staging.inyokaproject.org

Hallo zusammen,

bin dabei mir ein VPN Server aufzubauen. Dazu habe ich mir ein VPS gebucht. Ubuntu 22.04 installiert. Und Wireguard eingerichet. Verbindung wird aufgebaut, macht aber probleme. Server kann ich anbingen, pingt dann weiter bis "Receiving keepalive packet from peer" in der Wireguard log erscheint. Dann erhalte ich erstmal kein Ping zeigt auch kein Fehler. Sobald "Keypair created" erscheint gehts wieder weiter. Dies passiert alle 20 Sekunden

In Windows mit Wireguard APP, habe ich das gleiche Problem.

Habe es schon versucht mit und ohne "PersistentKeepalive" versucht immer gleiches Problem.

Bin etwas Ratlos

Server Log Wireguard

[Sat Nov 25 09:50:21 2023] wireguard: wg0: Keypair 209 destroyed for peer 13
[Sat Nov 25 09:50:21 2023] wireguard: wg0: Keypair 211 created for peer 13
[Sat Nov 25 09:50:21 2023] wireguard: wg0: Receiving keepalive packet from peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:50:33 2023] wireguard: wg0: Receiving keepalive packet from peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:50:37 2023] wireguard: wg0: Receiving handshake initiation from peer 13 (87.100.100.204:47618)
[Sat Nov 25 09:50:37 2023] wireguard: wg0: Sending handshake response to peer 13 (87.100.100.204:47618)
[Sat Nov 25 09:50:37 2023] wireguard: wg0: Keypair 210 destroyed for peer 13
[Sat Nov 25 09:50:37 2023] wireguard: wg0: Keypair 212 created for peer 13
[Sat Nov 25 09:50:37 2023] wireguard: wg0: Receiving keepalive packet from peer 13 (87.100.100.204:47618)
[Sat Nov 25 09:50:54 2023] wireguard: wg0: Receiving handshake initiation from peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:50:54 2023] wireguard: wg0: Sending handshake response to peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:50:54 2023] wireguard: wg0: Keypair 211 destroyed for peer 13
[Sat Nov 25 09:50:54 2023] wireguard: wg0: Keypair 213 created for peer 13
[Sat Nov 25 09:51:00 2023] wireguard: wg0: Receiving handshake initiation from peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:51:00 2023] wireguard: wg0: Sending handshake response to peer 13 (87.100.100.204:55588)
[Sat Nov 25 09:51:00 2023] wireguard: wg0: Keypair 213 destroyed for peer 13
[Sat Nov 25 09:51:00 2023] wireguard: wg0: Keypair 214 created for peer 13
[Sat Nov 25 09:51:00 2023] wireguard: wg0: Receiving keepalive packet from peer 13 (87.100.100.204:55588)

wg0.conf -Server

[Interface]
Address = 10.2.0.1/24
MTU = 1410
PostUp = iptables -I INPUT -p udp --dport 49668 -j ACCEPT
PostUp = iptables -I INPUT -p tcp --dport 5000 -j ACCEPT
PostUp = iptables -I INPUT -p tcp --dport 5001 -j ACCEPT
PostUp = iptables -I FORWARD -i eth0 -o wg0 -j ACCEPT
PostUp = iptables -I FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -I FORWARD -i wg0 -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D INPUT -p udp --dport 49668 -j ACCEPT
PostDown = iptables -I INPUT -p tcp --dport 5000 -j ACCEPT
PostDown = iptables -I INPUT -p tcp --dport 5001 -j ACCEPT
PostDown = iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = ip6tables -D FORWARD -i wg0 -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 49668
PrivateKey = ENTFERNT

[Peer]
PublicKey = ENTFERNT
PresharedKey = ENTFERNT
AllowedIPs = 10.2.0.2/32
Endpoint = DynDNS-Adresse:55588
#PersistentKeepalive = 20

resolved.conf -Server

DNS=1.1.1.1 10.2.0.1
FallbackDNS=1.0.0.1

ip route

default via 45.100.100.1 dev eth0 proto static
10.2.0.0/24 dev wg0 proto kernel scope link src 10.2.0.1
45.100.100.0/24 dev eth0 proto kernel scope link src 45.100.100.81


VPN.conf -Client
{{{
[Interface]
PrivateKey = ENTFERNT
Address = 10.2.0.2/32
MTU = 1420
[Peer]
PublicKey = ENTFERNT
PresharedKey = ENTFERNT
Endpoint = 45.100.100.81:49668
AllowedIPs = 0.0.0.0/0
#PersistentKeepalive = 18

resolved.conf -Client

DNS=1.1.1.1 10.2.0.1
FallbackDNS=1.0.0.1

Client Log 03 2023 wireguard: wg0: Retrying handshake with peer 10 (45.100.100.81:49668) because we stopped hearing back after 15 seconds 03 2023 wireguard: wg0: Sending handshake initiation to peer 10 (45.100.100.81:49668) 03 2023 wireguard: wg0: Receiving handshake response from peer 10 (45.100.100.81:49668) 03 2023 wireguard: wg0: Keypair 239 destroyed for peer 10 03 2023 wireguard: wg0: Keypair 241 created for peer 10 03 2023 wireguard: wg0: Sending keepalive packet to peer 10 (45.100.100.81:49668)

Spike1986 schrieb:

bin dabei mir ein VPN Server aufzubauen. Dazu habe ich mir ein VPS gebucht. Ubuntu 22.04 installiert. Und Wireguard eingerichet. Verbindung wird aufgebaut, macht aber probleme.

Du solltest richtig anonymisieren (Keys, externe IP-Adressen).
Lass mal die IPv6-Adresse weg, konfiguriere identische MTU, Persistentkeepalive nur auf dem Client konfigurieren.
Bei AllowedIPs= nur das WireGuard-Subnetz (v4) eintragen. Danach wenn wirksam, den Ping und von Client und Server und die anonymisierte Ausgabe von:

sudo wg

posten.

lubux schrieb:

Du solltest richtig anonymisieren (Keys, externe IP-Adressen).

Oder gar nicht, weil es meist nur fuer mehr Verwirrung und Fehler sorgt.

sebix schrieb:

Oder gar nicht, ...

Naja, warum soll man hier seine öffentliche IP-Adressen und seine Keys, etc. posten?

lubux schrieb:

sebix schrieb:

Oder gar nicht, ...

Naja, warum soll man hier seine öffentliche IP-Adressen und seine Keys, etc. posten?

Keys natuerlich nicht. Ich hab sie aus dem obigen Post entfernt. @Spike1986 deine Private Keys sind kompromittiert, du musst sie alle austauschen. So schnell als nur moeglich.

IP-Adressen sind nicht geheim.

lubux schrieb:

Spike1986 schrieb:

bin dabei mir ein VPN Server aufzubauen. Dazu habe ich mir ein VPS gebucht. Ubuntu 22.04 installiert. Und Wireguard eingerichet. Verbindung wird aufgebaut, macht aber probleme.

Du solltest richtig anonymisieren (Keys, externe IP-Adressen).
Lass mal die IPv6-Adresse weg, konfiguriere identische MTU, Persistentkeepalive nur auf dem Client konfigurieren.
Bei AllowedIPs= nur das WireGuard-Subnetz (v4) eintragen. Danach wenn wirksam, den Ping und von Client und Server und die anonymisierte Ausgabe von:

sudo wg

posten.

IPv6 ist raus, MTU drin und gleich. Persistentkeepalive am Client eingetragen. Zuerst hat es funktioniert, sobald ich den Wireguard auf dem Server neustartet, war der Fehler wieder da.

Meine Keys waren Random Einträge hier im Post. Wenn da ein Fehler wäre würde die Verbindung nicht zustande kommen. Die tut es aber.

interface: wg0
  public key: ENTFERNT
  private key: (hidden)
  listening port: 49668

peer: ENTFERNT
  preshared key: (hidden)
  endpoint: 87.100.100.204:54343
  allowed ips: 10.2.0.2/32
  latest handshake: 12 seconds ago
  transfer: 96.71 KiB received, 109.21 KiB sent

interface: VPN
  public key: ENTFERNT
  private key: (hidden)
  listening port: 54343

peer: ENTFERNT
  preshared key: (hidden)
  endpoint: 45.100.100.81:49668
  allowed ips: 10.2.0.0/24
  latest handshake: 1 second ago
  transfer: 81.67 KiB received, 113.41 KiB sent
  persistent keepalive: every 18 seconds

Spike1986 schrieb:

interface: wg0
  transfer: 96.71 KiB received, 109.21 KiB sent

interface: VPN
  transfer: 81.67 KiB received, 113.41 KiB sent

Und funktioniert der Ping bzw. die Verbindung?

EDIT:

Hast Persistentkeepalive beim Server entfernt?

EDIT 2:

Lass mal bei Client und Server, die default Policy bei den chains INPUT, OUTPUT und FORWARD auf ACCEPT und konfiguriere nur MASQUERADE als 1. Regel in der zuständigen chain/table, für das Lan- und für das wireguard-Interface (auf Server und Client).

lubux schrieb:

Spike1986 schrieb:

interface: wg0
  transfer: 96.71 KiB received, 109.21 KiB sent

interface: VPN
  transfer: 81.67 KiB received, 113.41 KiB sent

Und funktioniert der Ping bzw. die Verbindung?

EDIT:

Hast Persistentkeepalive beim Server entfernt?

EDIT 2:

Lass mal bei Client und Server, die default Policy bei den chains INPUT, OUTPUT und FORWARD auf ACCEPT und konfiguriere nur MASQUERADE als 1. Regel in der zuständigen chain/table, für das Lan- und für das wireguard-Interface (auf Server und Client).

Ja habe Persistentkeepalive beim Server entfernt Regeln habe ich angepasst Client und Server. Client sitzt hinter einen OPNsense Router muss ich da wohl noch was einstellen?

Verbindung ist da, Ping ist auch da. Packetverlust immer noch vorhanden.

--- 10.2.0.1 ping-Statistik ---
105 Pakete übertragen, 92 empfangen, 12,381% Paketverlust, Zeit 104353ms
rtt min/avg/max/mdev = 22.444/23.196/26.014/0.459 ms

Edit: Über Handy mit Wlan → Paketverlust über Handy mit 5G → Paketverlust

Spike1986 schrieb:

Packetverlust immer noch vorhanden.

Probier mal mit einer MTU von 1392 (statt der 1420) im WG-Tunnel (auf beiden Seiten).

EDIT:

BTW: Du könntest auch einen tcp-ping im WG-Tunnel testen:

nc -l -n -p 1234

sudo nping -c 25 --tcp --flags syn --delay 500ms -g 12345 -p 1234 <IP-Adresse-WG-Interface>

(IP-Adresse-WG-Interface anpassen und ohne spitze Klammern).

lubux schrieb:

Spike1986 schrieb:

Packetverlust immer noch vorhanden.

Probier mal mit einer MTU von 1392 (statt der 1420) im WG-Tunnel (auf beiden Seiten).

Paketverlust ist weg.

Habe ein Speedtest gemacht:

Testing download speed................................................................................
Download: 1.60 Mbit/s
Testing upload speed......................................................................................................
Upload: 105.68 Mbit/s

Habe eine 500 Mbit Leitung ohne VPN kommt ich auf 530 MBit/s

Speedtest Server:

Testing download speed................................................................................
Download: 807.58 Mbit/s
Testing upload speed......................................................................................................
Upload: 896.22 Mbit/s

Spike1986 schrieb:

Paketverlust ist weg.

OK. ... die optimale MTU, ist wichtig bei WireGuard.

lubux schrieb:

Spike1986 schrieb:

Paketverlust ist weg.

OK. ... die optimale MTU, ist wichtig bei WireGuard.

Vielen Dank für deine Hilfe. Ich probiere mich mal durch und berichte

Spike1986 schrieb:

Ich probiere mich mal durch und berichte

BTW: Es gibt auch Experimente mit verschiedener MTU, auf WG-Server und WG-Client. Z. B.: https://gist.github.com/nitred/f16850ca48c48c79bf422e90ee5b9d95

lubux schrieb:

Spike1986 schrieb:

Ich probiere mich mal durch und berichte

BTW: Es gibt auch Experimente mit verschiedener MTU, auf WG-Server und WG-Client. Z. B.: https://gist.github.com/nitred/f16850ca48c48c79bf422e90ee5b9d95

Bin daran dran. https://github.com/nitred/nr-wg-mtu-finder - Aber danke für dein Tipp Leider schmiert mir Wireguard nach 3-4 Wechsel ab. Dann kann ich erstmal nicht mehr verbinden, muss dann 5-10 Minuten. Und auf einmal ist die Verbindung wieder da.

Hatte mir gehoft eingerichtet und gleich nutzubar. Naja, deswegen ist es ja ein Hobby ☺

Mahlzeit,

habe wieder Paketverluste bis hin zu Wireguard Abbrüche.

Client und Server MTU 1280 Keepalive nur beim Client

Der VPS nutzt keine Firewall oder NAT. Ist ein Proxmox System

Distributor ID: Ubuntu
Description:    Ubuntu 22.04.3 LTS
Release:        22.04
Codename:       jammy

Die log zeigt mir alle zwei Minuten zu dem gleichen Peer. Ist das normal oder ein Problem?

[Sun Nov 26 11:50:22 2023] wireguard: wg0: Keypair 210 destroyed for peer 1
[Sun Nov 26 11:50:22 2023] wireguard: wg0: Keypair 212 created for peer 1
[Sun Nov 26 11:52:21 2023] wireguard: wg0: Keypair 212 destroyed for peer 1
[Sun Nov 26 11:52:21 2023] wireguard: wg0: Keypair 213 created for peer 1

Max rtt: 20.296ms | Min rtt: 19.286ms | Avg rtt: 19.720ms
Raw packets sent: 200 (8.000KB) | Rcvd: 153 (6.120KB) | Lost: 47 (23.50%)
Nping done: 1 IP address pinged in 99.79 seconds

Chain INPUT (policy ACCEPT 40272 packets, 5113K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE