Per VPN im Heimnetz auch Hostnamen richtig auflösen

  • Sind z. Zt. Macbook und iPhone nicht per VPN mit dem PI verbunden, weil fping nur den PI (10.6.0.1, d. h. sich selbst) per ping (icmp) erreichen kann?

    Stimmt...grade nochmal getestet.

    Wenn iPhone verbunden dann zeigt es neben 10.6.0.1 auch 10.6.0.2 an. Mein Macbook dann dementsprechend 10.6.0.3.


    Übrigens ging es grade mit meinem Macbook wieder. Alle internen IPs waren erreichbar und auch alle Internetseiten. So wie es sein soll...

    Ich verstehe es nicht.

  • Stimmt...grade nochmal getestet.

    Wenn iPhone verbunden dann zeigt es neben 10.6.0.1 auch 10.6.0.2 an. Mein Macbook dann dementsprechend 10.6.0.3.


    Übrigens ging es grade mit meinem Macbook wieder. Alle internen IPs waren erreichbar und auch alle Internetseiten. So wie es sein soll...

    Ich verstehe es nicht.

    Wann ging es nicht mit dem Macbook? War es zu dem Zeitpunkt, zu dem vom PI (Server) der Ping:

    Code
    ping -c 3 10.6.0.3

    nicht funktioniert hat? Wird die VPN-Verbindung zwischen MACbook und PI, sofort nach dem Booten des Macbook hergestellt und wenn ja ist diese VPN-Verbindung dann auch dauerhaft und stabil?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wann ging es nicht mit dem Macbook? War es zu dem Zeitpunkt, zu dem vom PI (Server) der Ping:

    Code
    ping -c 3 10.6.0.3

    nicht funktioniert hat? Wird die VPN-Verbindung zwischen MACbook und PI, sofort nach dem Booten des Macbook hergestellt und wenn ja ist diese VPN-Verbindung dann auch dauerhaft und stabil?

    Ich kann dir darauf keine Antwort geben, da ich es nicht weiß. Ich kann dir nicht sagen, wann es geht und wann nicht.

    Wo ich die vorherigen Texte geschrieben habe, ging es jedes mal nicht. Ich konnte vom Macbook keine Verbindung intern und extern aufbauen. Und zu der Zeit war die VPN Verbindung da und stabil.

    Vorhin habe ich nochmal getestet und plötzlich ging es wieder. Gerade eben nochmal getestet und es geht! Keine Ahnung warum plötzlich.


    Vorhin habe ich auch nochmal den Raspi gestartet und danach wieder kein Internet an meinen Clients gehabt. Ich musste wieder den DNS Resolver neu starten am Pihole. Und da habe ich gestern alles frisch neu aufgesetzt.

  • Wo ich die vorherigen Texte geschrieben habe, ging es jedes mal nicht. Ich konnte vom Macbook keine Verbindung intern und extern aufbauen. Und zu der Zeit war die VPN Verbindung da und stabil.

    Vorhin habe ich nochmal getestet und plötzlich ging es wieder. Gerade eben nochmal getestet und es geht! Keine Ahnung warum plötzlich.


    Vorhin habe ich auch nochmal den Raspi gestartet und danach wieder kein Internet an meinen Clients gehabt. Ich musste wieder den DNS Resolver neu starten am Pihole. Und da habe ich gestern alles frisch neu aufgesetzt.

    Zeig mal wie Du die VPN-Verbindung testest und wie Du die Verbindung via VPN-Tunnel testest.


    Wenn die Namensauflösung (DNS) via Pihole nicht funktioniert, dann teste ob Du Verbindung zu einer _IP-Adresse_ im Internet hast. Z. B.:

    Code
    ping -c 3 1.1.1.1
    nc -zv 9.9.9.9 53
    mtr -4nr -c 1 8.8.8.8

    (oder gleichwertig, je nach OS).


    EDIT:


    Poste mal wenn _es geht und wenn es nicht geht_, vom PI (WG-Server) die brauchbar anonymisierte Ausgabe von:

    Code
    sudo wg

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Also testen relativ simpel.

    iPhone:

    Ich schalte WLAN aus und stelle mit dem Mobilfunknetz eine VPN Verbindung über die Wireguard App her.

    Mac:

    Ich schalte WLAN aus und schalte mich auf den iPhone Hotspot (natürlich iPhone dann ohne aktives VPN). Dann stelle ich am Mac die VPN Verbindung her.


    Testen dann jeweils, indem ich im Browser einfach die verschiedenen Seiten aufrufe.


    Extra nochmal einen Neustart gemacht. Manche Seiten konnte ich danach am Mac öffnen, manche nicht bzw. haben ewig geladen.

    Also der Status ist aktuell jetzt noch so. Ich kann so gut wie nichts öffnen an Internetseiten. YouTube z.b. ging! Öffne ich dann ein Video lädt es ewig und passiert nichts. Google Maps kann ich wieder öffnen, Idealo wieder nicht.


    Die Ausgabe von "sudo wg" ist gleich, egal ob es nicht geht oder geht. Gerade getestet. Ausgeführt am Pi (VPN-Server).

  • Die Ausgabe von "sudo wg" ist gleich, egal ob es nicht geht oder geht. Gerade getestet. Ausgeführt am Pi (VPN-Server).

    D. h. es funktioniert bei dir nie. Denn wenn es funktioniert. sollte die Ausgabe auf dem PI (WG-Server) z. B. so ähnlich bzw. gleichwertig sein:

    "latest handshake" und "transfer" sollten angezeigt werden.


    EDIT:


    Mit tcpdump und dem passenden Filter, kannst Du auf deinem PI den WG-UDP-Traffic auch sniffen. Z. B.:

    Code
    sudo tcpdump -c 700 -vvveni eth0 'udp[8:4] >= 0x1000000 and udp[8:4] <= 0x4000000' 

    (eth0-Interface evtl. anpassen, wenn es auf deinem PI, eine andere Bezeichnung hat.)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited once, last by rpi444 ().

  • D. h. es funktioniert bei dir nie. Denn wenn es funktioniert. sollte die Ausgabe z. B. so ähnlich bzw. gleichwertig sein:

    "latest handshake" und "transfer" sollten angezeigt werden.

    Ach so ich bin jetzt davon ausgegangen du meinst das Problem was meine Clients im Heimnetz haben, nachdem der Raspi neu gestartet wurde. Du meinst die VPN Geschichte...

    Doch das geht. latest Handshake kommt.

    iPhone ist jetzt per VPN verbunden

  • So...ich habe nochmal ein bisschen was geändert zum Thema AllowedIPs und habe dort statt 0.0.0.0... nur mein Heimnetz und das WG Netz erlaubt. Außerdem habe ich in den Client-Configs den DNS Server geändert und den WG Server jetzt mit der VPN IP reingeschrieben (vorher hatte ich die Heimnetz-IP drin).


    Ist das richtig, dass zu den beiden Themen in der wg0.conf nichts geändert wird, sondern lediglich in den Client-Configs?



    Außerdem Frage ich mich, ob PostUp/PostDown in der wg0.conf richtig ist. Und ob es richtig war, das IP-forwarding (in der Datei /etc/sysctl.d/99-sysctl.conf) zu aktivieren.

    Beides steht hier: https://docs.pi-hole.net/guides/vpn/wireguard/internal/

    Also IP forwarding und NAT, benötige ich das? Kenne mich da leider gar nicht aus.


    So schaut meine wg0.conf aus


    So schauen meine Client-Configs aus

  • Ist das richtig, dass zu den beiden Themen in der wg0.conf nichts geändert wird, sondern lediglich in den Client-Configs?



    Außerdem Frage ich mich, ob PostUp/PostDown in der wg0.conf richtig ist. ...

    Also IP forwarding und NAT, benötige ich das? Kenne mich da leider gar nicht aus.

    Forwarding und NAT wirst Du brauchen. Bei PostUp und bei PostDown ist es davon abhängig, was die bewirken sollen.


    Wenn es um AllowedIPs solltest Du wissen, was der Eintrag dort bewirkt. Z. B.:

    Quote

    In other words, when sending packets, the list of allowed IPs behaves as a sort of routing table, and when receiving packets, the list of allowed IPs behaves as a sort of access control list.

    Quelle: Abschnitt "Cryptokey Routing" in https://www.wireguard.com/#cryptokey-routing


    ... und jetzt kannst Du überlegen, in welcher wg*.conf Du welche Eintragungen zu "AllowedIps", brauchst.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • NAT wird durch die PostUp/PostDown erreicht. Zumindest nach dem Link: https://docs.pi-hole.net/guides/vpn/wireguard/internal/

    Ich habe das dort einfach übernommen.


    Bzgl. AllowedIPs...also kurz ich sende und empfange nur Pakete, die sich in diesem Netz befinden? Sprich bei meiner neuen Config oben kann ich Pakete in mein Heimnetz und im ganzen VPN Netz senden und auch nur aus diesen IP-Bereichen empfangen.

    Öffne ich also mit aktivierter VPN Verbindung meinen Browser und surfe im Internet, geht dieses nicht über das IP Netzt...richtig?


    Ich habe nur eine wg0.conf und die reicht mir. Es geht mir ja wirklich nur darum, auf meine Heimgeräte zugreifen zu können. Klar theoretisch hätte ich bei AllowedIPs auch 0.0.0.0 lassen können, somit wird der ganze Verkehr über VPN geschickt. Jetzt ist es etwas sicherer denke ich.

  • Öffne ich also mit aktivierter VPN Verbindung meinen Browser und surfe im Internet, geht dieses nicht über das IP Netzt...richtig?

    Gesurft wird über das gateway der default Route. Wenn die IP des gateway der default Route, nicht aus dem "IP Netzt" ist, ist das richtig. Siehe die Ausgabe von:

    Code
    route -n

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Gesurft wird über das gateway der default Route. Wenn die IP des gateway der default Route, nicht aus dem "IP Netzt" ist, ist das richtig. Siehe die Ausgabe von:

    Code
    route -n

    OK sagt mir auch nichts. Vermutlich kenne ich mich da echt zu wenig aus.


    Die Ausgabe direkt auf dem Raspi sagt

    Code
    pi@raspberrypi:~ $ route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.255.1   0.0.0.0         UG    202    0        0 eth0
    10.6.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
    192.168.255.0   0.0.0.0         255.255.255.0   U     202    0        0 eth0


    In einem anderen Beitrag hattest du mir diese AllowedIPs mal genannt, ich solle es damit testen. Ich denke dann sollte es auch so passen, funktioniert ja. Ob es jetzt besser ist als 0.0.0.0 kann ich nicht beurteilen aber es wird ja immer wieder gesagt, 0 nicht zu verwenden.

    Ich habe jetzt

    Code
    AllowedIPs = 192.168.255.0/24, 10.6.0.0/24

    drin.

  • Die Ausgabe direkt auf dem Raspi sagt

    Code
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.255.1   0.0.0.0         UG    202    0        0 eth0

    Mit dieser default route wird der InternetTraffic des PI, über den Router (192.168.255.1) gehen.

    Meinst Du evtl. den InternetTraffic anderer Geräte?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Mit dieser default route wird der InternetTraffic des PI, über den Router (192.168.255.1) gehen.

    Meinst Du evtl. den InternetTraffic anderer Geräte?

    Wie meinst du das? Entschuldige die dumme Nachfrage von mir.

    Also der Raspi direkt (IP 192.168.255.2) wird ja vermutlich ins Netz gehen über den Router im Heimnetz (IP 192.168.255.1). Sprich wenn ich am Raspi surfe. Ob das jetzt alles so richtig ist oder doch noch ein Konfigurationsfehler vorliegt, weiß ich nicht. Ist die Default Route denn so falsch?

  • Wie meinst du das? ... Ist die Default Route denn so falsch?

    Es geht darum, ob andere Geräte die mit dem PI per VPN verbunden sind, über den PI ins Internet gehen sollen oder nicht.


    Die default route ist nicht falsch.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Es geht darum, ob andere Geräte die mit dem PI per VPN verbunden sind, über den PI ins Internet gehen sollen oder nicht.

    Müssen nicht...können aber. Es würde mich nicht stören.

    Vorteil wäre, dass die Clients dann per VPN auch Werbefrei sind. Was ich aber garnicht bräuchte. Also würde ich mal sagen die Clients sollen nicht über den Raspi ins Netz gehen.

    Bzw. wie würde denn die Config für das eine oder andere aussehen? Ist der einzige Unterschied die "AllowedIPs"?

  • Bzw. wie würde denn die Config für das eine oder andere aussehen? Ist der einzige Unterschied die "AllowedIPs"?

    Wenn die Clients via WG-VPN ins Internet sollen, muss in deren wg-config:

    Code
    AllowedIPs = 0.0.0.0/0, ::/0

    und in der [Interface]-Section bei deren wg-config, ein erreichbarer/zugänglicher DNS-Server:

    Code
    DNS = <DNS-Server>

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wenn die Clients via WG-VPN ins Internet sollen, muss in deren wg-config:

    Code
    AllowedIPs = 0.0.0.0/0, ::/0

    und in der [Interface]-Section bei deren wg-config, ein erreichbarer/zugänglicher DNS-Server:

    Code
    DNS = <DNS-Server>

    Ah OK und wenn ich den Internettraffic nicht über das WG-VPN leiten will dann ist es richtig, dass ich

    Code
    AllowedIPs = 192.168.255.0/24, 10.6.0.0/24

    geschrieben habe in den WG-Configs und als DNS (unter Interface)

    Code
    DNS = 10.6.0.1

    (was der WG-Server ist (natürlich auch der Raspi von VPN Seite aus)). Dieser DNS dürfte ja von VPN Seite erreichbar sein.


    Müsste denke ich dann so passen richtig?

  • ... und als DNS (unter Interface)

    Code
    DNS = 10.6.0.1

    ...

    Müsste denke ich dann so passen richtig?

    Wenn Du in der wg-config des wg-Clienten, beim Endpoint eine Namensauflösung (DNS) schon vor dem bzw. für das Herstellen/Zustandekommen der WG-VPN-Verbindung machen musst, dann weiß ich nicht ob das mit 10.6.0.1, zu dem Zeitpunkt schon funktioniert. Kannst ja mal testen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Wenn Du in der wg-config des wg-Clienten, beim Endpoint eine Namensauflösung (DNS) schon vor dem bzw. für das Herstellen/Zustandekommen der WG-VPN-Verbindung machen musst, dann weiß ich nicht ob das mit 10.6.0.1, zu dem Zeitpunkt schon funktioniert. Kannst ja mal testen.

    Naja die Verbindung klappt und im Netz surfen kann der Client auch problemlos.

    Wie könnte ich das sonst testen?

    Oder würdest du dann den DNS Eintrag einfach weglassen?