Wireguard-Client auf Ubuntu

hubort · 18 Juli 2023

Moin,

ich versuche einen Wireguard-Client auf Ubuntu zum Laufen zu bringen, die vpn.conf wurde mir von der Gegenstelle mit dem folgenden Inhalt ausgestellt (PrivateKey, PublicKey und PresharedKey natürlich entfernt und die IP-Adressen geändert, aber in ähnlicher Form angegeben):

[Interface]
Address = 100.00.01.100/1
DNS = 100.00.192.90, 100.00.192.91
PrivateKey = --redacted--

[Peer]
PublicKey = --redacted--
PresharedKey = --redacted--
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 100.00.01.83:69420
PersistentKeepalive = 25

Wenn ich nun über sudo wg-quick up vpn ausführe, bekomme ich folgenden Output...

[#] ip link add vpn type wireguard
[#] wg setconf vpn /dev/fd/63
[#] ip -4 address add 100.00.01.100/1 dev vpn
[#] ip link set mtu 1420 up dev vpn
[#] resolvconf -a vpn -m 0 -x
[#] wg set vpn fwmark 69420
[#] ip -6 route add ::/0 dev vpn table 69420
[#] ip -6 rule add not fwmark 69420 table 69420
[#] ip -6 rule add table main suppress_prefixlength 0
[#] nft -f /dev/fd/63
[#] ip -4 route add 0.0.0.0/0 dev vpn table 69420
[#] ip -4 rule add not fwmark 69420 table 69420
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63

... und ich kann keine Verbindungen zu Websiten bzw. IP-Adressen innerhalb des VPN-Netzwerks aufrufen.
Die gleiche Konfiguration funktioniert im Windows-Client von Wireguard ohne Probleme.

Habt ihr eine Idee?

hubort · 18 Juli 2023

Hab jetzt unter [Interface] noch

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlp3s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlp3s0 -j MASQUERADE

eingefügt. sudo wg hat danach auch kommuniziert, es habe 92 B erhalten und mehrere hundert MB (wert stieg rapide an) gesendet. Ohne diese Einträge gibt es 0 B received und wenige hundert B die gesendet werden.

Stationary · 18 Juli 2023

In meinen Wireguard-Konfigurationsdateien steht beim Peer als „Allowed IPs“ nicht nur 0.0.0.0 drin, sondern davor, mit Komma davon getrennt, auch noch der lokale IP-Bereich des Peers, also etwas wie 192.168.1.0/24

Wenn ich die Wireguard-Dokumentation diesbezüglich richtig verstehe, ist das auch erforderlich: „The keyword allowed-ips is a list of addresses that will get routed to the peer. Make sure to specify at least one address range that contains the WireGuard connection's internal IP address(es).“ und „To access the network of a peer, specify the network subnet(s) in allowed-ips in the configuration of the peers who should be able to connect to it.“

hubort · 18 Juli 2023

Moin,

hatte ich auch erst vermutet, läuft unter Windows m. W. n. (bin aktuell unterwegs) aber auch „einfach“ mit 0.0.0.0 — ich schau aber nochmal nach!

@Stationary: Allowed IPs 0.0.0.0/0 routed jeglichen Traffic über das VPN, deswegen werden Duckduckgo-Anfragen z. B. auch über das VPN abgewickelt.

Ich lasse nochmal meinen PublicKey im Server hinterlegen, mal schauen ob sich da was tut.

Stationary · 18 Juli 2023

hubort schrieb:
Allowed IPs 0.0.0.0/0 routed jeglichen Traffic über das VPN,

Soweit die Theorie, ja. Nun unterscheiden sich aber die Clients für MacOS/Windows/Ubuntu sehr in ihrer Aktualität bzw. ihrem Versionsfortschritt. Die Ubuntu-Version ist von 2021, die für Windows und MacOS sind neuer, soweit ich weiß. Auch die iOS-Version ist besser implementiert als die Android-Version. Es ist also nicht unbedingt auszuschliessen, daß der Ubuntu-Client nicht korrekt funktioniert.

Wireguard-Client auf Ubuntu

hubort

Member

hubort

Member

Stationary

Well-known member

hubort

Member

Stationary

Well-known member

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Teilen