Hallo liebes Forum,
ihr seit eine große Hoffnung für mich mein Knoten im Hirn lösen zu können, denn alle Recherchen im Internet bringen mich blöderweise nicht mehr weiter. Dabei schafft das große WWW das für gewöhnlich.
Vielleicht kennt sich ja jemand mit dem Thema aus. Ich habe es bei "Firewall" einsortiert, weil ich vermute dass genau da das Problem ist.
Mal sehen ob mir die Beschreibung halbwegs verständlich gelingt:
Ich betreibe einen Server in einem Rechenzentrum mit einem Wireguard als Server drauf (VPN Netz: 172.31.0.0/24). Darauf greifen diverse Clients zu. Eine Kommunikation zwischen den Clients funktioniert auch super.
Hinter dem Server steht noch ein weiteres Netzwerk mit diversen Geräten (LAN Netz hier: 172.21.0.0/24). Auch darauf können alle Wireguard-Clients zugreifen.
Ein Wireguard-Client ist eine aktuelle Fritzbox 7590 AX mit aktueller Firmware und einem funktionierendem Wireguard. Hinter dieser Fritzbox befindet sich natürlich auch ein Netzwerk (das übliche 192.168.178.0/24).
Was mir ums verrecken nicht gelingt ist, das ein Wireguard-Client (Smartphone) über den Wireguard-Server auf Teilnehmer des FritzBox-LANs zugreifen kann.
Ich versuche das mal zu verdeutlichen:
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1): CHECK
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1) <-> Server-NetzClients (172.21.0.0/24): CHECK
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1) <-> Fritzbox als Wireguard-Client (172.31.0.2): CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server: CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server <-> Client1 (Smartphone / 172.31.0.3): CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server <-> Server-Netzclients (172.21.0.0/24): CHECK
* Clients-Fitzbox (192.168.178.0/24) <-> FritzBox <-> Wireguard-Server <-> Client1 (Smartphone über VPN-IP-Adresse 172.31.0.3): CHECK
* Clients-Fitzbox (192.168.178.0/24) <-> FritzBox <-> Wireguard-Server <-> Server-NetzClients (172.21.0.0/24): CHECK
* Wireguard-Server <-> Fritzbox <-> Clients-Fritzbox (192.168.178.0/24): CHECK
* Client1 (Smartphone) <-> Wireguard-Server <-> Fritzbox <-> Clients-Fitzbox (192.168.178.0/24): FAILED
Client1 hat dabei natürlich als "AllowedIP" das Netz "192.168.178.0/24" konfiguriert bekommen. Auch der Wireguard-Server ist entsprechend konfiguriert, denn die Kommunikation vom Server aus in das Fritzbox-LAN geht grundsätzlich.
Ich habe nun nach diversen Recherchen auf dem Wireguard-Server entsprechende iptables-Befehle konfiguriert (die Wireguard selbständig setzt). Da ich da aber ein großer Nook bin und nur 10% verstehe, bin ich mir nicht sicher ob alle Regeln so notwendig sind, sich eventuell in die Quere kommen könnten und welche vielleicht fehlen.
Folgende Regeln haben mich ein klein wenig vorwärts gebracht (auf dem Server):
Vom Client1 ist zumindest ein PING zu einem Fritzbox-Client möglich. Das heißt, es gibt ein echo request, allerdings weiß ich nicht von wem wirklich, da ein tcpdump (ist ein Raspberry, den ich da versuche zu erreichen) auf dem Fritzbox-Client nichts ausspuckt bei einem PING vom Client1. Sehr wohl aber, wenn der PING vom Wireguard-Server kommt.
Auch SSH Zugriffsversuche vom Client1 zu dem Raspberry gelingen nicht.
Ich bin mir fast sicher, dass die iptables-Regeln so nicht ausreichend sind.
Hoffentlich ist meine Ausführung nicht zu verwirrend.
Danke schon mal für das Lesen und die Geduld dabei.
Schmidtie
ihr seit eine große Hoffnung für mich mein Knoten im Hirn lösen zu können, denn alle Recherchen im Internet bringen mich blöderweise nicht mehr weiter. Dabei schafft das große WWW das für gewöhnlich.
Vielleicht kennt sich ja jemand mit dem Thema aus. Ich habe es bei "Firewall" einsortiert, weil ich vermute dass genau da das Problem ist.
Mal sehen ob mir die Beschreibung halbwegs verständlich gelingt:
Ich betreibe einen Server in einem Rechenzentrum mit einem Wireguard als Server drauf (VPN Netz: 172.31.0.0/24). Darauf greifen diverse Clients zu. Eine Kommunikation zwischen den Clients funktioniert auch super.
Hinter dem Server steht noch ein weiteres Netzwerk mit diversen Geräten (LAN Netz hier: 172.21.0.0/24). Auch darauf können alle Wireguard-Clients zugreifen.
Ein Wireguard-Client ist eine aktuelle Fritzbox 7590 AX mit aktueller Firmware und einem funktionierendem Wireguard. Hinter dieser Fritzbox befindet sich natürlich auch ein Netzwerk (das übliche 192.168.178.0/24).
Was mir ums verrecken nicht gelingt ist, das ein Wireguard-Client (Smartphone) über den Wireguard-Server auf Teilnehmer des FritzBox-LANs zugreifen kann.
Ich versuche das mal zu verdeutlichen:
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1): CHECK
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1) <-> Server-NetzClients (172.21.0.0/24): CHECK
* Client1 (Smartphone / 172.31.0.3) <-> Wireguard-Server (172.31.0.1) <-> Fritzbox als Wireguard-Client (172.31.0.2): CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server: CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server <-> Client1 (Smartphone / 172.31.0.3): CHECK
* Fritzbox (172.31.0.2) <-> Wireguard-Server <-> Server-Netzclients (172.21.0.0/24): CHECK
* Clients-Fitzbox (192.168.178.0/24) <-> FritzBox <-> Wireguard-Server <-> Client1 (Smartphone über VPN-IP-Adresse 172.31.0.3): CHECK
* Clients-Fitzbox (192.168.178.0/24) <-> FritzBox <-> Wireguard-Server <-> Server-NetzClients (172.21.0.0/24): CHECK
* Wireguard-Server <-> Fritzbox <-> Clients-Fritzbox (192.168.178.0/24): CHECK
* Client1 (Smartphone) <-> Wireguard-Server <-> Fritzbox <-> Clients-Fitzbox (192.168.178.0/24): FAILED
Client1 hat dabei natürlich als "AllowedIP" das Netz "192.168.178.0/24" konfiguriert bekommen. Auch der Wireguard-Server ist entsprechend konfiguriert, denn die Kommunikation vom Server aus in das Fritzbox-LAN geht grundsätzlich.
Ich habe nun nach diversen Recherchen auf dem Wireguard-Server entsprechende iptables-Befehle konfiguriert (die Wireguard selbständig setzt). Da ich da aber ein großer Nook bin und nur 10% verstehe, bin ich mir nicht sicher ob alle Regeln so notwendig sind, sich eventuell in die Quere kommen könnten und welche vielleicht fehlen.
Folgende Regeln haben mich ein klein wenig vorwärts gebracht (auf dem Server):
Bash:
iptables -A FORWARD -i wg0 -j ACCEPT
iptables -A FORWARD -o wg0 -j ACCEPT
iptables -t nat -A PREROUTING -d 192.168.178.0/24 -j DNAT --to-destination 172.31.0.2
iptables -t filter -A FORWARD -s 172.31.0.0/24 -d 192.168.178.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.31.0.0/24 -d 192.168.178.0/24 -j MASQUERADE
iptables -t filter -A FORWARD -s 192.168.178.0/24 -d 172.31.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.178.0/24 -d 172.31.0.0/24 -j MASQUERADE
Vom Client1 ist zumindest ein PING zu einem Fritzbox-Client möglich. Das heißt, es gibt ein echo request, allerdings weiß ich nicht von wem wirklich, da ein tcpdump (ist ein Raspberry, den ich da versuche zu erreichen) auf dem Fritzbox-Client nichts ausspuckt bei einem PING vom Client1. Sehr wohl aber, wenn der PING vom Wireguard-Server kommt.
Auch SSH Zugriffsversuche vom Client1 zu dem Raspberry gelingen nicht.
Ich bin mir fast sicher, dass die iptables-Regeln so nicht ausreichend sind.
Hoffentlich ist meine Ausführung nicht zu verwirrend.
Danke schon mal für das Lesen und die Geduld dabei.
Schmidtie