VPN mit Wireguard im Hotel WLAN - Keine Verbindung

  • Hallo liebe RPi‘ler,

    Ich bin Außendienstmitarbeiter und somit recht häufig in Hotels unterwegs.

    zur Zeit bin ich ziemlich häufig in einem Hotel welches ein freies WLAN (PW geschützt) anbietet.

    Doch leider kann ich zu meinem RPI zu Hause keine Verbindung durch das WLAN aufbauen.

    Ich habe nun auch im Netz gelesen, dass dies in einem entsprechend geschützten WLAN auch recht schwierig sein kann.

    Genau so blockiert das Hotel WLAN meine Anfragen auf meine NAS über meinen DynDNS (myFritz).

    Komischerweise läuft das Firmen VPN auf meinem Arbeitsrechner.


    Mein Setup:

    - RPI3 zu Hause, Wireguard installiert

    - auf dem iPad/iPhone ist entsprechend die WG App installiert und eingerichtet

    - Externer Port 443 (Portweiterleitung der FritzBox an internen anderen Port) bereits erfolglos versucht


    Für meine Interesse:

    Hier liegt ein LAN Anschluss (noch nicht auf Funktionalität getestet).

    Könnte man theoretisch auch einen 2. Raspi als Hotspot für alle WLAN Geräte nutzen welcher sich über VPN mit meinem Raspi zu Hause verbindet? Das alle Geräte immer getummelt funken?


    Hättet ihr eine Idee und könnt mir evtl. Helfen?

  • Genau so blockiert das Hotel WLAN meine Anfragen auf meine NAS über meinen DynDNS (myFritz).

    Komischerweise läuft das Firmen VPN auf meinem Arbeitsrechner.

    Ich denke, dass Du bzgl. WireGuard einen oder mehrere Konfigurationsfehler hast.

    Denn wenn das Firmen-VPN funktioniert, sollte das auch mit WireGuard möglich sein.


    Wer hat das FirmenVPN auf deinem Arbeitsrechner installiert bzw. konfiguriert?


    EDIT:


    Was für einen Internetanschluss hast Du? DS, DS-lite, CGN oder natives IPv4?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Vielen Dank für die schnelle Antwort.

    Clientseitig ist die Konfiguration von WG direkt über die QR-Code Funktion gemacht. Also per SSH-Verbindung für den eingerichteten Nutzer den Code anzeigen lassen und direkt über die App eingelesen.


    Auf dem Arbeitsrechner hat das die IT direkt gemacht. Dann habe ich erst den Laptop erhalten.


    Soweit ich das jetzt nachvollziehen konnte, habe ich einen nativen IP4 Anschluss.

    Ist ein Kabel Anschluss von PYUR (läuft über primacom), dahinter steht eine FB6591 welche ich selbst gekauft habe.

  • Soweit ich das jetzt nachvollziehen konnte, habe ich einen nativen IP4 Anschluss.

    Ist ein Kabel Anschluss von PYUR (läuft über primacom), dahinter steht eine FB6591 welche ich selbst gekauft habe.

    Du müsstest mal testen, ob Du aus dem Hotel-WLAN einen UDP-Ping auf den lauschenden UDP-Port des WireGuard-Servers (Endpoint) machen kannst.

    Geeignete tools wären z. B. nping und tcpdump (oder gleichwertig, wenn Du kein Linux im Hotel hast).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Doch leider kann ich zu meinem RPI zu Hause keine Verbindung durch das WLAN aufbauen.

    Es könnte sein, dass dieses Hotel nur Zugriffe auf die Zielports 80/http und 443/https zulässt.

    Wobei meistens nur die Portnummern, nicht aber das Protokoll, geprüft wird.


    Du solltest mal testen, ob du dein Wireguard auf den Port 443 umbiegen kannst. Dabei wäre auch zu überlegen, ob du für den Port 443 Wireguard auch auf TCP umstellst.

    Das sollte auch funktionieren, ist nur nicht die beste Wahl.


    Ich habe OpenVPN im Einsatz und habe einmal den normalen OpenVPN-Port für alle Verbindungen, außer den aus Netzen, die diesen Port nicht zulassen.

    Und 443/tcp für genau die gesperrten Netze im Einsatz.

    Selber denken,
    wie kann man nur?

  • Das versuche ich dann heute Abend mal!

    BTW: Wenn ein UDP-Ping auf den von dir gewünschten UDP-Port _nicht möglich_ ist, dann teste auch den UDP-Ping auf die Ports 53 und 123 deines PI. Evtl. kannst Du so ein Loch in die Firewall des Hotel-WLAN bohren.


    Wenn nur UDP-Port 53 möglich ist, brauchst Du eine iptables-Regel, damit Du nicht als "DNS-Dienstleister" gefunden wirst.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wireguard unterstützt "aus Gründen" kein TCP.

    "Gute Gründe"?

    Das was angegeben wird, ist kein "guter Grund", würde er sagen, dass Wireguard schlank bleiben soll, wäre das eine sinnvolle Aussage, so ist das eher eine Frechheit.

    Auch weil es WiFi-Anbieter gibt, die nur 80 und 443 durchlassen. (Selber bei einem Hotel eines IT-Schulungsanbieters feststellen können)


    BTW: Wenn ein UDP-Ping auf den von dir gewünschten UDP-Port _nicht möglich_ ist, dann teste auch den UDP-Ping auf die Ports 53 und 123 deines PI. Evtl. kannst Du so ein Loch in die Firewall des Hotel-WLAN bohren.

    Wenn die schon alles zugemacht haben, werden sie nicht 53 und 123 offen lassen. Der Hotel-DHCP liefert einen DNS-Server, einen anderen braucht der Kunde doch nicht

    Und kein normales System braucht bei jeder Netzverbindung eine aktuelle Zeit. Notfalls liefert dieser auch der Router.

    Selber denken,
    wie kann man nur?

  • Das was angegeben wird, ist kein "guter Grund"

    Das magst du so sehen, aus dem Projektselbstverständnis heraus ist es einer.

    Quote from https://www.wireguard.com/

    WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography.

    Menschen die keine Ironie verstehen finde ich super!

  • Wenn die schon alles zugemacht haben, werden sie nicht 53 und 123 offen lassen.

    Ob die alles zugemacht haben, wissen wir noch nicht. Der TE wird das testen.

    Es gibt keinen Grund, für UDP alles zuzumachen, wenn es für TCP eh offen ist (siehe funktionierendes Firmen-VPN).

    Und wenn doch, dann könnte der TE auch in ein anderes Hotel gehen, das nicht alles zumacht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wie schon mehrfach hier gepostet, betreibe ich schon recht lange ein VPN-Netz bestehend aus mittlerweile 8 in Deutschland und zwei europäischen Ländern eingesetzten Wireguard-Servern (F!B 4040 und 7412). Und die Benutzer dieser Server benutzen ihre eigenen Server zum Anschluss aller ihrer "außerhäusig" betriebenen Geräte, vom Laptop bis zum Smartphone.

    Wenn ich auch jetzt als Pensionär nicht mehr so häufig in einem Hotel übernachte, so kam dass die letzten ~2 Jahre doch immer noch ab und an mal vor (weiß jetzt gar nicht mehr genau, wann ich überhaupt mit WG angefangen habe).

    Aber ich kann mit Sicherheit sagen, dass es mir persönlich wirklich noch nie passiert ist, dass ich keine Verbindung auf den von mir genutzten udp-Ports bekommen habe. Und mein Laptop sowie mein jeweiliges Smartphone habe ich immer dabei. Auch von meinen Verwandten bzw. Freunden in den drei Ländern habe ich noch nie eine entsprechende "Beschwerde" erhalten. Im Unterschied zu meiner ehemaligen Arbeitsstelle, wo man mir bestimmt nach dem ersten Versuch per WG aus dem Intranet zu kommen, sofort "einen Besuch" (meiner eigenen Kollegen ;)) abgestattet hätte, kann ich mir auch nicht vorstellen, dass irgend eine Hotel-IT derart abgesichert ist. Wie gesagt, mir ist das noch nicht passiert.

    Trotzdem will ich das natürlich nicht ausschließen.

    Immer, wenn ich davon gehört oder gelesen habe, war es letztendlich "nur" ein Konfigurationsfehler, wie bspw. eine vergessene oder ungültige Weiterleitung des/der udp-Ports im eigenen Router.


    MfG Peter

  • Moin!

    So, nun habe ich alles versucht, doch leider hat alles nichts gebracht.

    Das Anpingen aus dem Hotel (und bei AG WLAN aus) klappte nicht.

    Sitze jetzt im Hotel und habe auch den Port auf 443 geändert, aber leider klappte dies auch nicht (Verbindung über Mobilfunk klappt dagegen).


    Vielleicht sollte ich auch noch ein paar Dinge mitteilen:

    Ich habe auf dem Raspi dieses Installationsskript genutzt um WG auf meinen Pi zu bekommen:

    curl -L https://install.pivpn.io | bash

    Eingefügt habe ich die Konfiguration dann über den einblendbare QR Code.


    Hergestellt wird die Verbindung über meine Fritz DNS:

    Xxxxxxxxxxxx.myFritz.net


    Auf dem Raspi selbst ist noch PiHole installiert, welches bestimmte DNS Anfragen wegblockt.


    Sollte ich evtl. Eine andere Installation ohne so ein Skript durchführen?

    Oder ist ein anderes Protokoll ratsamer?

    Wichtig ist für mich ungemein, dass mein iPad/iPhone die Verbindung im Mobilfunknetz und im fremden WLAN automatisch zum heimischen Netz herstellt und im WLAN zu Hause kein VPN genutzt wird.

  • So, nun habe ich alles versucht, doch leider hat alles nichts gebracht.

    Das Anpingen aus dem Hotel (und bei AG WLAN aus) klappte nicht.

    Sitze jetzt im Hotel ...

    Wie hast Du den UDP-Ping aus dem Hotel zu deinem PI gemacht?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich habe jetzt einiger Apps fürs iPad ausprobiert welches das theoretisch können sollen.

    Für den Arbeitslaptop habe ich nach langem Suchen keine Anleitung gefunden, wie man das mit Bordmitteln machen könnte.

    Software darf ich ja nicht drauf installieren.

    Portable Software wäre möglich, aber da habe ich keine auf Anhieb gefunden.

  • .... welches das theoretisch können sollen.

    ..., wie man das mit Bordmitteln machen könnte.

    OK, d. h. Du hast die Erreichbarkeit per UDP noch nicht richtig getestet und wir wissen z. Zt. nicht was das Hotel zumacht bzw. was es nicht zumacht.


    BTW: Im Internet findest Du einiges an C-code, für ein UDP-Server-Client-Modell, mit dem man eine UDP-Verbindung im Internet, im VPN und/oder im (W)LAN testen kann. Ich benutze für den UDP-Server z. B. diesen C-code (... auch aus dem Internet heruntergeladen; Quelle unbekannt):

    Als UDP-Client benutze ich nc. Das sieht dann in z. B. dem VPN so aus:

    UDP-Server (nach dem senden vom Client):

    Code
    :~$ ./udpserver
    Client : X
    Hello message sent.

    UDP-Client:

    Code
    :~$ nc -zv -u 192.168.xxx.xxx 8080

    Wenn man will kann man noch tcpdump, auf einer der Seiten (Server oder Client) starten und den UDP-Traffic sniffen.


    Hier eine weitere Quelle im Internet mit C-code für ein UDP-Server-Client-Implementierung.

    Beim Client-code musst Du vor dem kompilieren, in der Zeile:

    Code
    servaddr.sin_addr.s_addr = inet_addr("127.0.0.1");

    , "127.0.0.1" mit der IP-Adresse des Servers, ersetzen (d. h. hardcodieren).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden