GL-MT3000 WireGuard Server

bunny35

New member
Hallo zusammen,
Und zwar bräuchte ich mal eure Hilfe habe mir GL Inet MT3000 gekauft
Der an meiner Fritz angeschlossen ist und auch funktioniert und ich ins netz komme.
wollte jetzt an dem MT3000 eine WireGuard Server verbindung herstellen was auch geklappt hat
habe mir dann auf dem ipad die WireGuard App runtegeladen und dann per QR code gescannt
Wenn ich dann auf verbinden gehe dann verbindet sich das ipad mit dem GL inet komme aber nicht auf die Oberfläche des Router
Und Internet Seiten werden auch nicht geöffnet.
Vielleicht könnt ihr mir helfen?
Vielleicht muss was geändert werden

Lg
 
Hi,

Ich kenne jetzt die GL-Geräte nicht, aber kommst Du denn auf irgendwas anderes im internen Netz?

Schau Dir mal unter Windows die Routing-Tabelle bei verbundenem VPN an, theoretisch sollte da Dein Remote-Netz auch auftauchen. In der Windows-Eingabeaufforderung dazu einmal route print eingeben.

Ansonsten kannst Du in der Windows-Eingabeaufforderung auch mal die Route nachverfolgen via tracert <Ziel-Host>. Das könnte dann z.B. so aussehen: "tracert <LAN-IP des Remote-Netz-Routers>", "tracert <LAN-IP eines anderen Remote-Netz-Gerätes", "tracert google.de", etc.

Somit kannst überprüfen, welchen Weg die Pakete nehmen. Was die öffentlichen Hosts angeht, so wäre es empfehlenswert, es erstmal ohne VPN zu testen (damit Du weisst, wie die Strecke ungefähr ohne VPN aussieht) und danach nochmal mit aktiviertem VPN zu testen - einfach um zu sehen, ob die Pakete im VPN-Tunnel versanden, oder doch ggf. noch woanders wandern.

Ebenfalls wäre es von Vorteil, wenn man dazu auch nochmal die DNS-Auflösung prüft, dies kannst Du mittels nslookup <Ziel-Host> testen, also z.B. "nslookup google.de" (jeweils wieder für VPN aus/an).

EDIT: Falls der Router (VPN-Ziel) eine konfigurierbare Firewall hat, solltest Du da ggf. auch mal nachschauen, denn dem Traffic aus dem virtuellen VPN-Netz muss auch der Zugang ins LAN bzw. überall hin (extern) erlaubt sein und evtl. muss auch noch eine NAT-Regel angelegt werden, aber... dazu später ggf. mehr, sonst wird das hier auch zuviel.
 
Abend, ich kann normal ins internet mit dem router.
selbst wenn VPN eingeschaltet ist.
Aber wenn ich auf meinen Handy den VPN einschalte dann kann ich über mein handy keine internet Seite mehr öffnen..
Ich habe das gemacht was du gesagt hast und im windows Eingabeaufforderung Route print eingeben
mir sagt das natürlich nix..
Vielleicht kann ich das hier posten?

Wenn ich den Wireguard Tunnel einschalte in dem Router
wird das mir im log angezeigt

wgserver ()
Tue Oct 1 20:20:07 2024 daemon.notice netifd: Interface 'wgserver' is setting up now
Tue Oct 1 20:20:07 2024 daemon.notice netifd: Interface 'wgserver' is now up
Tue Oct 1 20:20:07 2024 daemon.notice netifd: Network device 'wgserver' link is up
Tue Oct 1 20:20:07 2024 user.notice firewall: Reloading firewall due to ifup of wgserver (wgserver)
 
VPN-Clients landen normalerweise nochmal in einem zusätzlichen Netz. Somit wären es theoretisch 2 Netze beim MT3000. Dir sollte theoretisch auch eine (interne) IP beim Client angezeigt werden, welche nicht aus dem normalen LAN des MT3000 stammt.

Beispiel:
192.168.178.0/24 - Netzwerk Fritzbox
192.168.1.0/24 - Netzwerk MT3000 (LAN)
10.0.0.0/24 - Netzwerk MT3000 (VPN)

Hier sieht es jedenfalls stark nach 10.0.0.0/24 aus, womit Dein Client eine interne IP in Form von 10.0.0.X bekommen sollte. Der Router ist (evtl. - je nach Firewall-Setup) dann vermutlich unter der 10.0.0.1 zu erreichen.

Habe übrigens noch was im Handbuch gefunden, das sieht mir genau nach Deinem Problem aus... https://docs.gl-inet.com/router/jp/3/tutorials/wireguard_server/#visit-clients-lan-subnet 😉
 
Also ich hab die Daten geändert. Trotzdem keine VPN Verbindung
Wenn ich aber bei dem Router auf DDNS Test mache dann kommt dein Fehler
Hat das vielleicht was damit zu tun?

Danke

IMG_5859.jpeg
 
Also, das oben geschriebene bzgl. Traceroute und Routingtabelle bezieht sich lediglich auf das "IP"-Thema. DNS kommt da quasi noch oben drauf, aber solange das IP-Zeugs nicht funktioniert, muss man sich auch keinerlei Gedanken über das DNS-Thema machen.

Was die Fehlermeldung angeht: Bei Dir sieht es ja sicherlich wie folgt aus:

Internet <-> Fritzbox <-> GL-Router

bzw. konkreter:

DynDNS-Adresse zeigt auf die WAN-IP der Fritzbox. Auf der Fritzbox existiert eine Portweiterleitung, welche den genutzten Wireguard-Port auf die WAN-IP des GL-Routers zeigen lässt. Heisst also: Du verbindest Dich über die DynDNS-Adresse zur WAN-IP der Fritzbox, welche die Pakete an den Wireguard-Dienst des GL-Routers weiterleitet. Somit zeigt die DynDNS-Adresse auch nicht auf die WAN-IP des GL-Routers, da diese im LAN der Fritzbox liegt und somit auch nicht von aussen erreichbar wäre:

WAN-IP Fritzbox X.X.X.X (öffentlich)
LAN-IP Fritzbox 192.168.178.1
WAN-IP GL-Router z.B. 192.168.178.2
LAN-IP GL-Router z.B. 192.168.1.1

Da Du von extern nur an die öffentliche IP kommst, muss das ganze logischerweise auf die WAN-IP der Fritzbox zeigen und entspricht somit auch nicht der WAN-IP des GL-Routers.

Das Ding mit dem o.g. Traceroute ist halt, dass - unahängig von funktionierendem DNS bei aktivierten VPN - erstmal schauen kannst, ob da überhaupt was durch den Tunnel geht. Da wir ja nun schon wissen, dass das Standard-IP des Routers im VPN-Netz anscheinend 10.0.0.1 lautet, könntest Du bei aktiviertem VPN einfach mal testen, ob Du darüber an den Router kommst. Zu testen wären also (bei aktiviertem Client-VPN) folgende Dinge:

1) http://10.0.0.1
2) ping 10.0.0.1
3) tracert/traceroute 10.0.0.1

Für die letzten beiden Dinge gibt es für Smartphones auch entsprechende Apps. Da gibt es z.B. die kostenlose App Fing. Diese hat unter "Tools" ganz unten noch die beiden Punkte "Ping" und "Strecke verfolgen" (letzteres ist dann ein Traceroute). Somit kannst Du zumindestens die 3 o.g. Punkte mal abackern.

Wenn Du - wie bereits zuvor beschrieben - diesen Punkt der Anleitung abgearbeitet hast (https://docs.gl-inet.com/router/jp/3/tutorials/wireguard_server/#visit-clients-lan-subnet), sollten die soeben erwähnten 3 Tests auch erfolgreich mit Geräten aus dem LAN funktionieren (also z.B. mit der GL-Router-LAN-IP).
 
Also unter portfreigaben hab ich nix stehen..
An meiner FRITZ!Box ist der WireGuard aktiv da ich mich manchmal mit Handy oder ipad auf meine Synology drauf zugreife..
 
Dann musst Du mal schauen, welcher Port dort genutzt wird. Pro IP kannst Du einen Port nur "einmal" nutzen. Wenn die Fritzbox den Wireguard-Port (51820) schon für sich selbst nutzt, landest Du mit der Wireguard-Verbindung immer nur bei der Fritzbox. Wenn die Fritzbox für Wireguard einen anderen Port benutzt, musst der Port, welcher der MT3000 für die Wireguard-Verbindung nutzt, via Portfreigabe auf der Fritzbox an den MT3000 weitergeleitet werden. Den Port kannst Du beim MT3000 aber auch anpassen (so sah es zumindestens in der Anleitung aus).
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.389
Beiträge
53.343
Mitglieder
5.177
Neuestes Mitglied
griessbx
Zurück
Oben