|
Serengeti
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
Aktuell habe ich das Problem, dass ich von Wireguard aus Devices im Lan einfach nicht erreichen kann.
Ich habe einen Open-WRT Router mit 192.168.100.1/24 daran hängt ein anderer Open WRT Switch mit 192.168.100.2/24 (Ein Router der lediglich als Switch fungiert) Ich habe zudem ein Wireguard-VPN im Router 192.168.150.1/24
Alle Clients im LAN und W-Lan (.100.xx) haben eine Netzmaske /24
Nach Anleitungen im Internet haben alle Wireguard Clients eine Netzmaske /32 und Geräte die im Lan verbunden werden sollen sind unter AllowedIPs mit 192.168.100.xx/32 hinterlegt. Bei Experimenten habe ich Verbindungsprobleme, wenn ich im VPN /24 verwende. Wie muss ich mein Netzwerk einrichten, dass alle Geräte, ob nun Wireguard oder LAN. Sich gegenseitig sehen? Aktuell ist es eher chaotisch. Es gibt LAN Geräte die sind in Wireguard erreichbar und welche die sind es nicht.
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum:
18. Oktober 2016
Beiträge: 16818
|
Was meinst du mit sehen?
Passt die Routingtabelle?
sh ip route
|
|
Serengeti
(Themenstarter)
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
Ich weiss leider nicht wie man eine Routing Tabelle liest | xxx.xxx.xxx.xxx/30 dev rmnet_data3 proto kernel scope link src xxx.xxx.xxx.xxy
192.168.100.205/24 dev wlan0 proto scope link src 192.168.150.27
|
Das ist die Routingtabelle meines Mobiltelefons (Termux) mit Wireguard Verbindung zum Router. Ich Route da alle Internetverbindung durch (Settings in den Android-Einstellungen) und kann vom Mobilfunknetz auf die Router Webseite zugreifen.
|
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum:
18. Oktober 2016
Beiträge: 16818
|
Welches Gerät ist hier nun der Tunnel? Was verstehst du nun unter "sehen"?
|
|
Serengeti
(Themenstarter)
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
Auf einem anderen Gerät eines Familienmitgiedes
| default via 192.168.1.1 dev wlp2s0 proto dhcp metric 600
169.254.0.0/16 dev wlp2s0 scope link metric 1000
192.168.1.0/24 dev wlp2s0 proto kernel scope link src 192.168.1.99 metric 600
192.168.100.222 dev vpn scope link
192.168.100.122 dev vpn scope link
192.168.150.100 dev vpn scope link
|
192.168.100.222 ist ein gerät das aus Wireguard heraus nicht erreichbar ist. 192.168.100.122 dagegen ist erreichbar. Der unterschied liegt daran, das 100.222 am openwrt switch liegt. der Switch hat diese Routing Tabelle:
| 192.168.100.0/24 dev br-lan scope link src 192.168.100.2
|
|
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum:
18. Oktober 2016
Beiträge: 16818
|
Wenn das Teil nur ein Switch ist, macht es kein Routing (es hat dann ggf. ne Routingtabelle für eigene IP-Verbindungen, aber es geht nicht per Routing an fremde Pakete).
Verfolge das ganze mal per traceroute.
Ich vermute, dein openwrt-Switch macht mehr als nur Switching.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
Serengeti schrieb: Auf einem anderen Gerät eines Familienmitgiedes
192.168.100.222 dev vpn scope link
192.168.100.122 dev vpn scope link
192.168.150.100 dev vpn scope link 192.168.100.222 ist ein gerät das aus Wireguard heraus nicht erreichbar ist. 192.168.100.122 dagegen ist erreichbar. Der unterschied liegt daran, das 100.222 am openwrt switch liegt.
Poste mal vom Gerät des Familienmitglieds, die Ausgaben von:
ip r g 192.168.100.222
ip r g 192.168.100.122
Starte mal auf dem Gerät mit der IP 192.168.100.222, tcpdump oder gleichwertig, mit dem Filter:
sudo tcpdump -c 30 -vvveni <WG-Interface> host <WG-IP-Adresse-Gerät-Familienmitglied>
mach einen Ping vom Gerät des Familienmitglieds auf die IP-Adresse 192.168.100.222 und poste nach dem Ping, die Ausgabe von tcpdump.
|
|
Serengeti
(Themenstarter)
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
DJKUhpisse Vom Familienmitglied welches nur via VPN ins LAN kommt:
| traceroute to 192.168.100.222 (192.168.100.222), 30 hops max, 60 byte packets
1 192.168.150.1 (192.168.150.1) 10.728 ms 10.707 ms 10.684 ms
2 * * *
3 * * *
4 * * *
(geht so bis 30)
|
zum vergleich
| traceroute to 192.168.100.122 (192.168.100.122), 30 hops max, 60 byte packets
1 192.168.150.1 (192.168.150.1) 10.857 ms 10.863 ms 11.769 ms
2 192.168.100.122 (192.168.100.122) 11.769 ms 11.752 ms 12.712 ms
|
lubux | ip r g 192.168.100.122
192.168.100.122 dev vpn src 192.168.150.140 uid 1000
cache
|
| ip r g 192.168.100.222
192.168.100.222 dev vpn src 192.168.150.140 uid 1000
cache
|
Das NAS auf 192.168.100.222 (ist nicht im VPN) hat nichts aufzeichnet.
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 7816
|
Serengeti schrieb: Es gibt LAN Geräte die sind in Wireguard erreichbar und welche die sind es nicht.
Du hast ein Routing-Problem. Schaue Dir auf allen Geräten auf und zwischen den Stationen A und B die Routen an.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
Serengeti schrieb: lubux ip r g 192.168.100.122
192.168.100.122 dev vpn src 192.168.150.140 uid 1000
cacheip r g 192.168.100.222
192.168.100.222 dev vpn src 192.168.150.140 uid 1000
cache
Die source-IP ist nicht OK, wenn Du eine IP im VPN-Tunnel erreichen willst. Wie sind die Ausgaben von:
ip a
ip r
von beiden Geräten. Was meinst Du mit:
Das NAS auf 192.168.100.222 (ist nicht im VPN) ...
? Es hat doch eine IP aus dem VPN? Ist es evtl. nur physikalisch, z. Zt. nicht im VPN?
|
|
Serengeti
(Themenstarter)
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
Ich fasse nochmal alles zusammen, Ich hoffe so wird es etwas einfacher. Sorry für die Umstände.
LAN
Im Normalen LAN sind alle Geräte zuhause gemeint.
Der Router hat 192.168.100.1 Der alte als Switch Zweckentfremdete OpenWRT Router hat 192.168.100.2 Im LAN habe ich von über all zugriff auf das NAS.
VPN
Im VPN ist ein PC eines anderen Haushalts der Familie verbunden.
Aktuell haben Nutzer des VPN nur Zugriff auf geräte, die nicht hinter dem Switch stehen.
|
|
Serengeti
(Themenstarter)
Anmeldungsdatum:
24. Februar 2008
Beiträge: 1913
|
lubux
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17 | > ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether 94:c6:91:a0:89:01 brd ff:ff:ff:ff:ff:ff
3: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 14:4f:8a:4c:79:71 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.18/24 brd 192.168.1.255 scope global dynamic noprefixroute wlp2s0
valid_lft 65519sec preferred_lft 65519s
6: vpn: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 192.168.150.140/32 scope global vpn
valid_lft forever preferred_lft forever
|
| > ip r
default via 192.168.1.1 dev wlp2s0 proto dhcp metric 600
169.254.0.0/16 dev wlp2s0 scope link metric 1000
192.168.1.0/24 dev wlp2s0 proto kernel scope link src 192.168.1.18 metric 600
192.168.100.122 dev vpn scope link
192.168.100.222 dev vpn scope link
192.168.150.1 dev vpn scope link
|
|