festzustellen, dass die zusätzliche Angabe des zu erreichenden internen Netzes in der Config bei "AllowedIPs" und die Angabe des lokalen DNS Servers bei "DNS" in der WireGuard Config meine Probleme gelöst haben.
Vielen Dank DoPe und jkasten

Guten Morgen.

Danke für deine Überlegungen. Der Zugriff mit dem Laptop und Wireguard über den Handy-Hotspot klappt wie beschrieben gut. Ich kam ja bereits in das lokales Netz, ich kam nur nicht aus dem VPN IP-Bereich raus.

Mit dem Tipp von jkasten hatte der Zugriff ins Zielnetz geklappt.

Zitat von jkasten

Trage spaßeshalber mal dein Internes Netz noch in die Wireguard Config ein und teste erneut.

Nice to have wäre es nur noch, wenn DNS funktionieren würde. Das Ergänzen von "DNS = 192.168.1.1" im Abschnitt [PEER] der Wireguard Config wird als ungültiger Eintrag quittiert.
Dankeschön.

Hallo. Guten Morgen.

Zitat von DoPe

Nee nicht anpingen sondern im Browser heise.de/ip aufrufen. Dann siehst Du die öffentliche IP über die Du surfst ...

Aber sage mal testest Du die VPN aus deinem lokalen Netzwerk oder wieso kannst Du die Syno ohne VPN anpingen?

Danke für den Tipp.

Komischerweise wird bei aktivem und deaktiviertem Tunnel immer die öffentliche IP meines Laptops angezeigt.

Ich sitze hier mit einem PC im Zielnetz , inkl. UDM Pro und mit dem Laptop am Handy Hotspot.

Guten Morgen.

Zitat von jkasten

Trage spaßeshalber mal dein Internes Netz noch in die Wireguard Config ein und teste erneut.

Vielen Dank für den Tipp. Ich habe das interne Netz (192.168.1.1) eingetragen und damit kann ich auf den Synology Server und auch auf Windows-Clients per IP zugreifen.

[Interface]
PrivateKey = ***************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.3.1

[Peer]
PublicKey = ****************************************FM=
AllowedIPs = 192.168.1.1/24, 192.168.3.1/24, 192.168.3.2/24
Endpoint = xxx.xxx.xxx.xxx:51820

Das ist super. Vielen Dank. DNS funktioniert allerdings nicht und auch das Ergänzen von "DNS = 192.168.1.1" im Abschnitt [PEER] wird als ungültiger Eintrag quittiert.
Wo könnte ich diesen Eintrag ergänzen?

Dankeschön.

Hallo

Danke für den Tipp. Hier die Ergebnisse.

Zitat von DoPe

Okay. Der Wireguard Client zeigt gesendete und empfangene Daten ... schonmal gut.

In der Konfig ist 0.0.0.0/o enthalten -> Der komplette Traffic sollte durch den Tunnel gehen. Sprich wenn Du von ausserhalb den Client anmachst, solltest Du über den VPN Tunnel surfen.

Bitte mal abprüfen was heise.de/ip ohne und mit aktivierten Tunnel anzeigt. ohne Tunnel sollte die IP vom Standort des Wireguard Clients angezeigt werden, mit Tunnel die IP des VPN Server Internetzugangs. Falls IPv6 dazwischen spuckt, mal kurz das Häckchen bei der Netzwerkverbindung abwählen im Windows.

Wenn das so passt, wirds eigenwillig. Hat das Gerät auf das Du zugreifen willst eine eigene Firewall? Oftmals ist per Default Zugriff nur aus dem gleichen IP Subnet möglich. Windows Clients antworten per Default

auch nicht auf Pings aus anderen IP Bereichen.

Alles anzeigen

Ohne VPN:

Ping zu Heise
Ping wird ausgeführt für heise.de [193.99.144.80] mit 32 Bytes Daten:
Antwort von 193.99.144.80: Bytes=32 Zeit=13ms TTL=248

Ping zu 192.168.1.1 (UDM Pro)
Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Antwort von 192.168.1.1: Bytes=32 Zeit<1ms TTL=64

Ping zu 192.168.1.11 (Synology NAS)
Ping wird ausgeführt für 192.168.1.11 mit 32 Bytes Daten:
Antwort von 192.168.1.11: Bytes=32 Zeit<1ms TTL=64

Mit aktiviertem Tunnel (Surfen ist möglich, Netzlaufwerke zum Server / 192.168.1.11 werden getrennt)

Ping zu Heise
Ping wird ausgeführt für heise.de [193.99.144.80] mit 32 Bytes Daten:
Antwort von 193.99.144.80: Bytes=32 Zeit=13ms TTL=248

Ping zu 192.168.1.1 (UDM Pro)
Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Allgemeiner Fehler.

Ping zu 192.168.1.11 (Synology NAS)
Ping wird ausgeführt für 192.168.1.11 mit 32 Bytes Daten:
Allgemeiner Fehler.

Ping zu 192.168.3.1 (auch hier wird die UDM pro erreicht?)
Ping wird ausgeführt für 192.168.3.1 mit 32 Bytes Daten:
Antwort von 192.168.3.1: Bytes=32 Zeit<1ms TTL=64

Im Synology NAS ist die Firewall deaktiviert (Synology-Firewall-Regeln.png)

Hallo jkarsten.

Zitat von jkasten

Moment... Du meinst bei dem Handy geht der Zugriff mit Teleport und mit dem Windows PC gehts nicht per Wireguard.... Das dies zwei unterschiedliche VPN Server weisst du? Trotz allem kannst du bei Standard Einstellungen der Firewall auf alle Netze zugreifen. Zeig mal bitte deine Wireguard Config Datei.

Das ist die Config-Datei:

[Interface]
PrivateKey = ***************************************l4=
Address = 192.168.3.2/24
DNS = 192.168.3.1

[Peer]
PublicKey = ****************************************FM=
AllowedIPs = 192.168.3.1/24, 192.168.3.2/24, 0.0.0.0/0
Endpoint = xx.xxx.xxx.xxx:51820

Dankeschön.

Zitat von DoPe

Wenn Du keine block Regel hinzugefügt hast, dann brauchst Du nichts zusätzlich erlauben. Bei Unifi ist per Default nichts geblockt.

Hallo

Ich habe keine zusätzlichen Regeln definiert (Firewall-Regeln.png).

Deshalb ja mein Problem: Wireguard Zugriff auf Netzwerkgeräte in anderem VLAN nur über iOS möglich, nicht über Windows. Dort Zugriff nur im VPN Adressbereich.

Danke für Tipps.

Edit / Ergänzung: Hier ein Screenshot der aktiven Wireguard-Verbindung (Wireguard-Verbindung.png). Vielleicht ist dort etwas verrutscht?
Danke.

Hallo

Danke für den Hinweis.

Zitat von DoPe

Hast Du eine Firewallregel die Traffic zwischen den VLANs blockt? Falls ja wirst Du vermutlich alle RFC1918 IP Adressbereiche dafür benutzt haben. Somit müsstest Du dann vor der Regel in LAN IN eine Regel einfügen die den Traffic zu deinen VPN Adressen (192.168.3.0/24) erlaubt.

Da der Zugriff aus dem per Teleport aufgesetzten VPN mit dem Bereich 192.168.4.1-254 ins Default LAN ja funktioniert und ich auch keine Firewall zusätzlich zu den default regeln erstellt habe, sollte der Zugriff nicht geblockt werden. Kann ich denn speziell eine Regel erstellen, die direkt den Zugriff von 192.168.4.1-254 nach 192.168.1.1-254 erlaubt? und eine zweite dann für den Zugriff zurück?

Danke.

TLDR: Wireguard Zugriff auf Netzwerkgeräte in anderem VLAN nur über iOS möglich, nicht über Windows. Dort Zugriff nur im VPN Adressbereich.

Hallo liebes Forum.

Ich lese hier schon länger mit und habe schon viele hilfreiche Sachen umsetzen können. Vor allem die Threads zum Thema Wireguard.

Leider verzweifele ich gerade bei diesem Thema und hoffe, jemand hat einen hilfreichen Tipp.

UDM Pro v3.1.16

Netzwerk 8.0.7

Anbindung iOS Geräte über "Teleport":

Geräte taucht im Netz auf - Zugriff ins Default-LAN 192.168.1.0/24 funktioniert.

Adressbereich der Geräte bei VPN Verbindung: 192.168.4.1-254

(Netzwerkübersicht-ipad.png)

Wireguard VPN Server Einrichtung funktioniert, Client hinzufügen geht, Config Datei laden - alles klappt.

Adressbereich: 192.168.3.1-254

(Wireguard-Config.png)

Windows Laptop wählt sich ein und wird auch im Netzwerk angezeigt.

Adresse: 192.168.3.2

(Netzwerkübersicht.png)

Vom Windows-Laptop ist kein Zugriff ins "Default" LAN (192.168.1.0/24) möglich, allerdings kann ich Geräte anpingen, die im selben Adressbereich z.B. 192.168.3.99 liegen.

Meine VLAN Einstellungen

(Netzwerk-Einstellungen.png)

Laut vielen Foren-Einträgen erfordert Wireguard keinen zusätzlichen Eintrag in der Firewall.

(Firewall-Regeln.png)

Weiss jemand von Euch, welche zusätzlichen Regeln ich in der Firewall einstellen muss, oder was ich sonst eventuell falsch eingestellt habe?

Vielen Dank für Tipps.

Betse Grüße.