Kein Zugriff auf den PI 4 von außen mit Portfreigabe in Fritzbox

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Kein Zugriff auf den PI 4 von außen mit Portfreigabe in Fritzbox? Schau mal ob du hier fündig wirst!

  • Das ist jetzt ohne WG und mit OpenVPN. Wie ist die Ausgabe mit WG und ohne OpenVPN?

    Versuch mal auch mit:

    Code
    sudo iptables -t nat -I POSTROUTING 1 -o eth0 -j MASQUERADE
    sudo iptables -t nat -I POSTROUTING 2 -o wg0 -j MASQUERADE

    Wie sind auch die Ausgaben von:

    Code
    ip rule show
    ip route show table all

    ?

    Ich habe die iptables bereits in die wgconf gesetzt:

    [Interface]
    PrivateKey = .....
    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
    Address = 10.6.0.1/24
    MTU = 1420
    ListenPort = 51820
    ### begin test ###
    [Peer]
    PublicKey = .....
    PresharedKey = .....
    AllowedIPs = 10.6.0.2/32
    ### end test ###

  • Ich habe die iptables bereits in die wgconf gesetzt:

    Ja, ich weiß bzw. habe das gesehen. Das dort ist aber nicht immer nützlich, bzw. Du hast ja auch Sonderwünsche und das ist auch der Nachteil wenn man PIvPN verwendet (obwohl man Sonderwünsche hat).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja, ich weiß bzw. habe das gesehen. Das dort ist aber nicht immer nützlich, bzw. Du hast ja auch Sonderwünsche und das ist auch der Nachteil wenn man PIvPN verwendet (obwohl man Sonderwünsche hat).

    Kannst dir vielleicht mal das anschauen?

    • Wie würde denn die Route in meinem Fall aussehen? so??

    Naja, man kann es ja auch übertreiben:

    WG-Client-Internet -> WG-Server-PI -> OpenVPN-Client-PI - OpenVPN-Server-Internet

    Dann kannst Du doch gleich, auf dem Client (irgendwo im Internet), den OpenVPN-Client benutzen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Naja, man kann es ja auch übertreiben:

    WG-Client-Internet -> WG-Server-PI -> OpenVPN-Client-PI - OpenVPN-Server-Internet

    Dann kannst Du doch gleich, auf dem Client (irgendwo im Internet), den OpenVPN-Client benutzen.

    Könntest du mir trotzdem bitte sagen, wie die Route in meinem Fall aussehen würde?

  • Könntest du mir trotzdem bitte sagen, wie die Route in meinem Fall aussehen würde?

    Kannst Du jetzt schon mit dem WG-Client, via WG-Server auf dem PI, ins Internet?

    Wenn ja, dann versuch mal mit:

    Code
    sudo ip rule add from <IP-wg0-Interface> lookup 8
    sudo ip route add default via <IP-tun0-Interface> table 8
    
    sudo iptables -t nat -I POSTROUTING 1 -o eth0 -j MASQUERADE
    sudo iptables -t nat -I POSTROUTING 2 -o wg0 -j MASQUERADE

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Kannst Du jetzt schon mit dem WG-Client, via WG-Server auf dem PI, ins Internet?

    Wenn ja, dann versuch mal mit:

    Code
    sudo ip rule add from <IP-wg0-Interface> lookup 8
    sudo ip route add default via <IP-tun0-Interface> table 8
    
    sudo iptables -t nat -I POSTROUTING 1 -o eth0 -j MASQUERADE
    sudo iptables -t nat -I POSTROUTING 2 -o wg0 -j MASQUERADE

    Wäre das so richtig?

    Code
    sudo ip rule add from 10.6.0.1/24lookup 8 (Interface aus w0conf)
    sudo ip route add default via 10.8.0.3/24 table 8 
    (Ausgabe aus ip addr show: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
        link/none 
        inet 10.8.0.3/24 brd 10.8.0.255 scope global tun0
           valid_lft forever preferred_lft forever
        inet6 fe80::78a:f7ea:bbf1:71bd/64 scope link stable-privacy 
           valid_lft forever preferred_lft forever
  • Wäre das so richtig?

    Code
    sudo ip rule add from 10.6.0.1/24lookup 8 (Interface aus w0conf)
    sudo ip route add default via 10.8.0.3/24 table 8 

    Leerstelle zwisxhwn IP und lookup. Subnetz /24 musst Du nicht angeben.

    Testen ob die gewünschten Datenpakete, das jeweilige Interface (wg0 bzw. tun0) bei deinem Routing erreichen und/oder passieren, kannst Du mit tcpdump.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Leerstelle zwisxhwn IP und lookup. Subnetz /24 musst Du nicht angeben.

    Testen ob die gewünschten Datenpakete, das jeweilige Interface (wg0 bzw. tun0) bei deinem Routing erreichen und/oder passieren, kannst Du mit tcpdump.

    Guten Morgen,

    bei dem Befehl "sudo ip route add default via 10.8.0.3/24 table 8 " erhalte ich folgende Meldung "

    Error: any valid address is expected rather than "10.8.0.3/24". "


    Noch mal zurück zu dieser Möglichkeit

    https://superuser.com/questions/1403…to-tun0-openvpn

    Es wird ja diese Route beschrieben:

    --

    Erstellen Sie eine neue Routing-Tabelle:

    Code
    ip route add default via 192.168.1.5 dev eth0 table 7
    ip rule add fwmark 0x55 priority 1000 table 7
    ip route flush cache

    Wobei 192.168.1.5 die IP Ihrer externen Schnittstelle (eth0) ist. Fügen Sie nun dies zu Ihrer wg0.conf hinzu:

    Code
    FwMark = 0x55

    Jetzt können Sie sich über WireGuard mit Ihrem Heimserver verbinden, auch wenn der OpenVPN-Tunnel geöffnet ist.

    --

    In meinem Fall müsste ich die IP des PIs angeben ,oder (192.168.10.99)

    Welche table-Nummer müsste ich denn bei mir verwenden. Du hattest mir ja letzte Woche bei der anderen Route bzgl. der Port-Weiterleitung die table 9 empfohlen

  • bei dem Befehl "sudo ip route add default via 10.8.0.3/24 table 8 " erhalte ich folgende Meldung "

    Error: any valid address is expected rather than "10.8.0.3/24". "

    Ja, denn wer hat dir gesagt, dass Du dort auch die netmask (/24) benutzen sollst?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja, denn wer hat dir gesagt, dass Du dort auch die netmask (/24) benutzen sollst?

    Hallo,

    darf ich dich noch mal um deinen Rat fragen?

    Ich habe viel recherchiert und ausprobiert. Ich bin auch viel weiter gekommen und der Zugriff übers Smartphone via Mobiles Netz funktioniert nun über Wireguard auf meinen PI. Ich kann auch bei bestehender Verbindung über meinen ovpen-VPN client auf das Internet zugreifen.

    Es funktioniert nur nicht, dass ich innerhalb meines Netzwerkes auf Geräte zugreifen kann. Z.b. ein SSH Zugriff auf den PI funktioniert nicht.

    Hier mal meine Regeln und Routen die ich aktuell in der rc.local habe.

    Hast du eine Idee, was ich nun noch für den internen Zugriff brauche? Der PI hat nun die IP 192.168.10.100

  • Es funktioniert nur nicht, dass ich innerhalb meines Netzwerkes auf Geräte zugreifen kann. Z.b. ein SSH Zugriff auf den PI funktioniert nicht.

    ... Der PI hat nun die IP 192.168.10.100

    Was genau meinst Du mit "mein Netzwerk"? Funktioniert der Portscan auf den lauschenden Port des sshd und der Ping auch die IP-Adresse des PI (192.168.10.100)? Wie sind auf dem PI die Ausgaben von:

    Code
    ip a
    route -n
    arp -av

    ? Welche IP-Adresse hat der ssh-Client, mit dem Du auf den sshd des PI zugreifen willst?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Was genau meinst Du mit "mein Netzwerk"? Funktioniert der Portscan auf den lauschenden Port des sshd und der Ping auch die IP-Adresse des PI (192.168.10.100)? Wie sind auf dem PI die Ausgaben von:

    Code
    ip a
    route -n
    arp -av

    ? Welche IP-Adresse hat der ssh-Client, mit dem Du auf den sshd des PI zugreifen willst?

    Ich meine damit, dass ich über das Mobilfunknetz mich über Wireguard in mein Netzwerk einwähle also 192.168.10.x


    Code
    pi@pi4:~ $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    0.0.0.0         192.168.10.1    0.0.0.0         UG    202    0        0 eth0
    5.180.62.99     192.168.10.1    255.255.255.255 UGH   0      0        0 eth0
    10.6.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
    10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
    128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    192.168.10.0    0.0.0.0         255.255.255.0   U     202    0        0 eth0

    Hier sehe ich, dass der client verbunden ist:

    ::: Connected Clients List :::
    Name Remote IP Virtual IP Bytes Received Bytes Sent Last Seen
    bitburker 46.114.167.34:48476 10.6.0.2 4.1MiB 4.2MiB Jan 26 2022 - 10:33:19
    ::: Disabled clients :::

  • Ich meine damit, dass ich über das Mobilfunknetz mich über Wireguard in mein Netzwerk einwähle ...

    Hehe, ... dachte ich mir doch, dass das wieder so eine "verklausulierte" Formulierung von dir ist:

    Zitat


    ... ich innerhalb meines Netzwerkes auf Geräte zugreifen kann ...

    ... und daraus ist jetzt "aus dem Internet (Mobilfunknetz) via WireGuard (VPN) in das Subnetz deiner FritzBox" geworden. ;)

    Hast Du in deinem Smartphone eine definierte Route in das Subnetz 192.168.10.0/24, mit der dortigen IP-Adresse des wg-Interface als gateway?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hehe, ... dachte ich mir doch, dass das wieder so eine "verklausulierte" Formulierung von dir ist:

    ... und daraus ist jetzt "aus dem Internet (Mobilfunknetz) via WireGuard (VPN) in das Subnetz deiner FritzBox" geworden. ;)

    Hast Du in deinem Smartphone eine definierte Route in das Subnetz 192.168.10.0/24, mit der dortigen IP-Adresse des wg-Interface als gateway?

    Wie kann ich das im Smartphone einstellen? Ich habe lediglich bei den Netzwerkeinstellungen den PI als Router bzw. Gateway eingetragen

  • Wie kann ich das im Smartphone einstellen?

    Das weiß ich nicht, und das ist gut so, ... denn ich habe solche Geräte nur zum telefonieren und zum SMSen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!