staging.inyokaproject.org

Alle mehrere Geräte im Wireguard und alle im Lan sollen sollen sich gegenseitig sehen.

Status: Ungelöst | Ubuntu-Version: Ubuntu 22.10 (Kinetic Kudu)
Antworten |

Serengeti

Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

Aktuell habe ich das Problem, dass ich von Wireguard aus Devices im Lan einfach nicht erreichen kann. Ich habe einen Open-WRT Router mit 192.168.100.1/24 daran hängt ein anderer Open WRT Switch mit 192.168.100.2/24 (Ein Router der lediglich als Switch fungiert)

Ich habe zudem ein Wireguard-VPN im Router 192.168.150.1/24 Alle Clients im LAN und W-Lan (.100.xx) haben eine Netzmaske /24 Nach Anleitungen im Internet haben alle Wireguard Clients eine Netzmaske /32 und Geräte die im Lan verbunden werden sollen sind unter AllowedIPs mit 192.168.100.xx/32 hinterlegt.

Bei Experimenten habe ich Verbindungsprobleme, wenn ich im VPN /24 verwende.

Wie muss ich mein Netzwerk einrichten, dass alle Geräte, ob nun Wireguard oder LAN. Sich gegenseitig sehen?

Aktuell ist es eher chaotisch. Es gibt LAN Geräte die sind in Wireguard erreichbar und welche die sind es nicht.

Moderiert von kB:

Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 16818

Was meinst du mit sehen? Passt die Routingtabelle?

sh ip route

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

Ich weiss leider nicht wie man eine Routing Tabelle liest

1
2
xxx.xxx.xxx.xxx/30 dev rmnet_data3 proto kernel scope link src xxx.xxx.xxx.xxy
192.168.100.205/24 dev wlan0 proto scope link src 192.168.150.27

Das ist die Routingtabelle meines Mobiltelefons (Termux) mit Wireguard Verbindung zum Router. Ich Route da alle Internetverbindung durch (Settings in den Android-Einstellungen) und kann vom Mobilfunknetz auf die Router Webseite zugreifen.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 16818

Welches Gerät ist hier nun der Tunnel?

Was verstehst du nun unter "sehen"?

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

Auf einem anderen Gerät eines Familienmitgiedes

1
2
3
4
5
6
default via 192.168.1.1 dev wlp2s0 proto dhcp metric 600 
169.254.0.0/16 dev wlp2s0 scope link metric 1000 
192.168.1.0/24 dev wlp2s0 proto kernel scope link src 192.168.1.99 metric 600 
192.168.100.222 dev vpn scope link 
192.168.100.122 dev vpn scope link 
192.168.150.100 dev vpn scope link 

192.168.100.222 ist ein gerät das aus Wireguard heraus nicht erreichbar ist. 192.168.100.122 dagegen ist erreichbar. Der unterschied liegt daran, das 100.222 am openwrt switch liegt.

der Switch hat diese Routing Tabelle:

1
192.168.100.0/24 dev br-lan scope link  src 192.168.100.2

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 16818

Wenn das Teil nur ein Switch ist, macht es kein Routing (es hat dann ggf. ne Routingtabelle für eigene IP-Verbindungen, aber es geht nicht per Routing an fremde Pakete). Verfolge das ganze mal per traceroute. Ich vermute, dein openwrt-Switch macht mehr als nur Switching.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 13293

Serengeti schrieb:

Auf einem anderen Gerät eines Familienmitgiedes

192.168.100.222 dev vpn scope link 
192.168.100.122 dev vpn scope link 
192.168.150.100 dev vpn scope link 

192.168.100.222 ist ein gerät das aus Wireguard heraus nicht erreichbar ist. 192.168.100.122 dagegen ist erreichbar. Der unterschied liegt daran, das 100.222 am openwrt switch liegt.

Poste mal vom Gerät des Familienmitglieds, die Ausgaben von:

ip r g 192.168.100.222
ip r g 192.168.100.122

Starte mal auf dem Gerät mit der IP 192.168.100.222, tcpdump oder gleichwertig, mit dem Filter:

sudo tcpdump -c 30 -vvveni <WG-Interface> host <WG-IP-Adresse-Gerät-Familienmitglied>

mach einen Ping vom Gerät des Familienmitglieds auf die IP-Adresse 192.168.100.222 und poste nach dem Ping, die Ausgabe von tcpdump.

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

DJKUhpisse

Vom Familienmitglied welches nur via VPN ins LAN kommt:

1
2
3
4
5
6
traceroute to 192.168.100.222 (192.168.100.222), 30 hops max, 60 byte packets
 1  192.168.150.1 (192.168.150.1)  10.728 ms  10.707 ms  10.684 ms
 2  * * *
 3  * * *
 4  * * *
(geht so bis 30)

zum vergleich

1
2
3
traceroute to 192.168.100.122 (192.168.100.122), 30 hops max, 60 byte packets
1  192.168.150.1 (192.168.150.1)  10.857 ms  10.863 ms  11.769 ms
2  192.168.100.122 (192.168.100.122)  11.769 ms  11.752 ms  12.712 ms

lubux

1
2
3
ip r g 192.168.100.122
192.168.100.122 dev vpn src 192.168.150.140 uid 1000 
    cache
1
2
3
ip r g 192.168.100.222
192.168.100.222 dev vpn src 192.168.150.140 uid 1000 
    cache

Das NAS auf 192.168.100.222 (ist nicht im VPN) hat nichts aufzeichnet.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 7816

Serengeti schrieb:

Es gibt LAN Geräte die sind in Wireguard erreichbar und welche die sind es nicht.

Du hast ein Routing-Problem. Schaue Dir auf allen Geräten auf und zwischen den Stationen A und B die Routen an.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 13293

Serengeti schrieb:

lubux

ip r g 192.168.100.122
192.168.100.122 dev vpn src 192.168.150.140 uid 1000 
    cache
ip r g 192.168.100.222
192.168.100.222 dev vpn src 192.168.150.140 uid 1000 
    cache

Die source-IP ist nicht OK, wenn Du eine IP im VPN-Tunnel erreichen willst. Wie sind die Ausgaben von:

ip a
ip r

von beiden Geräten. Was meinst Du mit:

Das NAS auf 192.168.100.222 (ist nicht im VPN) ...

? Es hat doch eine IP aus dem VPN? Ist es evtl. nur physikalisch, z. Zt. nicht im VPN?

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

Ich fasse nochmal alles zusammen, Ich hoffe so wird es etwas einfacher. Sorry für die Umstände.

  • VPN IPs sind zwischen 192.168.150.1 - 255

  • Im normalen LAN und W-Lan sind 192.168.100.1 - 255

LAN
Im Normalen LAN sind alle Geräte zuhause gemeint.

  • Der Router hat 192.168.100.1

  • Der alte als Switch Zweckentfremdete OpenWRT Router hat 192.168.100.2

    • (Vom Router führt ein LAN kabel zum LAN1 des Gerätes, LAN2 führt zum NAS (192.168.100.222)

  • Im LAN habe ich von über all zugriff auf das NAS.

VPN
Im VPN ist ein PC eines anderen Haushalts der Familie verbunden.
Aktuell haben Nutzer des VPN nur Zugriff auf geräte, die nicht hinter dem Switch stehen.

  • Mein OpenWRT Router wireguard installiert und daher eine die VPN IP-Adresse 192.168.150.1

  • Ein Familienmitglied hat bsp 192.168.150.140 als VPN IP.

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1913

lubux

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp3s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 94:c6:91:a0:89:01 brd ff:ff:ff:ff:ff:ff
3: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 14:4f:8a:4c:79:71 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.18/24 brd 192.168.1.255 scope global dynamic noprefixroute wlp2s0
       valid_lft 65519sec preferred_lft 65519s
6: vpn: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 192.168.150.140/32 scope global vpn
       valid_lft forever preferred_lft forever
1
2
3
4
5
6
7
> ip r
default via 192.168.1.1 dev wlp2s0 proto dhcp metric 600 
169.254.0.0/16 dev wlp2s0 scope link metric 1000 
192.168.1.0/24 dev wlp2s0 proto kernel scope link src 192.168.1.18 metric 600 
192.168.100.122 dev vpn scope link 
192.168.100.222 dev vpn scope link 
192.168.150.1 dev vpn scope link 
Antworten |