|
kniffte
Anmeldungsdatum:
4. Februar 2008
Beiträge: 27
|
Hallo,
ich habe mir auf der FritzBox einen VPN eingerichtet, mit meinem Android Handy funktioniert dieser auch (sprich: der Traffic läuft über den VPN).
Für den Rechner habe ich mir die Config-Datei geladen und sie importiert:
| stsc@linex014:~/Downloads$ nmcli connection import type wireguard file wg0.conf
Verbindung »wg0« (0c1deb39-db77-4325-bd6a-86d91ea06367) erfolgreich hinzugefügt.
stsc@linex014:~/Downloads$
|
Wenn ich die jetzt mittels NetworkManager oder wg-quick up wg0 aktiviere, baut sich der Tunnel wohl auch auf; ich bekomme die folgenden Ausgaben: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74 | stsc@linex014:~/Downloads$ sudo wg show
interface: wg0
public key: ENTFERNT
private key: (hidden)
listening port: 49925
fwmark: 0xcb0a
peer: ENTFERNT
preshared key: (hidden)
endpoint: [IPv6-IP meiner FritzBox]:50762
allowed ips: 192.168.178.0/24, 0.0.0.0/0, fd56:fd69:e965::/64, ::/0
persistent keepalive: every 25 seconds
stsc@linex014:~/Downloads$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether c8:f7:50:4c:d7:e2 brd ff:ff:ff:ff:ff:ff
altname enp0s31f6
4: wlp110s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether d4:3b:04:68:de:6d brd ff:ff:ff:ff:ff:ff
5: gpd0: <POINTOPOINT,MULTICAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 500
link/none
6: br-187b9e24982c: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether f2:b3:9d:c1:f1:1d brd ff:ff:ff:ff:ff:ff
inet 10.10.0.1/24 brd 10.10.0.255 scope global br-187b9e24982c
valid_lft forever preferred_lft forever
inet6 fe80::f0b3:9dff:fec1:f11d/64 scope link
valid_lft forever preferred_lft forever
8: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
link/ether e6:0c:73:d7:40:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.1/24 brd 192.168.2.255 scope global docker0
valid_lft forever preferred_lft forever
9: veth07e22b1@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-187b9e24982c state UP group default
link/ether b6:e4:97:6a:46:55 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet6 fe80::b4e4:97ff:fe6a:4655/64 scope link
valid_lft forever preferred_lft forever
15: wwan0: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1430 qdisc fq_codel state UNKNOWN group default qlen 1000
link/ether 62:60:81:78:f0:40 brd ff:ff:ff:ff:ff:ff
inet 37.82.178.96/26 brd 37.82.178.127 scope global noprefixroute wwan0
valid_lft forever preferred_lft forever
28: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 192.168.178.202/24 brd 192.168.178.255 scope global noprefixroute wg0
valid_lft forever preferred_lft forever
inet6 fd56:fd69:e965::202/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::9594:9cab:d037:bf2f/64 scope link noprefixroute
valid_lft forever preferred_lft forever
stsc@linex014:~/Downloads$ ip r
default via 37.82.178.97 dev wwan0 proto static metric 700
10.10.0.0/24 dev br-187b9e24982c proto kernel scope link src 10.10.0.1
37.82.178.64/26 dev wwan0 proto kernel scope link src 37.82.178.96 metric 700
192.168.2.0/24 dev docker0 proto kernel scope link src 192.168.2.1 linkdown
stsc@linex014:~/Downloads$ ip r
default via 37.82.178.97 dev wwan0 proto static metric 700
10.10.0.0/24 dev br-187b9e24982c proto kernel scope link src 10.10.0.1
37.82.178.64/26 dev wwan0 proto kernel scope link src 37.82.178.96 metric 700
192.168.2.0/24 dev docker0 proto kernel scope link src 192.168.2.1 linkdown
192.168.178.0/24 dev wg0 proto static scope link metric 50
192.168.178.0/24 dev wg0 proto kernel scope link src 192.168.178.202 metric 50
stsc@linex014:~/Downloads$ route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 37.82.178.97 0.0.0.0 UG 700 0 0 wwan0
10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br-187b9e24982c
37.82.178.64 0.0.0.0 255.255.255.192 U 700 0 0 wwan0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0
192.168.178.0 0.0.0.0 255.255.255.0 U 50 0 0 wg0
192.168.178.0 0.0.0.0 255.255.255.0 U 50 0 0 wg0
stsc@linex014:~/Downloads$
|
eigenartig finde ich, dass die Route zur FritzBox (die hat die 192.168.178.1) 2x auftaucht und dafür der DefaultGW weiterhin auf der SIM-Karte bleibt. Für den Test habe ich die Firewall abgeschaltet. Akt. Stand: ich kann mich zwar verbinden (zumindest verstehe ich die obige Ausgabe so), aber es kommt kein Traffic von der FritzBox zurück (ob etwas hin geht, weiß ich nicht). Habt ihr eine Idee? Danke schonmal...
kniffte
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
kniffte schrieb: Akt. Stand: ich kann mich zwar verbinden (zumindest verstehe ich die obige Ausgabe so), aber es kommt kein Traffic von der FritzBox zurück (ob etwas hin geht, weiß ich nicht).
Wie sind z. Zt. die Ausgaben von:
ip r g 192.168.178.1
ping -c 3 -W 5 192.168.178.1
? EDIT: In der Ausgabe von "wg show" sollten für den Peer, auch:
latest handshake: xx minutes, xx seconds ago
transfer: xx.xx KiB received, xx.xx KiB sent
angezeigt werden, was aber bei dir nicht der Fall ist. EDIT 2: Versuch mal als root, mit:
echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control
und siehe danach die Ausgaben von.
dmesg -w
Im debug mode sollte man "keepalive", "handshake initiation" und "Keypair destroyed bzw. created" Pakete sehen können.
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 10198
Wohnort: Münster
|
Wenn Du keine Verbindung ins Internet über wwan0 (was auch immer das sein mag) haben willst, musst Du die Verbindung über wwan0 beenden.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
kniffte schrieb: ich habe mir auf der FritzBox einen VPN eingerichtet, mit meinem Android Handy funktioniert dieser auch (sprich: der Traffic läuft über den VPN).
Befindet sich deine FritzBox an einem DS-lite-Internetanschluss? ... weil in der Config-Datei beim wg-Client, für den Endpoint eine externe/öffentliche IPv6-Adresse eingetragen ist?
|
|
NurNochDebianUser
Anmeldungsdatum:
18. Februar 2026
Beiträge: 172
|
kniffte schrieb: Wenn ich die jetzt mittels NetworkManager oder wg-quick up wg0 aktiviere, baut sich der Tunnel wohl auch auf; ich bekomme die folgenden Ausgaben:
Der WG-Tunnel baut sich bei dir eben nicht auf.
peer: ENTFERNT
preshared key: (hidden)
endpoint: [IPv6-IP meiner FritzBox]:50762
allowed ips: 192.168.178.0/24, 0.0.0.0/0, fd56:fd69:e965::/64, ::/0
persistent keepalive: every 25 seconds
Würde er sich aufbauen, dann sähe der Bereich peer: anders aus. Unterhalb der Zeile allowed ips: und oberhalb von persistent keepalive: gäbe es noch folgende Zeilen:
latest handshake: 10 seconds ago
transfer: 1.62 KiB received, 6.46 KiB sent Es kommt bei dir also zu keinem erfolgreichen Handshake. Überprüfe die verwendeten Key's.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
kniffte schrieb: peer: ENTFERNT
preshared key: (hidden)
endpoint: [IPv6-IP meiner FritzBox]:50762
stsc@linex014:~/Downloads$ ip a
15: wwan0: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1430 qdisc fq_codel state UNKNOWN group default qlen 1000
link/ether 62:60:81:78:f0:40 brd ff:ff:ff:ff:ff:ff
inet 37.82.178.96/26 brd 37.82.178.127 scope global noprefixroute wwan0
valid_lft forever preferred_lft forever
stsc@linex014:~/Downloads$ ip r
default via 37.82.178.97 dev wwan0 proto static metric 700
Wie sind die Ausgaben von:
| ip -6 r g 2a02:2e0:3fe:1001:302::
ip -6 r
ping6 -c 3 -W 7 <IPv6-IP deiner FritzBox>
|
?
|
|
NurNochDebianUser
Anmeldungsdatum:
18. Februar 2026
Beiträge: 172
|
Hallo @lubux, bei meinem Test eben (WLAN Tethering) aus dem Mobilfunknetz (1&1 hier Roaming über Vodafone) liefert die Ausgabe von
wg show
als Ergebnis
peer: von mir entfernt
preshared key: (hidden)
endpoint: [2a02:3100:von mir entfernt]:57982
zurück. Also ebenfalls die IPv6-Adresse der Fritzbox. Diese hat weder CGNAT noch DS-Lite sondern Dual Stack. Als Endpoint = in der wg1.conf dient die .myfritz.net-Adresse der Fritte. Wenn verfügbar priorisiert MyFritz somit offenbar IPv6 vor IPv4.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
NurNochDebianUser schrieb: Also ebenfalls die IPv6-Adresse der Fritzbox.
Ja, und dein WG-Client ist auch an einem IPv6-Internetanschluss. Ist das beim TE auch so?
BTW: Welche MTU hat das wg0-Interface auf deinem WG-Client, bei IPv4 im IPv6-WG-Tunnel?
|
|
NurNochDebianUser
Anmeldungsdatum:
18. Februar 2026
Beiträge: 172
|
Ich habe in der wg.conf zur Fritzbox keine mtu vorgegeben. Ein tracepath zu einem Client im LAN der FritzBox zeigt aber, dass als MTU 1420 verwendet wird.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
NurNochDebianUser schrieb: Ich habe in der wg.conf zur Fritzbox keine mtu vorgegeben.
Ja, das ist schon klar bzw. darum geht es nicht, denn deine FB kann ja nicht wissen von welchem Internetanschluss (DS, DS-lite, CGN, IPv6-only, IPv4-only) Du deinen WG-Client benutzen willst. NurNochDebianUser schrieb: Ein tracepath zu einem Client im LAN der FritzBox zeigt aber, dass als MTU 1420 verwendet wird.
OK, wenn es mal Probleme geben sollte, dann manuell auf 1280 konfigurieren.
|
|
NurNochDebianUser
Anmeldungsdatum:
18. Februar 2026
Beiträge: 172
|
Ich habe jetzt mal den PublicKey = in der wg.conf zur Fritte manipuliert. Das Ergebnis ist dann, dass (genau wie beim TS) in der Ausgabe von wg show die Zeile:
latest handshake: 5 seconds ago
fehlt. M.E. sollte der TS als erstes mal die Key's prüfen.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14571
|
NurNochDebianUser schrieb: Das Ergebnis ist dann, dass (genau wie beim TS) in der Ausgabe von wg show die Zeile:
latest handshake: 5 seconds ago
fehlt. M.E. sollte der TS als erstes mal die Key's prüfen.
Das Ergebnis könnte dann auch so sein, wenn die FritzBox (als Endpoint) nur über IPv6 erreicht werden soll und der WG-Client nur an einem IPv4-only-Internetanschluss ist. Wenn man es genau wissen will, müsste man sich die WG-Logs auf dem WG-Client anschauen (... ob man dort etwas findet in Richtung "Handshake did not complete" oder gleichwertig). Aber pin6 und IPv6-Routing vom WG-Client zu einer IPv6-Adresse im Internet, helfen hier auch.
|
|
kniffte
(Themenstarter)
Anmeldungsdatum:
4. Februar 2008
Beiträge: 27
|
Hallo zusammen, erstmal: wow, danke für die vielen und unglaublich schnellen Antworten ☺ Ich bin da gerade drauf gestoßen, dass die FritzBox anscheinend ausschließlich als IPv6 Adresse verfügbar ist. Dummerweise scheint die SIM-Karte im Laptop aktuell nur einen IPv4 Zugang bereitzustellen (getestet mittels https://test-ipv6.com/). Jetzt muss ich erstmal schauen, wie ich das gelöst bekomme. Hilfreich war dabei auch der Hinweis, sich Wireguard mal im Debug-Modus anzuschauen, der brauchte nämlich: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28 | [ 820.131769] wireguard: wg0: Interface created
[ 820.158654] wireguard: wg0: Peer 3 created
[ 820.158660] wireguard: wg0: Sending keepalive packet to peer 3 ((einval))
[ 820.158701] wireguard: wg0: Sending handshake initiation to peer 3 ((einval))
[ 820.231478] wireguard: wg0: Peer 3 ((einval)) destroyed
[ 820.231694] wireguard: wg0: Peer 4 created
[ 820.231711] wireguard: wg0: Sending keepalive packet to peer 4 ([2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0)
[ 820.231731] wireguard: wg0: Sending handshake initiation to peer 4 ([2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0)
[ 820.232018] wireguard: wg0: No route to [2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0, error -101
[ 825.380749] wireguard: wg0: Sending handshake initiation to peer 4 ([2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0)
[ 825.380829] wireguard: wg0: No route to [2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0, error -101
[ 827.635427] wireguard: wg0: Peer 4 ([2001:a61:2a75:1000:1eed:6fff:fe50:1436]:50762/0%0) destroyed
[ 827.655472] wireguard: wg0: Interface destroyed
{{{#!code bash
stsc@linex014:~ nslookup x7a9o391ot1henah.myfritz.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: x7a9o391ot1henah.myfritz.net
Address: 2001:a61:2a75:1000:1eed:6fff:fe50:1436
stsc@linex014:~ telnet x7a9o391ot1henah.myfritz.net 50762
Trying 2001:a61:2a75:1000:1eed:6fff:fe50:1436...
telnet: Unable to connect to remote host: Das Netzwerk ist nicht erreichbar
stsc@linex014:~#
|
Hier noch die gewünschten Ausgaben:
| stsc@linex014:~$ ip -6 r
fe80::/64 dev vetha0f3062 proto kernel metric 256 pref medium
fe80::/64 dev br-187b9e24982c proto kernel metric 256 pref medium
stsc@linex014:~$ ip -4 r
default via 37.82.191.137 dev wwan0 proto static metric 700
10.10.0.0/24 dev br-187b9e24982c proto kernel scope link src 10.10.0.1
37.82.191.128/28 dev wwan0 proto kernel scope link src 37.82.191.136 metric 700
192.168.2.0/24 dev docker0 proto kernel scope link src 192.168.2.1 linkdown
stsc@linex014:~$ ping6 -c 3 -W 7 2001:a61:2a75:1000:1eed:6fff:fe50:1436
ping6: connect: Das Netzwerk ist nicht erreichbar
stsc@linex014:~$
|
Wer wäre dafür wohl der richtige Ansprechpartner? T-Moble (à la, was macht ihr für einen Mist, ich bräuchte IPv6) oder hängts an meinem System?
Wichtig noch:
1. meine Firewall ist aktuell abgeschaltet (wollte unbemerkte Einflüsse vermeiden)
2. als APN ist für die T-Mobile-Verbindung internet.t-d1.de eingetragen
3. alle IPv4/6 Einstellungen sind auf automatisch bzw. Default konfiguriert
4. während des Tests war das Netzwerkkabel (das direkt zur FritzBox geht) gezogen - nicht, dass ich hier irgendwas vergesse
5. mein Handy geht auch via Telekom, da hats funktioniert - wirkt irgendwie eher, als wär es mein Rechner... Danke euch ☺
kniffte
|
|
NurNochDebianUser
Anmeldungsdatum:
18. Februar 2026
Beiträge: 172
|
|
|
kniffte
(Themenstarter)
Anmeldungsdatum:
4. Februar 2008
Beiträge: 27
|
Hallo zusammen, alles klar, Problem gelöst: es war der falsche APN eingetragen. Nachdem ich das nun auf internet.telekom umgestellt habe, funktionieren sowohl IPv4 als IPv6 Zugriffe. Sprich: der Tunnel tut und ich kann darüber auch auf dieses ominöse "Internet" zugreifen... Danke euch und noch ein schönes WE. kniffte
|