ubuntuusers.de

moin, moin,

ich habe in meinem Heimnetzwerk meine Fritzbox als Server für wireguard VPN eingerichtet. Das VPN funktiniert auch völlig problemlos mit zwei Windows (11) Surface und zwei Android Smartphones. Jetzt habe ich versucht auch auf meinem Ubuntu Rechner einen Tunnel einzurichten und damit fing das Theater an. Erstens kann ich das angebotene Dienstprogramm zwar downloaden und anscheinend installiert sich da auch etwas. Dann kann ich aber nirgendwo ein Programm finden in das ich dann die von der Fritzbox bereitgestellte Config- Datei laden kann. Dann habe ich mich an eine Anleitung gehalten und über das Terminal, anscheinend einen wireguard- Server (also wohl keinen Client), installiert. Alles abgefragten Daten nach bestem Wissen und Gewissen eingetragen und jetzt kann ich keine Verbindung mehr zum Internet herstellen...

Wie kann ich denn den wireguard wieder von meinen Linux Rechner entfernen? Ich habe eigentlich keine Lust auf eine pragmatische Lösung (neu aufsetzen). Vielleicht geht es auch einfacher?

kbv schrieb:

Wie kann ich denn den wireguard wieder von meinen Linux Rechner entfernen? Ich habe eigentlich keine Lust auf eine pragmatische Lösung (neu aufsetzen). Vielleicht geht es auch einfacher?

Wie sind jetzt die Ausgaben von:

ip a
ip r
lsmod | grep -i wireguard
systemctl list-units --all | grep -i wireguard

?

so, ohne richtiges Etzwerk war das nicht ganz so trivial... Aber einen USB- Stick hatte ich zum Glück noch zum transportieren von Daten. Wie früher...

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eno1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 54:b2:03:9f:05:b4 brd ff:ff:ff:ff:ff:ff altname enp0s31f6 3: wlp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether e8:84:a5:0b:17:fb brd ff:ff:ff:ff:ff:ff inet 192.168.2.56/24 brd 192.168.2.255 scope global dynamic noprefixroute wlp1s0 valid_lft 863798sec preferred_lft 863798sec 4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000 link/none inet 192.168.2.3/24 scope global wg0 valid_lft forever preferred_lft forever inet6 fd42:42:42::1/64 scope global valid_lft forever preferred_lft forever meisterjo@ununtujo:~$ ip r default via 192.168.2.3 dev wlp1s0 proto dhcp metric 600 169.254.0.0/16 dev wlp1s0 scope link metric 1000 192.168.2.0/24 dev wg0 proto kernel scope link src 192.168.2.3 192.168.2.0/24 dev wlp1s0 proto kernel scope link src 192.168.2.56 metric 600 meisterjo@ununtujo:~$ lsmod | grep -i wireguard wireguard 98304 0 curve25519_x86_64 36864 1 wireguard libchacha20poly1305 16384 1 wireguard libcurve25519_generic 49152 2 curve25519_x86_64,wireguard ip6_udp_tunnel 16384 1 wireguard udp_tunnel 28672 1 wireguard meisterjo@ununtujo:~$ systemctl list-units --all | grep -i wireguard wg-quick@wg0.service loaded active exited WireGuard via wg-quick(8) for wg0 wg-quick.target loaded inactive dead WireGuard Tunnels via wg-quick(8)

Und da versteckt sich der Weg wie ich diesen Server deaktivieren/ loswerden kann?

Dein WLAN und dein Wireguard wollen im gleichen Subnetz (192.168.2.x/24) agieren, das beisst sich zunächst einmal mit den Routen und mit allem. Versuchs mit getrennten Netzen nochmal.

Vorübergehend solltest du es so loswerden können:

sudo ip link delete wg0

Ansonsten eben den Service stoppen/deaktivieren.

Genau das würde ich gerne tun wenn ich wüsste wie... Hab in etc im Ordner wierguard die Dateien umbenannt und über das Terminal alles was wireguard heißt entfernt. Schau mer Ma. Zumindest scheint mein Heimnetz wieder zu gehen Aber der Linux Rechner will noch nicht ins Internet ..

OK, das mit dem gleichen Subnetz scheint von der Fritzbox selber so vorgegeben zu werden. Macht auch Sinn wenn du (von außen) Zugriff auf alle Geräte im Fritzbox-LAN bekommen möchtest. Innerhalb des LANs sollte es dann schlichtweg ignoriert werden.

Warum es bei dir nicht klappt ist mir dann leider nicht ganz klar. Sorry ☺

Die 192.168.2.3 ist dein Router und du kannst den auch anpingen? Kannst du andere IPs anpingen (ping 1.1.1.1)?

Gibts irgendwelche Fehlermeldungen?

ich denke das Deinstallieren aller Komponenten von wireguard hat den Server vernichtet 😉 Jetzt kann ich in Ruhe noch einmal versuchen einen wireguard Client zu installieren damit der Rechner auch über VPN arbeitet. Schau mer ma... Besten Dank bis dahin!

also das mit dem wireguard client verstehe ich natürlich auch nicht. Ich habe eine Konfigurationsdatei von meiner Fritzbox, aber WIE kriege ich die in ubuntu zum Laufen? In der Paketverwaltung finde ich ein Paket nmens wireguard. Das lässt sich zwar installieren baer dan passiert... NICHTS.... Also über das Terminals die wireguard tools installiert. Beim starten kann das toole im Ordner "etc" die (alte noch abgelegte Datei von wireguard server) natürlich nicht benutzen. Also schnell mal die Config Datei vom Download Ordner ind den Ordner "etc" verschieben... Pustekuchen, keine Rechte. Ich hatte mal ein linux Mint, da gingen andere Sachen nicht, aber einen Ordner als Admin öffnen war kein Problem. Hier bei ubuntu finde ich keine logische Lösung.... Das ist echt traurig. Was ist daran so schwer ein Paket bereitzustellen was auch funktioniert? Bei Windoes, IOS und Android ist das alles vorhanden. Ich werd noch irre....

Bei Ubuntu 23.04 solltest du Wireguard auch über die GUI einstellen können (Einstellungen, Netzwerk, VPN aufs [+] drücken). Da kann man Wireguard auswählen oder Datei-Import. Ohne den Import müsstest du die Daten aus der Konfigurationsdatei von Hand übertragen. Ich weiß allerdings trotzdem nicht, ob das dann speziell für das FritzBox-VPN funktioniert.

Man kann da auch nicht richtig einstellen, welche Route Vorrang haben soll, oder ich hab nicht durchgeblickt. Da muss man dann doch wieder ins Terminal, um die Metric zu setzen. Das gleiche Subnetz auf mehreren Interfaces zu haben, ist eben ein Sonderfall, wo das auf einmal eine Rolle spielt.

Schau auch mal in 'systemctl status' ob du irgendwelche fehlgeschlagenen Dienste hast. Wenn du wg-quick (als Systemd-Dienst) aktiviert hast und dann einfach die Konfigurationsdatei löschst, ohne den Service wieder zu deaktiveren, könnte das passieren. Wenn Wireguard läuft auch 'wg show' schauen ob alles in Ordnung ist, insb. ob der Handshake funktioniert. Und daß am Ende nichts doppelt ist... gibt unter Linux eben mehrere verschiedene Wege, Wireguard einzurichten.

kbv schrieb:

Wie früher...

3: wlp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether e8:84:a5:0b:17:fb brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.56/24 brd 192.168.2.255 scope global dynamic noprefixroute wlp1s0
       valid_lft 863798sec preferred_lft 863798sec
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.168.2.3/24 scope global wg0
       valid_lft forever preferred_lft forever
    inet6 fd42:42:42::1/64 scope global
       valid_lft forever preferred_lft forever

meisterjo@ununtujo:~$ ip r
default via 192.168.2.3 dev wlp1s0 proto dhcp metric 600
192.168.2.0/24 dev wg0 proto kernel scope link src 192.168.2.3
192.168.2.0/24 dev wlp1s0 proto kernel scope link src 192.168.2.56 metric 600

Das Problem ist, dass die default route, als gateway die IP-Adresse 192.168.2.3 vom WG-Interface (wg0) benutzt:

ip r g 1.1.1.1

?
kbv schrieb:

meisterjo@ununtujo:~$ lsmod | grep -i wireguard
wireguard              98304  0
curve25519_x86_64      36864  1 wireguard
libchacha20poly1305    16384  1 wireguard
libcurve25519_generic    49152  2 curve25519_x86_64,wireguard
ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             28672  1 wireguard

meisterjo@ununtujo:~$ systemctl list-units --all | grep -i wireguard
  wg-quick@wg0.service                                                                               loaded    active   exited    WireGuard via wg-quick(8) for wg0
  wg-quick.target                                                                                    loaded    inactive dead      WireGuard Tunnels via wg-quick(8)

Die Frage ist, was passiert wenn Du das wireguard-modul blacklistest und die service-unit "wg-quick" stoppst + deaktivierst?
Wird die default route geändert, wenn Du nur:

sudo systemctl stop wg-quick

ausführst?

ip r
systemctl status wg-quick
cat /etc/resolv.conf

?

EDIT:

Poste auch, mit aktiviertem und deaktiviertem wireguard, die Ausgaben von:

sudo iptables -nvx -L -t nat
sudo iptables-legacy -nvx -L -t nat

@frostschutz Danke, aber leider kann ich die Config die mir mein Routerr zur Verfügung gestellt hat nicht einfügen. Ubuntu kann damit anscheinend nichts anfangen. Aber trotzdem Danke!

@lubux ich möchte doch nur den "Server" loswerden den ich unnötigerweise eingerichtet habe. Sowas passiert halt wenn man nach der Methode "trial and error" experimentiert... Das scheint mir ja asuch gelungen zu sein. Jetzt will ich doch nur einen Tunnel einrichten mit dem ich den Rechner in mein VPN bringen kann....

kbv schrieb:

ich möchte doch nur den "Server" loswerden den ich unnötigerweise eingerichtet habe.

Du hast keinen "Server" eingerichtet/konfiguriert, es ist der Client für das AVM-WireGuard, den Du eingerichtet hast.

kbv schrieb:

Jetzt will ich doch nur einen Tunnel einrichten mit dem ich den Rechner in mein VPN bringen kann....

Was genau meinst Du mit "mein VPN"?

EDIT:

BTW: Wenn Du den AVM-WireGuard-Server auf deiner FritzBox meinst, den kannst Du auf der FritzBox deaktivieren.

@lubux

Ich fange mal hinten an.

"Mein" VPN meint das was in der Fritzbox (wireguard) eingerichtet ist und an dem ich mich, neben den Smartphones und Windows Geräten, nun auch mit dem Ubuntu Rechner anmelden möchte. Also im Grunde nichts kompliziertes dachte ich mir. Alle angemeldeten Geräte arbeiten völlig problemlos. Sie haben eine App in der ich die Config. einkopiere und den Rest macht Fritz sehr gut! Ich möchete den Ubuntu Rechner NICHT als Server haben sondern wie die anderen Geräte NUR einbinden. Also wäre es meines Erachtens nach unpraktisch Wireguard auf dem Fritzen zu deaktivieren. Denn dann müsste ich den Ubuntu- Rechner ja auch Tag und Nacht anlassen was in meinem persönlichen Fall sicher wenig Sinn macht da Fritz ja ohnehin immer an ist.

Oder einfach gesagt, ich habe ein funktionierendes VPN in das der Rechner mit Ubuntu einsteigen soll. Der Tip von @frostschutz geht leider nicht weil mein ubuntu die vom Fritz bereitgestellte *.conf Datei anscheinend nicht versteht. Deshalb dachte ich, dass auch dafür ein Programm nötig ist. Das aus der Paketverwaltung stimmte mich froh, leider funktioniert das wohl nicht...

kbv schrieb:

Ich möchete den Ubuntu Rechner NICHT als Server haben sondern wie die anderen Geräte NUR einbinden.

Dein Ubuntu-Rechner fungiert z. Zt. nicht als Server und ist nur als AVM-WireGuard-Client eingebunden. Das sieht man doch am wg0-Interface, an dessen IP-Adresse und an der default route.

kbv schrieb:

Oder einfach gesagt, ich habe ein funktionierendes VPN in das der Rechner mit Ubuntu einsteigen soll.

Dein Ubuntu-Rechner ist in das funktionierende (AVM-WireGuard-)VPN schon eingestiegen.
Poste mal die Ausgaben von:

ip r g 1.1.1.1
nc -zv 1.1.1.1 53
mtr -4nr -c 1 1.1.1.1

... ich weiß nicht recht. Die hier gepostete Konfiguration ist nicht mehr vorhanden da ich alles von wireguard deinstalliert habe. Und die Config- Datei habe ich mit der Vorsilbe "oll_" für das System unerkennbar gemacht. Jetzt habe ich mir von der Fritzbox die passende Config- Datei geholt und mit der will ich jetzt meinen ubuntu Rechner an mein VPN anbinden. Weiter nichts. Es gibt diverse Anleitungen im Netz, aber auch die verlangen jede Menge Fachkenntnis. Es scheint so das mein gefährliches Halbwissen für die Konsoleneinstellungen nicht reicht. Gibt es wirklich keine Tool mit grafischer Benutzeroberfläche für diese Aufgabe?