Gord3n89
Anmeldungsdatum: 10. April 2021
Beiträge: Zähle...
|
Hallo,
seit ca. 3 Tagen ärgere ich mich mit der Einrichtung von WireGuard herum.
Mal hat es mehr oder weniger funktioniert, d.h. ich konnte im VPN Tunnel den Client / Server per Ping erreichen , aktuell geht mal wieder gar nichts.
Gehalten habe ich mich an u.a. folgendem Tutorial: https://schroederdennis.de/allgemein/wireguard-site-to-site-vpn-zwei-netzwerke-sicher-verbinden/
Wenn alles mal fertig ist, soll es ein Site-to-Site VPN werden. Netzwerk im Allgemeinen:
| Netz A:
192.168.1.0/24
GW: 192.168.1.62
WireGuard: 192.168.1.59 eth0 172.31.0.1 wg0
|
| Netz B:
192.168.178.0/24
GW: 192.168.178.1
WireGuard: 192.168.178.17 eth0 172.31.0.2 wg0
|
Konfigurationen der Wireguard Server: Server Netz A: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 | [Interface]
Address = 172.31.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 53123
PrivateKey = XXX
[Peer]
PublicKey = YYY
AllowedIPs = 192.168.178.0/24, 172.31.0.0/24
PersistentKeepalive = 25
|
Server Netz B: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16 | [Interface]
Address = 172.31.0.2/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 53123
PrivateKey = XXXX
[Peer]
PublicKey = YYYY
AllowedIPs = 192.168.1.0/24, 172.31.0.0/24
Endpoint = [2003:ea:47ff:3cf4:e228:6ddf:fe68:be2f]:53123
PersistentKeepalive = 25
|
Der Endpoint wird mir von mir *eigendlich* per MyFritz DynDNS angegeben, dieser wird anscheinend von WireGuard automatisch in IPV6 umgewandelt. Routing: Server A: |
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default fritz.box 0.0.0.0 UG 0 0 0 eth0
default 192.168.178.1 0.0.0.0 UG 202 0 0 eth0
172.31.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.178.1 0.0.0.0 255.255.255.255 UH 202 0 0 eth0
|
Server B: |
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default fritz.box 0.0.0.0 UG 202 0 0 eth0
172.31.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.178.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0
fritz.box 0.0.0.0 255.255.255.255 UH 100 0 0 eth0
|
- Portfreigaben auf den jeweiligen FritzBoxen der Netze sind eingerichtet für IPV4 + IPV6 , UDP Port 53123 auf die jeweilige IP. Mache ich ein Ping von Netz A auf B : 1
2
3
4
5
6
7
8
9
10
11
12
13
14 |
ping 172.31.0.2
PING 172.31.0.2 (172.31.0.2) 56(84) bytes of data.
From 172.31.0.1 icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig
From 172.31.0.1 icmp_seq=2 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig
From 172.31.0.1 icmp_seq=3 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig
From 172.31.0.1 icmp_seq=4 Destination Host Unreachable
ping: sendmsg: Es ist eine Zieladresse notwendig
^C
--- 172.31.0.2 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3077ms
|
Ping von B nach A : |
ping 172.31.0.1
PING 172.31.0.1 (172.31.0.1) 56(84) bytes of data.
^C
--- 172.31.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4078ms
|
(mehr passiert da nicht) Traceroute von A nach B: |
traceroute 172.31.0.2
traceroute to 172.31.0.2 (172.31.0.2), 30 hops max, 60 byte packets
send: Es ist eine Zieladresse notwendig
|
Folgende Routen sind in den FritzBoxen eingetragen: FritzBox Netz A: |
IPv4 Netzwerk: 192.168.178.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.59
|
Fritzbox Netz B: | IPv4 Netzwerk: 192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.17
|
Falls ich irgendwas vergessen haben sollte , liefer ich es sehr gerne nach !
Ich hoffe dass ihr mir helfen könnt ... langsam verlier ich hier echt die Lust ☹ mfg
Florian
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: Mal hat es mehr oder weniger funktioniert, d.h. ich konnte im VPN Tunnel den Client / Server per Ping erreichen , aktuell geht mal wieder gar nichts. Endpoint = 47ff:3cf4:e228:6ddf:fe68:be2f:53123
Teste mal wenn Du die Interface-ID der externen IPv6-Adressen so konfiguriert hast, dass diese statisch (fest) sind. Und die Portfeigabe in der v6-Firewall der FritzBoxen, richtig konfiguriert hast. EDIT: ... wie ist das mit MyFritz? Du brauchst ja die externe IPv6-Adresse vom Server an der FritzBox. Bekommst Du die auch mit MyFritz oder liefert MyFritz nur die externe IPv6-Adresse der FritzBox? Bei IPv6 gibt es ja keine Portweiterleitungen, nur Portfreigaben mit der v6-Firewall der FritzBox. Teste mal mit einem v6-fähigen ddns-Client (z. b. ddclient) auf dem Server (v6-border-device, wo Wireguard installiert ist).
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8692
Wohnort: Münster
|
Wenn Du keine permanenten global route-fähigen IP-Adressen hast, musst Du mit DynDNS arbeiten. Trage die DNS-Namen der Gegenstelle wechselseitig in die Konfigurationsdateien ein und entferne "SaveConfig = true " aus diesen, damit die Konfiguration nicht zerschossen wird. Wozu die iptables-Befehle? Insbesondere NAT ist doch hier völlig kontraproduktiv.
|
Gord3n89
(Themenstarter)
Anmeldungsdatum: 10. April 2021
Beiträge: 6
|
kB schrieb: .....Trage die DNS-Namen der Gegenstelle wechselseitig in die Konfigurationsdateien ein.....
Kannst du das ein bisschen genauer erläutern bitte ?
Wozu die iptables-Befehle? Insbesondere NAT ist doch hier völlig kontraproduktiv.
Ja , das habe ich auch schon oft gelesen , wird allerdings bei jedem Wireguard Tutorial bzw. immer hergenommen , vorallem wenn es dann Site-to-Site sein soll.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: ... ,
Den Ping hast Du ja von einem Gerät im Netz des WG-Peers gemacht.
Funktioniert der Ping zwischen den WG-Peers (d. h. zwischen Server A und B)?
|
Gord3n89
(Themenstarter)
Anmeldungsdatum: 10. April 2021
Beiträge: 6
|
Der Ping wurde von Server A nach B bzw. andersrum geschickt. Von keinem Client im Netzwerk.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: Der Ping wurde von Server A nach B bzw. andersrum geschickt. Von keinem Client im Netzwerk.
OK, ich habe nur gefragt, weil Du in deinem 1. Beitrag geschrieben hast:
Mache ich ein Ping von Netz A auf B :
Schau mal auf Server A und B nach, ob Traffic (transfer) statt findet bzw. wann der letzte (latest) handshake war:
sudo wg
Evtl. auch mit:
ss -a -n -u
ob auf dem UDP-Port gelauscht wird. Mit tcpdump und dem entsprechenden Filter, könntest Du auch den handshake-Traffic sniffen.
Mit dem debug-Modus die handshakes im syslog/dmesg anzeigen lassen:
echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control
(wenn mit debug-modus kompiliert).
|
Gord3n89
(Themenstarter)
Anmeldungsdatum: 10. April 2021
Beiträge: 6
|
Okay schonmal danke! Werde ich nacher machen wenn ich wieder am PC bin. Einen anderen Fehler denn ich hatte, war dass auf beiden Servern der WG Dienst nicht gestartet werden konnte, weil keine etc/wireguard/config.cfg gefunden werden konnte?
Hab dann jeweils eine leere Datei mittels Touch angelegt, dann wollte der Dienst starten. (als Info, falls das wichtig ist).
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: Einen anderen Fehler denn ich hatte, war dass auf beiden Servern der WG Dienst nicht gestartet werden konnte, weil keine etc/wireguard/config.cfg gefunden werden konnte?
Hab dann jeweils eine leere Datei mittels Touch angelegt, dann wollte der Dienst starten. (als Info, falls das wichtig ist).
Evtl. hat das mit "SaveConfig = true" in deinen config-Dateien, was zu tun. Teste mal, wenn diese Zeile dort kommentiert ist:
# SaveConfig = true EDIT: Wenn es weiterhin Probleme mit der config-Datei gibt, dann diese mal nur temporär und nur zum testen, "schützen" mit:
sudo chattr +i /etc/wireguard/wg0.conf
|
Gord3n89
(Themenstarter)
Anmeldungsdatum: 10. April 2021
Beiträge: 6
|
Also , hab jetzt auf Server A den Befehl abgesetzt:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131 | drivers/net/wireguard/noise.c:122 [wireguard]keypair_free_kref =p "%s: Keypair %llu destroyed for peer %llu\012"
drivers/net/wireguard/noise.c:813 [wireguard]wg_noise_handshake_begin_session =p "%s: Keypair %llu created for peer %llu\012"
drivers/net/wireguard/device.c:364 [wireguard]wg_newlink =p "%s: Interface created\012"
drivers/net/wireguard/device.c:404 [wireguard]wg_netns_pre_exit =p "%s: Creating namespace exiting\012"
drivers/net/wireguard/device.c:128 [wireguard]wg_xmit =p "%s: Invalid IP packet\012"
drivers/net/wireguard/device.c:136 [wireguard]wg_xmit =p "%s: No peer has allowed IPs matching %pI4\012"
drivers/net/wireguard/device.c:139 [wireguard]wg_xmit =p "%s: No peer has allowed IPs matching %pI6\012"
drivers/net/wireguard/device.c:147 [wireguard]wg_xmit =p "%s: No valid endpoint has been configured or discovered for peer %llu\012"
drivers/net/wireguard/device.c:249 [wireguard]wg_destruct =p "%s: Interface destroyed\012"
drivers/net/wireguard/peer.c:68 [wireguard]wg_peer_create =p "%s: Peer %llu created\012"
drivers/net/wireguard/peer.c:213 [wireguard]kref_release =p "%s: Peer %llu (%pISpfsc) destroyed\012"
drivers/net/wireguard/timers.c:127 [wireguard]wg_queued_expired_zero_key_material =p "%s: Zeroing out all keys for peer %llu (%pISpfsc), since we haven't received a new one in %d seconds\012"
drivers/net/wireguard/timers.c:95 [wireguard]wg_expired_new_handshake =p "%s: Retrying handshake with peer %llu (%pISpfsc) because we stopped hearing back after %d seconds\012"
drivers/net/wireguard/timers.c:47 [wireguard]wg_expired_retransmit_handshake =p "%s: Handshake for peer %llu (%pISpfsc) did not complete after %d attempts, giving up\012"
drivers/net/wireguard/timers.c:65 [wireguard]wg_expired_retransmit_handshake =p "%s: Handshake for peer %llu (%pISpfsc) did not complete after %d seconds, retrying (try %d)\012"
drivers/net/wireguard/send.c:30 [wireguard]wg_packet_send_handshake_initiation =p "%s: Sending handshake initiation to peer %llu (%pISpfsc)\012"
drivers/net/wireguard/send.c:90 [wireguard]wg_packet_send_handshake_response =p "%s: Sending handshake response to peer %llu (%pISpfsc)\012"
drivers/net/wireguard/send.c:116 [wireguard]wg_packet_send_handshake_cookie =p "%s: Sending cookie response for denied handshake message for %pISpfsc\012"
drivers/net/wireguard/send.c:234 [wireguard]wg_packet_send_keepalive =p "%s: Sending keepalive packet to peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:112 [wireguard]wg_receive_handshake_packet =p "%s: Receiving cookie response from %pISpfsc\012"
drivers/net/wireguard/receive.c:136 [wireguard]wg_receive_handshake_packet =p "%s: Invalid MAC of handshake, dropping packet from %pISpfsc\012"
drivers/net/wireguard/receive.c:153 [wireguard]wg_receive_handshake_packet =p "%s: Invalid handshake initiation from %pISpfsc\012"
drivers/net/wireguard/receive.c:158 [wireguard]wg_receive_handshake_packet =p "%s: Receiving handshake initiation from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:175 [wireguard]wg_receive_handshake_packet =p "%s: Invalid handshake response from %pISpfsc\012"
drivers/net/wireguard/receive.c:180 [wireguard]wg_receive_handshake_packet =p "%s: Receiving handshake response from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:365 [wireguard]wg_packet_consume_data_done =p "%s: Receiving keepalive packet from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:422 [wireguard]wg_packet_consume_data_done =p "%s: Packet has unallowed src IP (%pISc) from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:429 [wireguard]wg_packet_consume_data_done =p "%s: Packet is neither ipv4 nor ipv6 from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:435 [wireguard]wg_packet_consume_data_done =p "%s: Packet has incorrect size from peer %llu (%pISpfsc)\012"
drivers/net/wireguard/receive.c:471 [wireguard]wg_packet_rx_poll =p "%s: Packet has invalid nonce %llu (max %llu)\012"
drivers/net/wireguard/receive.c:565 [wireguard]wg_packet_receive =p "%s: Dropping handshake packet from %pISpfsc\012"
drivers/net/wireguard/socket.c:76 [wireguard]send4 =p "%s: No route to %pISpfsc, error %d\012"
drivers/net/wireguard/socket.c:143 [wireguard]send6 =p "%s: No route to %pISpfsc, error %d\012"
drivers/net/wireguard/cookie.c:230 [wireguard]wg_cookie_message_consume =p "%s: Could not decrypt invalid cookie response\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:407 [nf_defrag_ipv6]find_prev_fhdr =_ "next header is none\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:411 [nf_defrag_ipv6]find_prev_fhdr =_ "too short\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:336 [nf_defrag_ipv6]nf_ct_frag6_reasm =_ "nf_ct_frag6_reasm: payload len = %d\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:179 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "Already completed\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:190 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "offset is too large.\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:210 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "already received last fragment\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:223 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "end of fragment not rounded to 8 bytes.\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:230 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "last packet already reached.\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:242 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "queue: message is too short.\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:246 [nf_defrag_ipv6]nf_ct_frag6_queue =_ "Can't trim\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:450 [nf_defrag_ipv6]nf_ct_frag6_gather =_ "payload len = 0\012"
net/ipv6/netfilter/nf_conntrack_reasm.c:468 [nf_defrag_ipv6]nf_ct_frag6_gather =_ "Can't find and can't create new queue\012"
net/netfilter/nf_conntrack_core.c:361 [nf_conntrack]ipv6_get_l4proto =_ "can't get nexthdr\012"
net/netfilter/nf_conntrack_core.c:370 [nf_conntrack]ipv6_get_l4proto =_ "can't find proto in pkt\012"
net/netfilter/nf_conntrack_core.c:343 [nf_conntrack]ipv4_get_l4proto =_ "bogus IPv4 packet: nhoff %u, ihl %u, skblen %u\012"
net/netfilter/nf_conntrack_core.c:1904 [nf_conntrack]nf_conntrack_alter_reply =_ "Altering reply tuple of %p to "
net/netfilter/nf_conntrack_core.c:488 [nf_conntrack]clean_from_lists =_ "clean_from_lists(%p)\012"
net/netfilter/nf_conntrack_core.c:601 [nf_conntrack]destroy_conntrack =_ "destroy_conntrack(%p)\012"
net/netfilter/nf_conntrack_core.c:627 [nf_conntrack]destroy_conntrack =_ "destroy_conntrack: returning ct=%p to slab\012"
net/netfilter/nf_conntrack_core.c:1583 [nf_conntrack]init_conntrack =_ "Can't invert tuple.\012"
include/net/netfilter/nf_conntrack_acct.h:41 [nf_conntrack]nf_ct_acct_ext_add =_ "failed to add accounting extension area"
net/netfilter/nf_conntrack_core.c:1618 [nf_conntrack]init_conntrack =_ "expectation arrives ct=%p exp=%p\012"
net/netfilter/nf_conntrack_core.c:1677 [nf_conntrack]resolve_normal_ct =_ "Can't get tuple\012"
net/netfilter/nf_conntrack_core.c:1701 [nf_conntrack]resolve_normal_ct =_ "normal packet for %p\012"
net/netfilter/nf_conntrack_core.c:1704 [nf_conntrack]resolve_normal_ct =_ "related packet for %p\012"
net/netfilter/nf_conntrack_core.c:1707 [nf_conntrack]resolve_normal_ct =_ "new packet for %p\012"
net/netfilter/nf_conntrack_core.c:1126 [nf_conntrack]__nf_conntrack_confirm =_ "Confirming conntrack %p\012"
net/netfilter/nf_conntrack_core.c:1827 [nf_conntrack]nf_conntrack_in =_ "not prepared to track yet or error occurred\012"
net/netfilter/nf_conntrack_core.c:1867 [nf_conntrack]nf_conntrack_in =_ "nf_conntrack_in: Can't track with proto module\012"
net/netfilter/nf_conntrack_helper.c:207 [nf_conntrack]nf_ct_helper_ext_add =_ "failed to add helper extension area"
net/netfilter/nf_conntrack_proto.c:380 [nf_conntrack]ipv6_confirm =_ "proto header not found\012"
net/netfilter/nf_conntrack_proto.c:335 [nf_conntrack]ipv6_getorigdst =_ "IP6T_SO_ORIGINAL_DST: Can't find %pI6c/%u-%pI6c/%u.\012"
net/netfilter/nf_conntrack_proto.c:259 [nf_conntrack]getorigdst =_ "SO_ORIGINAL_DST: Not a TCP/SCTP socket\012"
net/netfilter/nf_conntrack_proto.c:264 [nf_conntrack]getorigdst =_ "SO_ORIGINAL_DST: len %d not %zu\012"
net/netfilter/nf_conntrack_proto.c:281 [nf_conntrack]getorigdst =_ "SO_ORIGINAL_DST: %pI4 %u\012"
net/netfilter/nf_conntrack_proto.c:289 [nf_conntrack]getorigdst =_ "SO_ORIGINAL_DST: Can't find %pI4/%u-%pI4/%u.\012"
net/netfilter/nf_conntrack_proto_tcp.c:496 [nf_conntrack]tcp_in_window =_ "tcp_in_window: START\012"
net/netfilter/nf_conntrack_proto_tcp.c:497 [nf_conntrack]tcp_in_window =_ "tcp_in_window: "
net/netfilter/nf_conntrack_proto_tcp.c:499 [nf_conntrack]tcp_in_window =_ "seq=%u ack=%u+(%d) sack=%u+(%d) win=%u end=%u\012"
net/netfilter/nf_conntrack_proto_tcp.c:501 [nf_conntrack]tcp_in_window =_ "tcp_in_window: sender end=%u maxend=%u maxwin=%u scale=%i receiver end=%u maxend=%u maxwin=%u scale=%i\012"
net/netfilter/nf_conntrack_proto_tcp.c:597 [nf_conntrack]tcp_in_window =_ "tcp_in_window: "
net/netfilter/nf_conntrack_proto_tcp.c:599 [nf_conntrack]tcp_in_window =_ "seq=%u ack=%u+(%d) sack=%u+(%d) win=%u end=%u\012"
net/netfilter/nf_conntrack_proto_tcp.c:601 [nf_conntrack]tcp_in_window =_ "tcp_in_window: sender end=%u maxend=%u maxwin=%u scale=%i receiver end=%u maxend=%u maxwin=%u scale=%i\012"
net/netfilter/nf_conntrack_proto_tcp.c:612 [nf_conntrack]tcp_in_window =_ "tcp_in_window: I=%i II=%i III=%i IV=%i\012"
net/netfilter/nf_conntrack_proto_tcp.c:698 [nf_conntrack]tcp_in_window =_ "tcp_in_window: res=%u sender end=%u maxend=%u maxwin=%u receiver end=%u maxend=%u maxwin=%u\012"
net/netfilter/nf_conntrack_proto_tcp.c:780 [nf_conntrack]tcp_new =_ "nf_ct_tcp: invalid new deleting.\012"
net/netfilter/nf_conntrack_proto_tcp.c:827 [nf_conntrack]tcp_new =_ "%s: sender end=%u maxend=%u maxwin=%u scale=%i receiver end=%u maxend=%u maxwin=%u scale=%i\012"
net/netfilter/nf_conntrack_proto_tcp.c:1005 [nf_conntrack]nf_conntrack_tcp_packet =_ "nf_ct_tcp: SYN proxy client keep alive\012"
net/netfilter/nf_conntrack_proto_tcp.c:1011 [nf_conntrack]nf_conntrack_tcp_packet =_ "nf_ct_tcp: Invalid dir=%i index=%u ostate=%u\012"
net/netfilter/nf_conntrack_proto_tcp.c:1108 [nf_conntrack]nf_conntrack_tcp_packet =_ "tcp_conntracks: "
net/netfilter/nf_conntrack_proto_tcp.c:1110 [nf_conntrack]nf_conntrack_tcp_packet =_ "syn=%i ack=%i fin=%i rst=%i old=%i new=%i\012"
net/netfilter/nf_conntrack_proto_icmp.c:92 [nf_conntrack]nf_conntrack_icmp_packet =_ "icmp: can't create new conn with type %u\012"
net/netfilter/nf_conntrack_seqadj.c:102 [nf_conntrack]nf_ct_sack_block_adjust =_ "sack_adjust: start_seq: %u->%u, end_seq: %u->%u\012"
net/netfilter/nf_conntrack_seqadj.c:191 [nf_conntrack]nf_ct_seq_adjust =_ "Adjusting sequence number from %u->%u\012"
net/netfilter/nf_conntrack_seqadj.c:207 [nf_conntrack]nf_ct_seq_adjust =_ "Adjusting ack number from %u->%u, ack from %u->%u\012"
net/netfilter/nf_conntrack_proto_icmpv6.c:106 [nf_conntrack]nf_conntrack_icmpv6_packet =_ "icmpv6: can't create new conn with type %u\012"
net/netfilter/nf_conntrack_proto_sctp.c:209 [nf_conntrack]sctp_new_state =_ "Chunk type: %d\012"
net/netfilter/nf_conntrack_proto_sctp.c:213 [nf_conntrack]sctp_new_state =_ "SCTP_CID_INIT\012"
net/netfilter/nf_conntrack_proto_sctp.c:217 [nf_conntrack]sctp_new_state =_ "SCTP_CID_INIT_ACK\012"
net/netfilter/nf_conntrack_proto_sctp.c:221 [nf_conntrack]sctp_new_state =_ "SCTP_CID_ABORT\012"
net/netfilter/nf_conntrack_proto_sctp.c:225 [nf_conntrack]sctp_new_state =_ "SCTP_CID_SHUTDOWN\012"
net/netfilter/nf_conntrack_proto_sctp.c:229 [nf_conntrack]sctp_new_state =_ "SCTP_CID_SHUTDOWN_ACK\012"
net/netfilter/nf_conntrack_proto_sctp.c:233 [nf_conntrack]sctp_new_state =_ "SCTP_CID_ERROR\012"
net/netfilter/nf_conntrack_proto_sctp.c:237 [nf_conntrack]sctp_new_state =_ "SCTP_CID_COOKIE_ECHO\012"
net/netfilter/nf_conntrack_proto_sctp.c:241 [nf_conntrack]sctp_new_state =_ "SCTP_CID_COOKIE_ACK\012"
net/netfilter/nf_conntrack_proto_sctp.c:245 [nf_conntrack]sctp_new_state =_ "SCTP_CID_SHUTDOWN_COMPLETE\012"
net/netfilter/nf_conntrack_proto_sctp.c:249 [nf_conntrack]sctp_new_state =_ "SCTP_CID_HEARTBEAT"
net/netfilter/nf_conntrack_proto_sctp.c:253 [nf_conntrack]sctp_new_state =_ "SCTP_CID_HEARTBEAT_ACK"
net/netfilter/nf_conntrack_proto_sctp.c:258 [nf_conntrack]sctp_new_state =_ "Unknown chunk type, Will stay in %s\012"
net/netfilter/nf_conntrack_proto_sctp.c:263 [nf_conntrack]sctp_new_state =_ "dir: %d cur_state: %s chunk_type: %d new_state: %s\012"
net/netfilter/nf_conntrack_proto_sctp.c:289 [nf_conntrack]sctp_new =_ "nf_conntrack_sctp: invalid new deleting.\012"
net/netfilter/nf_conntrack_proto_sctp.c:305 [nf_conntrack]sctp_new =_ "Setting vtag %x for new conn\012"
net/netfilter/nf_conntrack_proto_sctp.c:310 [nf_conntrack]sctp_new =_ "Setting vtag %x for secondary conntrack\012"
net/netfilter/nf_conntrack_proto_sctp.c:316 [nf_conntrack]sctp_new =_ "Setting vtag %x for new conn OOTB\012"
net/netfilter/nf_conntrack_proto_sctp.c:175 [nf_conntrack]do_basic_checks =_ "Chunk Num: %d Type: %d\012"
net/netfilter/nf_conntrack_proto_sctp.c:191 [nf_conntrack]do_basic_checks =_ "Basic checks failed\012"
net/netfilter/nf_conntrack_proto_sctp.c:199 [nf_conntrack]do_basic_checks =_ "Basic checks passed\012"
net/netfilter/nf_conntrack_proto_sctp.c:406 [nf_conntrack]nf_conntrack_sctp_packet =_ "Verification tag check failed\012"
net/netfilter/nf_conntrack_proto_sctp.c:435 [nf_conntrack]nf_conntrack_sctp_packet =_ "Setting %d vtag %x for dir %d\012"
net/netfilter/nf_conntrack_proto_sctp.c:450 [nf_conntrack]nf_conntrack_sctp_packet =_ "Setting vtag %x for dir %d\012"
net/netfilter/nf_conntrack_proto_sctp.c:474 [nf_conntrack]nf_conntrack_sctp_packet =_ "nf_conntrack_sctp: Invalid dir=%i ctype=%u conntrack=%u\012"
net/netfilter/nf_conntrack_proto_sctp.c:489 [nf_conntrack]nf_conntrack_sctp_packet =_ "Setting vtag %x for dir %d\012"
net/netfilter/nf_conntrack_proto_sctp.c:513 [nf_conntrack]nf_conntrack_sctp_packet =_ "Setting assured bit\012"
net/netfilter/nf_conntrack_proto_gre.c:145 [nf_conntrack]nf_ct_gre_keymap_destroy =_ "entering for ct %p\012"
net/netfilter/nf_conntrack_proto_gre.c:150 [nf_conntrack]nf_ct_gre_keymap_destroy =_ "removing %p from list\012"
net/netfilter/nf_conntrack_proto_gre.c:117 [nf_conntrack]nf_ct_gre_keymap_add =_ "trying to override keymap_%s for ct %p\012"
net/netfilter/nf_conntrack_proto_gre.c:128 [nf_conntrack]nf_ct_gre_keymap_add =_ "adding new entry %p: "
net/netfilter/nf_conntrack_proto_gre.c:188 [nf_conntrack]gre_pkt_to_tuple =_ "Unsupported GRE proto(0x%x)\012"
net/netfilter/nf_conntrack_proto_gre.c:95 [nf_conntrack]gre_keymap_lookup =_ "lookup src key 0x%x for "
net/netfilter/nf_nat_core.c:553 [nf_nat]get_unique_tuple =_ "get_unique_tuple: Found current src map\012"
net/netfilter/nf_nat_core.c:773 [nf_nat]nf_nat_inet_fn =_ "Already setup manip %s for ct %p (status bits 0x%lx)\012"
net/netfilter/nf_nat_proto.c:306 [nf_nat]gre_manip_pkt =_ "call_id -> 0x%04x\012"
net/netfilter/nf_nat_proto.c:310 [nf_nat]gre_manip_pkt =_ "can't nat unknown GRE version\012"
net/netfilter/nf_nat_helper.c:48 [nf_nat]mangle_contents =_ "nf_nat_mangle_packet: Extending packet by %u from %u bytes\012"
net/netfilter/nf_nat_helper.c:52 [nf_nat]mangle_contents =_ "nf_nat_mangle_packet: Shrinking packet from %u from %u bytes\012"
net/netfilter/xt_MASQUERADE.c:24 [xt_MASQUERADE]masquerade_tg_check =_ "bad MAP_IPS.\012"
net/netfilter/xt_MASQUERADE.c:28 [xt_MASQUERADE]masquerade_tg_check =_ "bad rangesize %u\012"
|
habe ich jetzt auch auf beiden Seiten Auskommentiert. wg show
Server A:
| interface: service
listening port: 48230
interface: wg0
public key: XXX
private key: (hidden)
listening port: 53123
peer: XXX
allowed ips: 192.168.178.0/24, 172.31.0.0/24
persistent keepalive: every 25 seconds
|
Server B:
1
2
3
4
5
6
7
8
9
10
11
12
13 | interface: service
listening port: 57367
interface: wg0
public key: XXX
private key: (hidden)
listening port: 53123
peer: XXX
endpoint: [2003:ea:47ff:3cf4:e228:6dff:fe68:bb2f]:53123
allowed ips: 192.168.1.0/24, 172.31.0.0/24
transfer: 0 B received, 10.26 KiB sent
persistent keepalive: every 25 seconds
|
ss -a -n -u:
Server A: | State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
UNCONN 0 0 0.0.0.0:48230 0.0.0.0:*
UNCONN 0 0 0.0.0.0:53123 0.0.0.0:*
UNCONN 0 0 0.0.0.0:53 0.0.0.0:*
UNCONN 0 0 0.0.0.0:68 0.0.0.0:*
UNCONN 0 0 [fe80::dea6:32ff:fe54:60f3]%eth0:546 [::]:*
UNCONN 0 0 [::]:48230 [::]:*
UNCONN 0 0 [::]:53123 [::]:*
UNCONN 0 0 [::]:53 [::]:*
|
Server B: | State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
UNCONN 0 0 0.0.0.0:53123 0.0.0.0:*
UNCONN 0 0 0.0.0.0:57367 0.0.0.0:*
UNCONN 0 0 0.0.0.0:53 0.0.0.0:*
UNCONN 0 0 0.0.0.0:68 0.0.0.0:*
UNCONN 0 0 192.168.178.17%eth0:68 0.0.0.0:*
UNCONN 0 0 [::]:53123 [::]:*
UNCONN 0 0 [::]:57367 [::]:*
UNCONN 0 0 [::]:53 [::]:*
UNCONN 0 0 [fe80::dea6:32ff:fe1c:b7df]%eth0:546 [::]:*
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: Also ,...
drivers/net/wireguard/device.c:147 [wireguard]wg_xmit =p "%s: No valid endpoint has been configured or discovered for peer %llu\012" peer: XXX
endpoint: [2003:ea:47ff:3cf4:e228:6dff:fe68:bb2f]:53123
Diese IPv6-Adresse "2003:ea:47ff:3cf4:e228:6dff:fe68:bb2f", ist die von der FritzBox oder die vom Server?
|
Gord3n89
(Themenstarter)
Anmeldungsdatum: 10. April 2021
Beiträge: 6
|
Das war die von Der FritzBox gewesen. Update:
Ich habe das ganze jetzt hinbekommen.
Zwar nicht so 100%ig wie ich es wollte , aber es klappt einwandfrei.
Mittels No-Ip.com und über OpenVPN. (YouTube Video von SemperVideo). Funktioniert einwandfrei und auf anhieb und meine keine Zicken wie Wireguard.
☺ Danke für eure Hilfe !! ☺
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13942
|
Gord3n89 schrieb: Das war die von Der FritzBox gewesen.
Dann kann es ja auch nicht funktionieren, weil mit der IPv6-Adresse der FritzBox der Server an der FritzBox, per IPv6 nicht erreicht werden kann. Gord3n89 schrieb: Mittels No-Ip.com und über OpenVPN. (YouTube Video von SemperVideo). Funktioniert einwandfrei und auf anhieb und meine keine Zicken wie Wireguard.
Wo hast Du jetzt den No-IP-Client installiert bzw. konfiguriert, wenn Du damit IPv6 benutzt? Doch nicht auf der FritzBox, oder?
WireGuard macht keine Zicken und ist einfacher zu konfigurieren als OpenVPN. Das Einzige was man bei WireGuard _genau_ wissen sollte ist, was "AllowedIPs" (in bzw. mit der Konstellation in der WireGuard benutzt werden soll) bewirkt. Wenn man das nicht weiß bzw. nicht versteht, dann gebe ich dir Recht, ist OpenVPN einfacher. EDIT: Siehe auch: https://forum-raspberrypi.de/forum/thread/51867-wireguard-verstaendnisfrage/?
|