Wireguard Lan-Lan Kopplung: Netze dahinter erreichbar machen

miomio

New member
Ich habe 2 Haushalte mit jeweils einer Fritzbox 7520 als DSL Modem. Ich nenne diese hier Client und Server, weil in einem Haushalt Server mit Diensten stehen, die in dem anderen genutzt werden sollen können, als erstes der Windows Domänencontroller.
Im Augenblick ist die Fritzbox "Client" auch der DHCP Controller für die Clients in diesem Haushalt, das wird sich später ändern, wenn ich hier noch einen richtigen Router anschaffe. Im Haushalt "Server" ist die Fritzbox nur DSL Modem im Einsatz und der eigentliche Router/Gateway dahinter ist als exposed Host konfiguriert, an den alles weitergeleitet wird. Für das Minimalbeispiel haben wir also 3 IP Bereiche, den von der Client FB, den Von der Server FB und den vom Server Router.
Nach Einrichtung der Wireguard Verbindung kann ich aus dem Netz des Server Routers die Client FB erreichen, aber aus dem Netz der Client FB nicht den Server Router. Klar, der Client Adressbereich steht in der Config des Tunnels drin, der vom Server Router nicht (Anmerkung, ich kann auch aus dem Client netz die Server Fritzbox erreichen, aber das ist halt kein Usecase). In der Maske der Wireguard Konfiguration auf der Fritzbox kann man nur einen Zieladressbereich eintragen. Ich habe im Internet gelesen, dass man die Config der Serverseite vor dem importieren im Client einfach kommaseperiert ergänzen soll:
Code:
AllowedIPs = 192.168.10.0/24, 192.168.1.0/24
Das hat mir nicht geholfen.
Ich weiß nicht genau wo es hängt bzw wie ich das analysieren soll. Ich habe ein tracert auf eine ServerIP vom Client-Netz aus gemacht und er geht von der Client FB mit dem nächsten hop direkt auf den Server, und nichtmal über die Server FB. Eigentlich würde ich erwarten: ClientFB->ServerFB->ServerRouter->Server(zB DC). Antworten gibt es ja keine , die Pings versacken direkt hinter der Fritzbox. Ich weiß also nicht, ob sie die Anfragen an das Servernetz überhaupt in den Wireguard Tunnel routet, und sie auf der anderen siete nicht ankommen, oder eben die Antworten nicht richtig zurückgeroutet werden.
 
. Im Haushalt "Server" ist die Fritzbox nur DSL Modem im Einsatz und der eigentliche Router/Gateway dahinter ist als exposed Host konfiguriert, an den alles weitergeleitet wird.
Dann schau doch mal dort nach (Firewall), oder lass direkt dort die VPN-Verbindung terminieren. Eine zusätzliche Route könntest Du auch auf der Client-Fritz!Box angeben. Davon ab: Wenn Du NAT auf Deinem Router/Gateway laufen hast, passiert folgendes:

Netze mal exemplarisch:

Client-Fritz!Box: 192.168.0.0/24
Server-Fritz!Box: 192.168.1.0/24
Gateway/Router: 192.168.2.0/24 (im Netz der Fritz!Box 192.168.1.2)

Paket startet im Client-Fritz!Box-Netzwerk wie folgt:
Quelle: 192.168.0.100 (Client)
Ziel: 192.168.2.100 (Zielhost)

Paket im Server-Fritz!Box-Netzwerk:
Quelle: 192.168.0.100 (Client)
Ziel: 192.168.2.100 (Zielhost) <- kennt die Server-Fritz!Box überhaupt die Route in dieses Netz?

Falls die Server-Fritz!Box die Route in das nachgelagerte Netzwerk kennt, schickt der Zielhost seine Antwort zurück:
Quelle: 192.168.2.100
Ziel: 192.168.0.100

Sofern jetzt NAT (Source-NAT) am Router/Gateway aktiviert ist, passiert folgendes mit dem Paket:
Quelle: 192.168.1.2
Ziel: 192.168.0.100

So wird das Paket auch beim ursprünglich anfragenden Client ankommen, welcher das Paket verwerfen wird, weil er von dieser Quelle keine Antwort erwartet.

Kannst es mal aus dem Router/Gateway testen. Wenn der Wireguard-Tunnel funktioniert, sollte ein anfragender Client aus dem Router/Gateway-Netz auch eine Antwort von der anderen Seite bekommen. Sofern Du die Möglichkeit hast, kannst Du ggf. auch NAT unterbinden, wenn Pakete durch den Tunnel gehen bzw. zum entsprechenden Zielnetz.

Ich persönlich fände es allerdings einfacher, wenn man einfach hingeht und den Wireguard-Tunnel direkt auf dem Router/Gateway terminieren lässt, da Du dort vermutlich auch wesentlich mehr Möglichkeiten bzgl. Logging/Konfiguration hast (weiss ja nicht, was Du da im Einsatz hast).
 
@Spielebernd: Die Routen alleine bringen es nicht, wenn die Gegenseite via NAT auch noch die Quelle überschreibt, dann passen die Paketinformationen nicht mehr zusammen und das Paket wird vom Client verworfen.
 
Und ich verstehe hier nur "ganz" wildes Konstrukt. :D Der Server mit seinem eigenen Netz (dahinter) ist in der FritzBox als "exposed host" eingetragen?! Warum?! Soll der Server selbst auch "nakt" im Internet stehen?!
 

Letzte Anleitungen

Statistik des Forums

Themen
8.101
Beiträge
79.898
Mitglieder
8.826
Neuestes Mitglied
pierre.bremen
Zurück
Oben