Schau mal würde mir das helfen?
https://superuser.com/questions/1403…to-tun0-openvpn
Wie würde denn die Route in meinem Fall aussehen? so??
Schau mal würde mir das helfen?
https://superuser.com/questions/1403…to-tun0-openvpn
Wie würde denn die Route in meinem Fall aussehen? so??
Kein Zugriff auf den PI 4 von außen mit Portfreigabe in Fritzbox? Schau mal ob du hier fündig wirst!
Ich habe die iptables bereits in die wgconf gesetzt:
[Interface]
PrivateKey = .....
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
Address = 10.6.0.1/24
MTU = 1420
ListenPort = 51820
### begin test ###
[Peer]
PublicKey = .....
PresharedKey = .....
AllowedIPs = 10.6.0.2/32
### end test ###
Ich habe die iptables bereits in die wgconf gesetzt:
Ja, ich weiß bzw. habe das gesehen. Das dort ist aber nicht immer nützlich, bzw. Du hast ja auch Sonderwünsche und das ist auch der Nachteil wenn man PIvPN verwendet (obwohl man Sonderwünsche hat).
ich hab auch einen Sonderwunsch chris3107 : es wäre phantastisch, wenn Du die Ausgaben auch in die Code tags (</>) setzen würdest.
Deine Posts mit den ellenlangen Ausgaben sind so kaum lesbar!
Außerdem: stand dazu nicht was in den Forenregeln...?
Gruss
Ja, ich weiß bzw. habe das gesehen. Das dort ist aber nicht immer nützlich, bzw. Du hast ja auch Sonderwünsche und das ist auch der Nachteil wenn man PIvPN verwendet (obwohl man Sonderwünsche hat).
Kannst dir vielleicht mal das anschauen?
https://superuser.com/question…-from-wg0-to-tun0-openvpn
Wie würde denn die Route in meinem Fall aussehen? so??
Code
Wie würde denn die Route in meinem Fall aussehen? so??
Naja, man kann es ja auch übertreiben:
WG-Client-Internet -> WG-Server-PI -> OpenVPN-Client-PI - OpenVPN-Server-Internet
Dann kannst Du doch gleich, auf dem Client (irgendwo im Internet), den OpenVPN-Client benutzen.
Naja, man kann es ja auch übertreiben:
WG-Client-Internet -> WG-Server-PI -> OpenVPN-Client-PI - OpenVPN-Server-Internet
Dann kannst Du doch gleich, auf dem Client (irgendwo im Internet), den OpenVPN-Client benutzen.
Könntest du mir trotzdem bitte sagen, wie die Route in meinem Fall aussehen würde?
Könntest du mir trotzdem bitte sagen, wie die Route in meinem Fall aussehen würde?
Kannst Du jetzt schon mit dem WG-Client, via WG-Server auf dem PI, ins Internet?
Wenn ja, dann versuch mal mit:
Kannst Du jetzt schon mit dem WG-Client, via WG-Server auf dem PI, ins Internet?
Wenn ja, dann versuch mal mit:
Wäre das so richtig?
sudo ip rule add from 10.6.0.1/24lookup 8 (Interface aus w0conf)
sudo ip route add default via 10.8.0.3/24 table 8
(Ausgabe aus ip addr show: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.3/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::78a:f7ea:bbf1:71bd/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Leerstelle zwisxhwn IP und lookup. Subnetz /24 musst Du nicht angeben.
Testen ob die gewünschten Datenpakete, das jeweilige Interface (wg0 bzw. tun0) bei deinem Routing erreichen und/oder passieren, kannst Du mit tcpdump.
Leerstelle zwisxhwn IP und lookup. Subnetz /24 musst Du nicht angeben.
Testen ob die gewünschten Datenpakete, das jeweilige Interface (wg0 bzw. tun0) bei deinem Routing erreichen und/oder passieren, kannst Du mit tcpdump.
Guten Morgen,
bei dem Befehl "sudo ip route add default via 10.8.0.3/24 table 8 " erhalte ich folgende Meldung "
Error: any valid address is expected rather than "10.8.0.3/24". "
Noch mal zurück zu dieser Möglichkeit
https://superuser.com/questions/1403…to-tun0-openvpn
Es wird ja diese Route beschrieben:
--
Erstellen Sie eine neue Routing-Tabelle:
ip route add default via 192.168.1.5 dev eth0 table 7
ip rule add fwmark 0x55 priority 1000 table 7
ip route flush cache
Wobei 192.168.1.5 die IP Ihrer externen Schnittstelle (eth0) ist. Fügen Sie nun dies zu Ihrer wg0.conf hinzu:
Jetzt können Sie sich über WireGuard mit Ihrem Heimserver verbinden, auch wenn der OpenVPN-Tunnel geöffnet ist.
--
In meinem Fall müsste ich die IP des PIs angeben ,oder (192.168.10.99)
Welche table-Nummer müsste ich denn bei mir verwenden. Du hattest mir ja letzte Woche bei der anderen Route bzgl. der Port-Weiterleitung die table 9 empfohlen
bei dem Befehl "sudo ip route add default via 10.8.0.3/24 table 8 " erhalte ich folgende Meldung "
Error: any valid address is expected rather than "10.8.0.3/24". "
Ja, denn wer hat dir gesagt, dass Du dort auch die netmask (/24) benutzen sollst?
Ja, denn wer hat dir gesagt, dass Du dort auch die netmask (/24) benutzen sollst?
Danke. So gut kenne ich mich da nicht aus. Aber das hat auch nichts gebracht. Kannst du mir kurz bitte noch deine Meinung zu de 2. Teil meines Posts sagen?
Ja, denn wer hat dir gesagt, dass Du dort auch die netmask (/24) benutzen sollst?
Hallo,
darf ich dich noch mal um deinen Rat fragen?
Ich habe viel recherchiert und ausprobiert. Ich bin auch viel weiter gekommen und der Zugriff übers Smartphone via Mobiles Netz funktioniert nun über Wireguard auf meinen PI. Ich kann auch bei bestehender Verbindung über meinen ovpen-VPN client auf das Internet zugreifen.
Es funktioniert nur nicht, dass ich innerhalb meines Netzwerkes auf Geräte zugreifen kann. Z.b. ein SSH Zugriff auf den PI funktioniert nicht.
Hier mal meine Regeln und Routen die ich aktuell in der rc.local habe.
Hast du eine Idee, was ich nun noch für den internen Zugriff brauche? Der PI hat nun die IP 192.168.10.100
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
sudo iptables -t filter -A FORWARD -i wg0 -o eth0 -j ACCEPT
sudo iptables -t filter -A FORWARD -i wg0 -o tun0 -j ACCEPT
sudo iptables -t filter -A FORWARD -o wg0 -i tun0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -t filter -A FORWARD -o wg0 -i eth0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo ip rule add from 192.168.10.100 lookup 9
sudo ip route add default via 192.168.10.1 table 9
sudo ip route add default via 192.168.10.1 dev eth0 table 6
sudo ip rule add fwmark 0x55 priority 1000 table 6
sudo ip route flush cache
Alles anzeigen
Es funktioniert nur nicht, dass ich innerhalb meines Netzwerkes auf Geräte zugreifen kann. Z.b. ein SSH Zugriff auf den PI funktioniert nicht.
... Der PI hat nun die IP 192.168.10.100
Was genau meinst Du mit "mein Netzwerk"? Funktioniert der Portscan auf den lauschenden Port des sshd und der Ping auch die IP-Adresse des PI (192.168.10.100)? Wie sind auf dem PI die Ausgaben von:
? Welche IP-Adresse hat der ssh-Client, mit dem Du auf den sshd des PI zugreifen willst?
Was genau meinst Du mit "mein Netzwerk"? Funktioniert der Portscan auf den lauschenden Port des sshd und der Ping auch die IP-Adresse des PI (192.168.10.100)? Wie sind auf dem PI die Ausgaben von:
? Welche IP-Adresse hat der ssh-Client, mit dem Du auf den sshd des PI zugreifen willst?
Ich meine damit, dass ich über das Mobilfunknetz mich über Wireguard in mein Netzwerk einwähle also 192.168.10.x
pi@pi4:~ $ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether dc:a6:32:40:49:c5 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.100/24 brd 192.168.10.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fdb5:805:f345:1:c0f9:fcb0:8e9d:84e2/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 1771sec preferred_lft 1771sec
inet6 fe80::58a2:2001:8d5f:a57c/64 scope link
valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.6.0.1/24 scope global wg0
valid_lft forever preferred_lft forever
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 10.8.0.13/24 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::d203:d9de:2fcb:853d/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Alles anzeigen
pi@pi4:~ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.1 0.0.0.0 UG 202 0 0 eth0
5.180.62.99 192.168.10.1 255.255.255.255 UGH 0 0 0 eth0
10.6.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
128.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
192.168.10.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0
pi@pi4:~ $ arp -av
Meross-Smart-Plug.fritz.box (192.168.10.65) at 48:e1:e9:68:22:55 [ether] on eth0
12.fritz.box (192.168.10.85) at 06:61:a0:f5:83:b6 [ether] on eth0
? (192.168.10.79) at f0:b0:14:e2:2b:22 [ether] on eth0
Meross-Smart-Switch.fritz.box (192.168.10.44) at 48:e1:e9:12:29:87 [ether] on eth0
fritz.box (192.168.10.1) at 2c:3a:fd:a3:4b:a6 [ether] on eth0
pi4.fritz.box (192.168.10.61) at <incomplete> on eth0
LGwebOSTV.fritz.box (192.168.10.76) at 20:17:42:be:fc:89 [ether] on eth0
Oben.fritz.box (192.168.10.2) at 32:3a:fd:bc:96:23 [ether] on eth0
AirvonChristoph.fritz.box (192.168.10.22) at 18:3e:ef:c5:65:d8 [ether] on eth0
Meross-Smart-Garage.fritz.box (192.168.10.62) at 48:e1:e9:4e:fa:7b [ether] on eth0
C02C368VMD6T.fritz.box (192.168.10.25) at f8:ff:c2:6a:6d:60 [ether] on eth0
Unten.fritz.box (192.168.10.3) at 32:91:ab:ce:2f:ef [ether] on eth0
Meross-Smart-Plug.fritz.box (192.168.10.64) at 48:e1:e9:68:0f:f1 [ether] on eth0
Meross-Smart-Plug.fritz.box (192.168.10.63) at 48:e1:e9:68:19:e6 [ether] on eth0
Entries: 14 Skipped: 0 Found: 14
Alles anzeigen
Hier sehe ich, dass der client verbunden ist:
::: Connected Clients List :::
Name Remote IP Virtual IP Bytes Received Bytes Sent Last Seen
bitburker 46.114.167.34:48476 10.6.0.2 4.1MiB 4.2MiB Jan 26 2022 - 10:33:19
::: Disabled clients :::
Ich meine damit, dass ich über das Mobilfunknetz mich über Wireguard in mein Netzwerk einwähle ...
Hehe, ... dachte ich mir doch, dass das wieder so eine "verklausulierte" Formulierung von dir ist:
Zitat
... ich innerhalb meines Netzwerkes auf Geräte zugreifen kann ...
... und daraus ist jetzt "aus dem Internet (Mobilfunknetz) via WireGuard (VPN) in das Subnetz deiner FritzBox" geworden.
Hast Du in deinem Smartphone eine definierte Route in das Subnetz 192.168.10.0/24, mit der dortigen IP-Adresse des wg-Interface als gateway?
Hehe, ... dachte ich mir doch, dass das wieder so eine "verklausulierte" Formulierung von dir ist:
... und daraus ist jetzt "aus dem Internet (Mobilfunknetz) via WireGuard (VPN) in das Subnetz deiner FritzBox" geworden.
Hast Du in deinem Smartphone eine definierte Route in das Subnetz 192.168.10.0/24, mit der dortigen IP-Adresse des wg-Interface als gateway?
Wie kann ich das im Smartphone einstellen? Ich habe lediglich bei den Netzwerkeinstellungen den PI als Router bzw. Gateway eingetragen
Wie kann ich das im Smartphone einstellen?
Das weiß ich nicht, und das ist gut so, ... denn ich habe solche Geräte nur zum telefonieren und zum SMSen.
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!