Site-to-Site-VPN bei gleichzeitiger WLAN-Verbindung?

[Tommes01]

Ich habe ein Site-to-Site-VPN per WireGuard von meinem Heimnetzwerk (192.168.178.0 - Fritzbox) und meinem Netzwerk im Camper (192.168.8.0 - GL.iNet Mango) erstellt.

Der Mango Router ist einerseits als Client an meiner FB angemeldet 192.168.178.30 und auch indirekt über den VPN-Server 192.168.178.42.

Die VPN-Verbindung funktioniert, leider habe ich mit VPN-Verbindung kein Internet am Mango. Schalte ich VPN ab, hat der Router Internet.

Woran kann das liegen?
An der Fritzbox habe ich eine statische Route erstellt. Muss ich am Mango auch eine statische Route erstellen?

Vielleicht kann mir jemand bei der richtigen Konfiguration helfen.

Danke,

Tom

 

[blurrrr]

Moin,

Die VPN-Verbindung funktioniert, leider habe ich mit VPN-Verbindung kein Internet am Mango. Schalte ich VPN ab, hat der Router Internet.

sicher, dass Du "kein Internet" hast? Meist scheitert sowas einfach nur an der Namensauflösung. Teste mal folgendes mit und ohne eingeschalteter VPN-Verbindung in der Windows-Eingabeaufforderung:

1) ping 8.8.8.8
2) nslookup google.de

Der erste Punkt prüft die generelle Erreichbarkeit ohne die Namensauflösung. Der zweite Punkt prüft die Namensauflöung. Wenn Du Dir ggf. noch die Strecke anschauen möchtest, kannst Du das mittels Traceroute machen:

3) tracert 8.8.8.8

Teste diese Dinge erstmal mit ein- und ausgeschaltetem VPN, dann kann man weitersehen

 

[Barungar]

An der Fritzbox habe ich eine statische Route erstellt. Muss ich am Mango auch eine statische Route erstellen?

Wohin zeigt die statische Route an der FritzBox und wie sieht sie aus?!
Ich vermute es ist eine statische Route für das Netz 192.168.8.0/24 ...

 

[Tommes01]

Moin,

sicher, dass Du "kein Internet" hast? Meist scheitert sowas einfach nur an der Namensauflösung. Teste mal folgendes mit und ohne eingeschalteter VPN-Verbindung in der Windows-Eingabeaufforderung:

1) ping 8.8.8.8
2) nslookup google.de

Der erste Punkt prüft die generelle Erreichbarkeit ohne die Namensauflösung. Der zweite Punkt prüft die Namensauflöung. Wenn Du Dir ggf. noch die Strecke anschauen möchtest, kannst Du das mittels Traceroute machen:

3) tracert 8.8.8.8

Teste diese Dinge erstmal mit ein- und ausgeschaltetem VPN, dann kann man weitersehen

Danke für deine Hilfe,
hier die Ergebnisse der Tests.... was sagt uns das?


VPN aus:
ping 8.8.8.8
Antwort

nslookup google.de
Server: console.gl-inet.com
Address: 192.168.8.1

Nicht autorisierende Antwort:
Name: google.de
Addresses: 2a00:1450:4001:816::2003
142.250.186.67

tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:

1 1 ms 2 ms 1 ms console.gl-inet.com [192.168.8.1]
2 13 ms 11 ms 9 ms 192.168.178.1
3 * * * Zeitüberschreitung der Anforderung.
4 17 ms 15 ms 15 ms ip-***-***-***-***.um21.pools.vodafone-ip.de [**.***.***.**]
5 24 ms 17 ms 25 ms de-fra04d-rc1-ae-48-0.aorta.net [84.116.191.161]
6 36 ms 60 ms 34 ms 84.116.190.94
7 25 ms 19 ms 36 ms 74.125.32.52
8 27 ms 22 ms 18 ms 108.170.235.151
9 20 ms 36 ms 55 ms 142.251.64.185
10 41 ms 54 ms 23 ms dns.google [8.8.8.8]



VPN ein:
ping 8.8.8.8
Antwort

nslookup google.de
Server: console.gl-inet.com
Address: 192.168.8.1

Nicht autorisierende Antwort:
Name: google.de
Addresses: 2a00:1450:4001:816::2003
142.250.186.67

tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:

1 1 ms * * console.gl-inet.com [192.168.8.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.

 

[Tommes01]

Wohin zeigt die statische Route an der FritzBox und wie sieht sie aus?!
Ich vermute es ist eine statische Route für das Netz 192.168.8.0/24 ...

Richtig: 192.168.8.0
Was schließt du daraus?

 

[blurrrr]

Ich habe ein Site-to-Site-VPN per WireGuard von meinem Heimnetzwerk (192.168.178.0 - Fritzbox) und meinem Netzwerk im Camper (192.168.8.0 - GL.iNet Mango) erstellt.

->

VPN aus:

->

1 1 ms 2 ms 1 ms console.gl-inet.com [192.168.8.1]
2 13 ms 11 ms 9 ms 192.168.178.1

Macht so gar keinen Sinn...

VPN ein:

->

1 1 ms * * console.gl-inet.com [192.168.8.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.

Finde ich merkwürdig, kann aber durchaus sein.

Zunächst einmal sollte man sich die Frage stellen, warum bei "deaktiviertem"(!) VPN die Fritz!Box überhaupt erreichbar ist. Das dürfte schon mal nicht sein, es sei denn, es liegt ggf. noch ein Fritz!Box-Netz direkt am GL-Router an. Selbst wenn das der Fall wäre, sollte die VPN-Route die höhere Priorität haben.

Ich würde zunächst einmal abklären, wie es sein kann, dass bei abgeschaltetem VPN der Router überhaupt an die Fritz!Box kommt (sofern es überhaupt "Deine" ist und nicht eines, womit der GL-Router grade selbst verbunden ist (via LAN/WLAN)).

Der Mango Router ist einerseits als Client an meiner FB angemeldet 192.168.178.30 und auch indirekt über den VPN-Server 192.168.178.42.

Was genau soll das nun bedeuten? "Client" ist nun ein weitreichender Begriff, bei Wireguard gibt es nur "peers", bei anderartigen VPN-Typen spricht man bei einem einzelnen Client eher von einer Roadwarrior-Konfiguration (Client -> Netz), Du sagst im Titel aber etwas von einer Site-to-Site-Konfiguration. Von was für einer Konfiguration reden wir denn da nun?

 

[Barungar]

Richtig: 192.168.8.0
Was schließt du daraus?

Du hast noch nicht gesagt, wohin sie zeigt, nur meine Vermutung, was sie umfasst bestätigt.

 

[Tommes01]

Du hast noch nicht gesagt, wohin sie zeigt, nur meine Vermutung, was sie umfasst bestätigt.

Ziel ist 192.168.178.46

 

[Barungar]

Und was ist 192.168.178.46? Laut Deinem Eingangspost wären mir eher .30 oder .42 in den Sinn gekommen.
Aus meiner Sicht "richtig" wäre die .42!

 

[Tommes01]

Und was ist 192.168.178.46? Laut Deinem Eingangspost wären mir eher .30 oder .42 in den Sinn gekommen.
Aus meiner Sicht "richtig" wäre die .42!

Sorry, hatte im Eingangspost falsche IPs.
Richtig ist: .46 WireGuard und .42 Mango-Router

 

[Tommes01]

Ich beschreibe meine Konfiguration mal noch ein wenig:
Auf meinem Proxmox läuft der WireGuardServer im Heimnetz 192.168.178.46
Der Mango-Router ist an der Fritzbox mit 192.168.178.42 angemeldet.



Meine Wireguard-Server-Konfiguration:

[Interface]
Address = 10.7.0.1/24
PrivateKey = xxx
ListenPort = 51820

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -A FORWARD -i eth0 -o %i -j ACCEPT; iptables>
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -D FORWARD -i eth0 -o %i -j ACCEPT; iptabl>

# BEGIN_PEER camper
[Peer]
PublicKey = yyy
AllowedIPs = 192.168.8.0/24, 10.7.0.1/32
# END_PEER camper

und hier meine Konfiguration am Mango-Router:

[Interface]
Address = 10.7.0.1/24
PrivateKey = yyy
MTU = 1420

[Peer]
AllowedIPs = 192.168.178.46/32
Endpoint = 91.89.31.52:51820
PersistentKeepalive = 25
PublicKey = xxx