Wir wollen mehrere AVM 4040 die hinter anderen NAT Routern arbeiten, in einem gemeinsamen WireGuard Netzwerk untereinander zugänglich machen. Dazu wurde ein Ubuntu Server mit statischer IPv4 als WirdGuard Server eingerichtet und versuchsweise eine FRITZ!Box 5530 Fiber mit FRITZ!OS 7.58 als Peer mit dem Ubuntu WG verbunden. Das funktioniert soweit gut, bis auf eine entscheidendes Detail.
Man kann jetzt aus dem LAN der FritzBox z.B. eine SSH Verbindung auf ein anderes Peer an diesem WG Server machen. Aber sobald man das in die Gegenrichtung versucht, also von einem WG Peer auf ein Gerät im LAN der Fritzbox zuzugreifen, wird scheinbar die IP Adresse auf dem Rückweg nicht mehr richtig übersetzt. Ein Ping meldet dann "(DIFFERENT ADDRESS!)" weil die Antwort nicht von der IP aus dem LAN hinter der FritzBox kommt, sondern von der WG Peeradresse der Fritzbox selbst.
In meiner Versuchsinstallation läuft auf dem WG Server:
Die Fritzbox wird dann mit dieser Konfiguration eingerichtet:
Ein SSH von z.B. 192.168.5.156 auf ein Gerät an 10.69.69.2 läuft tadellos. Versucht aber das Gerät an 10.69.69.2 ein Ping an 192.168.5.156 zu schicken, kommt die Antwort vermeintlich von 10.69.69.3 und nicht von 192.168.5.156 zurück.
Ich habe am Server schon verschiedene Einstellungen zum Forward mit und ohne Maskerade in iptables probiert, aber die mit falscher Adresse zurückkommenden Pings, konnte ich damit nicht korrigieren. Sie scheinen aber die Geräte im LAN hinter der FirtzBox zu erreichen, da sie nur dann überhaupt zurück kommen, wenn das Gerät im LAN in Betrieb und für WG freigeschaltet ist. Es tut also fast alles, bis auf die falsche Adresse der Antworten, wenn die Anfrage vom WG Netz kommt. Bei diesem Versuchsaufbau ist die Fritzbox 5530 lediglich hinter dem CGNAT des Glasfaserbetreibers und das dürfte m.E. keinen Einfluss haben, da die UDP Pakete des WG in beide Richtungen funktionieren und der Provider ja keine Einsicht in den verschlüsselten Kanal hat.
Ich wäre für jeden hilfreichen Gedanken den man noch probieren könnte sehr dankbar. Mir sind die Ideen ausgegangen und diesen besonderen Fall, findet man leider auch kaum in Suchen im Netz.
Man kann jetzt aus dem LAN der FritzBox z.B. eine SSH Verbindung auf ein anderes Peer an diesem WG Server machen. Aber sobald man das in die Gegenrichtung versucht, also von einem WG Peer auf ein Gerät im LAN der Fritzbox zuzugreifen, wird scheinbar die IP Adresse auf dem Rückweg nicht mehr richtig übersetzt. Ein Ping meldet dann "(DIFFERENT ADDRESS!)" weil die Antwort nicht von der IP aus dem LAN hinter der FritzBox kommt, sondern von der WG Peeradresse der Fritzbox selbst.
In meiner Versuchsinstallation läuft auf dem WG Server:
INI:
[Interface]
Address = 10.69.69.1/24
SaveConfig = true
PostUp = /etc/wireguard/wg0.sh %i up
PostDown = /etc/wireguard/wg0.sh %i down
ListenPort = 41820
FwMark = 0xca6c
PrivateKey = privaterSchluesselderWireGuardServers=
[Peer]
PublicKey = oeffentlicherSchluesselEinesAnderenPeer=
PresharedKey = vorvereinbarterSchluesselEinesAnderenPeer=
AllowedIPs = 10.69.69.2/32
[Peer]
PublicKey = oeffentlicherSchluesselDerFritzBox=
PresharedKey = vorvereinbarterSchluesselDerFritzBox=
AllowedIPs = 192.168.5.0/24, 10.69.69.3/32
INI:
[Interface]
PrivateKey = privaterSchluesselDerFritzBox=
Address = 10.69.69.3/32
[Peer]
PublicKey = oeffentlicherSchluesselDesUbuntuWGServers=
Endpoint = host.domain.de:41820
AllowedIPs = 10.69.69.0/24
PresharedKey = vorvereinbarterSchluesselDerFritzBox=
PersistentKeepalive = 25Ich habe am Server schon verschiedene Einstellungen zum Forward mit und ohne Maskerade in iptables probiert, aber die mit falscher Adresse zurückkommenden Pings, konnte ich damit nicht korrigieren. Sie scheinen aber die Geräte im LAN hinter der FirtzBox zu erreichen, da sie nur dann überhaupt zurück kommen, wenn das Gerät im LAN in Betrieb und für WG freigeschaltet ist. Es tut also fast alles, bis auf die falsche Adresse der Antworten, wenn die Anfrage vom WG Netz kommt. Bei diesem Versuchsaufbau ist die Fritzbox 5530 lediglich hinter dem CGNAT des Glasfaserbetreibers und das dürfte m.E. keinen Einfluss haben, da die UDP Pakete des WG in beide Richtungen funktionieren und der Provider ja keine Einsicht in den verschlüsselten Kanal hat.
Ich wäre für jeden hilfreichen Gedanken den man noch probieren könnte sehr dankbar. Mir sind die Ideen ausgegangen und diesen besonderen Fall, findet man leider auch kaum in Suchen im Netz.
