Zugriff auf Ressourcen im Netzwerk funktioniert nicht bei VPN Site-to-Site - Routingproblem?

[marommel]

Hallo zusammen!

Ich versuche zwei Netzwerke über eine VPN Verbindung (wireguard) zu verbinden. In beiden Netzen steht eine Fritzbox, die sich per wireguard mit einem VPS verbinden. Der Part funktioniert auch. Ich kann aus dem VPN Netz heraus beide Fritzboxen erreichen. Allerdings nicht die Geräte in den jeweiligen Netzwerken. Da brauche ich Hilfe beim EInrichten des korrekten Routings, ich bekomme es leider nicht zum laufen. Im folgenden die Konfiguration im Detail.

Netz A - 192.168.0.0/24
Fritzbox 192.168.0.1 (bzw. peer IP 10.8.0.3)
statische Route: Netzwerk 10.8.0.0 - Subnetmask 255.255.255.0 - Gateway 192.168.0.0
wireguard: allowed IP 10.8.0.0/24, 192.168.20.0/24

Netz B - 192.168.20.0/24
Fritzbox 192.168.20.1 (bzw. peer IP 10.8.0.4)
statische Route: Netzwerk 10.8.0.0 - Subnetmask 255.255.255.0 - Gateway 192.168.20.0
wireguard: allowed IP 10.8.0.0/24, 192.168.0.0/24

Im weiteren gibt es noch Laptop und Handy die sich direkt mit dem VPS verbinden.

Was funktioniert:
- Zugriff vom laptop/handy auf die Fritzboxen der Netzte A und B mit deren VPN-IPs (mit 10.8.0.4 bzw. 10.8.03)
- Zugriff aus Netz A auf die Fritzbox in Netz B (mit 10.8.0.4)
- Zugriff aus Netz B auf die Fritzbox in Netz A (mit 10.8.0.3)

Ich vermute, dass das Routing nicht korrekt ist. Kann mir da jemand von Euch helfen? Oder liegt mein Fehler wo ganz anders?

Vielen Dank,
Markus

 

[blurrrr]

Moin,

also sowas...

statische Route: Netzwerk 10.8.0.0 - Subnetmask 255.255.255.0 - Gateway 192.168.0.0

... kann nicht funktionieren. Du hast "Netze" und "Gateways" ("Hosts"). Es sollte also eher - ganz allgemein - in folgende Richtung gehen:

statische Route: Netzwerk 10.8.0.0 - Subnetmask 255.255.255.0 - Gateway 192.168.0.1

Also in Form von: Netzwerk X ist über Host (Gateway) Y zu erreichen.

Wenn Du ein Site2Site-VPN zwischen 2 Parteien erstellst, wissen normalerweise beide Parteien vom Netz des gegenüberliegenden VPN-Partners. Nun hast Du 2x ein Site2Site-VPN zu einem VPS herstellt. Somit weiss FB-A vom VPS-Netz und FB-B vom VPS-Netz und Dein VPS weiss von beiden verbundenen Remote-Netzen der Fritzboxen. Wenn man jetzt weiss, dass Dein VPS sowieso alles "nötige" weiss, wäre es sinnvoll, wenn Du bei den Wireguard-Konfigurationen der Fritz!Boxen einfach das zusätzliche Remote-Netz angeben würdest (sofern sowas machtbar ist, hab mit WG quasi nix am Hut).

Ich frage mich allerdings schon ein bisschen, warum das so umständlich laufen muss. Haben die Standorte nichtmals öffentliche IPv6-Adressen?

 

[Barungar]

Darf ich (aus Neugier) fragen, wieso die beiden FBs über eine VPS mit Wireguard verbinden und nicht direkt von FB zu FB?

 

[blurrrr]

Und vielleicht auch nicht so unwesentlich die Frage, was Du bisher auf dem VPS überhaupt konfiguriert hast. Routing ist aktiviert? Firewall ist auch entsprechend konfiguriert (sofern aktiv)? Nicht, dass theoretisch alles funktioniert und da einfach nur die Firewall die Schotten dicht macht

 

[marommel]

Hallo,
vielen Dank für Eure schnelle Rückmeldungen. Ich versuche zu antworten:
- eine Gateway IP mit 192.168.0.1 (was mir auch logischer erschienen hätte) quittiert die FB mit einer Fehlermeldung
- den umständlichen Ansatz habe ich gewählt, da in Netz B die FB in einem Netzwerk "hängt" bei dem ich keinen Zugriff auf das Routing habe
@blurrrr: Zu Deine konkreten Frage: ufw habe ich zum testen deaktiviert (war auch nur konfiguriert um SSH zugriff das VPN Netzwerk zu begrenzen). Ein spezielles Routing habe ich nicht konfiguriert und das dürfte hier dann das Problem sein - nicht fie FB?

 

[blurrrr]

Guckste mal auf dem VPS unter "/etc/sysctl.conf". Dort sollte folgender Eintrag vorhanden sein: "net.ipv4.ip_forward = 1". Was das Routing allgemein angeht:

- eine Gateway IP mit 192.168.0.1 (was mir auch logischer erschienen hätte) quittiert die FB mit einer Fehlermeldung

Wenn die Fritz!Box selbst die 192.168.0.1 ist, ist das auch nicht sinnvoll. Es gibt eine Routing-Tabelle und dort sind sowieso schon alle Netzwerke aufgeführt, welche direkt an den Interfaces anliegen. Einträge in eine Routing-Tabelle werden daher "nur" manuell für Netzwerke angelegt, welche sich eben "nicht" direkt an den lokalen Interfaces befinden. Sowas gibst Du bei den VPN-Verbindungen aber i.d.R. über die VPN-Konfiguration an und brauchst daher nicht noch eine zusätzliche Route.

 

[marommel]

net.ipv4.ip_forward = 1 ist gesetzt

habe jetzt einiges an den iptables probiert - ohne erfolg und auch die KI ist da wenig hilfreich gewesen. wie es mir scheint ist das ein thea der wireguard installation und dem paket wg-easy. damit dann ab hier wahrscheinlich nicht das richtige forum?

 

[blurrrr]

Ähm... wg-easy ist doch ein Container-Image? Warum nutzt Du dafür Docker (und bringst somit noch mehr Komplexität ins Spiel), anstatt einfach ganz normal Wireguard direkt auf dem VPS zu nutzen? Ich hatte sowas quasi auch schon mal auf dem Tisch mit einem Bekannten (weil er das so wollte), da lief es dann irgendwann, wobei ich das schon ziemlich daneben fand.

Das schöne ist derweil allerdings, dass Du es jetzt anscheinend via Docker laufe hast, mach den Container einfach aus (musste ja nicht gleich wegschmeissen) und versuch es mal direkt auf dem VPS ohne Docker. Alternativ - je nach VPS-Anbieter - kannst Du ggf. auch hingehen und statt - was auch immer Du grade dort laufen hast - irgendwas anderes buchen (z.B. OPNsense/pfSense/Mikrotik/etc.), so dass Du direkt eine Firewall-Appliance bekommst. Es sei denn natürlich, dass Du Dein VPS noch für andere Dinge (ausserhalb der Netzwerk-Geschichte) nutzen willst, dann natürlich nicht

EDIT: Bzgl. Fragen rund um Docker/wg-easy -> https://forum.heimnetz.de/forums/docker.70/. Schauen halt nicht alle in alle Unterforen