staging.inyokaproject.org

Hallo,

ich habe zu Hause hinter meiner Firewall einen Ubuntu Server 20.04 mit installiertem WireGuard und entsprechender Konfiguration, um Clients per VPN von unterwegs Zugriff auf mein Netzwerk zu geben.

Das funktioniert auch stabil, dummerweise nur solange, wie sich die IP Adresse des Internetanbieters nicht ändert. Passiert das, während ein Client verbunden ist, muss ich die Verbindung manuell trennen und dann neu aufbauen.

Bei den Clients ist ein DNS Name für die Adressauflösung hinterlegt, auf den Client ist perstistancekeepalive = 25 eingestellt.

Gibt es eine Möglichkeit, dass sich die verbundenen Clients automatisch neu verbinden, wenn der Server eine neue IP vom ISP bekommen hat?

Danke und viele Grüße Martin

Hast du das Keepalive auf beiden Seiten? Kannst du testweise auch aggressiver einstellen. Ein Ping alle 5 Sekunden macht den Bock auch nicht fett.

Normalerweise übernimmt Wireguard immer die IP, die zuletzt ein gültiges Paket geschickt hat. Probleme gibt es, wenn die Firewall/der Router das Paket von der neuen IP gar nicht durchlässt. Da kann es dann einfach sein, daß du eine Ausnahmeregel / Portweiterleitung brauchst, so dass Wireguard auch wirklich alle Pakete bekommt. Wireguard verwirft ohnehin alles, was nicht gültig ist.

DNS ist so ein Problem, das wird von Wireguard nicht erneut abgefragt. Da kannst du es mit einem externen Helfer (reresolve) probieren. Das ist z.B. hier beschrieben: https://www.netways.de/en/blog/2022/01/06/wireguard-mit-dynamischen-dns-namen/

Aber solange nicht beide Clients ihre IP gleichzeitig ändern, bräuchte man das an sich auch gar nicht - sofern die Firewall nicht dazwischen funkt, kann Wireguard mit IP-Änderungen auch von sich aus umgehen.

Danke für deine schnelle Antwort und den Tipp mit dem KeepAlive auf beiden Seiten. Denn ich hatte den bisher nur auf den Clients, aber nicht auf dem Server für die Peers eingestellt.

Das habe ich mal nachgeholt und beobachte das Verhalten mal...Denn auf meinen magentafarbenen ISP ist Verlass, sodass ein Abbruch und Re-Connect sicherlich nicht lange auf sich warten lässt!

Beste Grüße

deMaFi schrieb:

... KeepAlive auf beiden Seiten. Denn ich hatte den bisher nur auf den Clients, aber nicht auf dem Server für die Peers eingestellt.

Das habe ich mal nachgeholt und beobachte das Verhalten mal...Denn auf meinen magentafarbenen ISP ist Verlass, sodass ein Abbruch und Re-Connect sicherlich nicht lange auf sich warten lässt!

BTW: Auch wenn Du auf dem WG-Server kein "persistent keepalive" konfiguriert hast, wird der WG-Server "keepalive packets" an den WG-Client senden. Mit Linux wird der WG-Server das alle 5 Minuten machen:

Jul 23 21:05:11 yxyxyx user.debug kernel: [ 2668.491543] wireguard: wg1: Receiving keepalive packet from peer 2 (IP-Serv2-WG:Port)
Jul 23 21:10:11 yxyxyx user.debug kernel: [ 2968.783680] wireguard: wg1: Receiving keepalive packet from peer 2 (IP-Serv2-WG:Port)
Jul 23 21:15:12 yxyxyx user.debug kernel: [ 3269.065825] wireguard: wg1: Receiving keepalive packet from peer 2 (IP-Serv2-WG:Port)

Bei FreeBSD und OpenBSD ist das öfter der Fall. OK, zusätzliches "persistent keepalive" auf dem WG-Server für den WG-Client (wenn dieser 24/7 mit dem Server verbunden ist) kann nicht schaden. Auf deinem WG-Server kannst Du die "keep alive packets" (default und zusätzlich konfiguriert), als root mit z. B.:

echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

in der Ausgabe von dmesg (oder gleichwertig), anzeigen lassen.

BTW: Welches OS hast Du auf deinen WG-Clients, weil Du das reresolve-dns.sh-Script, dort nicht benutzen willst (... oder dort nicht benutzen kannst)?

Nachdem die Internetverbindung wieder abgebrochen ist, haben die Clients zwar eine Verbindung angezeigt, aber konnten den Traffic auf Grund der falschen IP nicht mehr richtig routen. Das ist für mich auf der einen Seite nachvollziehbar, denn die Clients wissen in dem Moment nicht, dass der Server nicht mehr erreichbar ist. Auf der anderen Seite auch wiederum nicht, denn der Server sendet die Keep Alive Pakete ja weiter an die verbundenen Clients, die damit eigentlich die neue IP bekommen müssten.

Einen weiteren DNS Resolver kann ich nicht einsetzen, da die Clients beispielsweise Handys und Tablets sind, auf denen ich die entsprechenden Skripte nicht laufen lassen kann.

Eine Möglichkeit die ich noch sehen würde, ist bei einem Hoster einen günstigen vServer mit fester IP zu mieten, dort Wireguard zu installieren und den Traffic darüber laufen zu lassen.

deMaFi schrieb:

Auf der anderen Seite auch wiederum nicht, denn der Server sendet die Keep Alive Pakete ja weiter an die verbundenen Clients, die damit eigentlich die neue IP bekommen müssten.

Ja, aber das dauert, bis die Clients via "keep alive" die neue IP-Adresse des Servers mitbekommen und auch "akzeptieren".

deMaFi schrieb:

Einen weiteren DNS Resolver kann ich nicht einsetzen, da die Clients beispielsweise Handys und Tablets sind, auf denen ich die entsprechenden Skripte nicht laufen lassen kann.

OK, verstehe ... und d. h. solche Clients (Handys und Tablets) sind i. d. R. auch nicht 24/7 online (bzgl. WireGuard-VPN) bzw. auch nicht "unbeobachtet/unbewacht", so dass die i. d. R. sofort erkannte Unterbrechung der WG-VPN-Verbindung, manuell wieder hergestellt werden kann.

sofort erkannte Unterbrechung der WG-VPN-Verbindung, manuell wieder hergestellt werden kann

Das mag für mich stimmen, klappt aber nicht beim WAF 😉 Wenn meine bessere Hälfte unterwegs ist, bekommt sie das zwar mit, weiß aber nicht damit umzugehen...Es muss halt einfach funktionieren...Und das ist die Herausforderung, auch wenn ich an meine Eltern denke.

Eine weitere Idee ist mir gerade gekommen: Ich schieße mir bei einem der bekannten VPN Dienste ein Paket für Frau und Eltern, da diese ohnehin meist nicht auf das lokale Netzwerk hinter dem VPN zugreifen müssen. Da geht es ja um das sichere Surfen in all den kostenlosen WLAN Hotspots.

Und für mich ist es ok, wenn ich den Client neu verbinde, wenn meine Leitung auf Grund des Powerline vom Nachbarn wieder zusammenbricht.

deMaFi schrieb:

...Es muss halt einfach funktionieren...Und das ist die Herausforderung, ...

Hmm ja, ... schade, dass es bei diesen "großartigen OSs" (noch) keine Möglichkeit zur Feinabstimmung/Optimierung/Modifikation/etc. für den einfachen user gibt. Aber was nicht ist, kann ja noch werden. 😉