Posts by T-.Bone

    OK habe ich gemacht. Das komische ist, er scheint trotzdem über das Heimnetz zu surfen.


    Sprich ich habe am iPhone erst normal ohne VPN getestet. Der DNS Peak Test sagt, dass er DNS Server von Vodafone nutzt. Passt!


    Dann habe ich die VPN Verbindung aufgebaut und auf einmal nimmt er DNS Server von Cloudflare (was ich im Raspi bzw. Pihole angegeben habe). Doch wo liegt jetzt der Fehler?


    ///Edit: Ich habe in der WG-Client-Config vom iPhone mal die Zeile mit dem DNS = 10.6.0.1 gelöscht, alles neu geladen. Und Plötzlich sagt das iPhone mit VPN Verbindung, dass er DNS Server von Vodafone nutzt. Scheint also zu klappen oder? Interne IPs aus dem Heimnetz kann ich trotzdem erreichen.

    Doch hat wirklich der DNS Eintrag in den WG-Config Profilen für das falsche Verhalten gesorgt?


    Da scheint es ja egal zu sein ob ich bei AllowedIPs dann 0.0.0.0... rein schreibe oder mein Heimnetz/WG Netz, wenn der DNS Eintrag dann alles wieder anders setzt.


    ///Edit 2: Das gleiche habe ich am Mac auch nachgestellt. Erst habe ich den DNS Server vom Heimnetzwerk mit genutzt und nachdem ich die DNS Server Zeile aus der WG-Client-Config entfernt habe, nutzt der Mac zum surfen das eigene Netz und nicht mehr das Heimnetz.

    Wenn Du in der wg-config des wg-Clienten, beim Endpoint eine Namensauflösung (DNS) schon vor dem bzw. für das Herstellen/Zustandekommen der WG-VPN-Verbindung machen musst, dann weiß ich nicht ob das mit 10.6.0.1, zu dem Zeitpunkt schon funktioniert. Kannst ja mal testen.

    Naja die Verbindung klappt und im Netz surfen kann der Client auch problemlos.

    Wie könnte ich das sonst testen?

    Oder würdest du dann den DNS Eintrag einfach weglassen?

    Wenn die Clients via WG-VPN ins Internet sollen, muss in deren wg-config:

    Code
    AllowedIPs = 0.0.0.0/0, ::/0

    und in der [Interface]-Section bei deren wg-config, ein erreichbarer/zugänglicher DNS-Server:

    Code
    DNS = <DNS-Server>

    Ah OK und wenn ich den Internettraffic nicht über das WG-VPN leiten will dann ist es richtig, dass ich

    Code
    AllowedIPs = 192.168.255.0/24, 10.6.0.0/24

    geschrieben habe in den WG-Configs und als DNS (unter Interface)

    Code
    DNS = 10.6.0.1

    (was der WG-Server ist (natürlich auch der Raspi von VPN Seite aus)). Dieser DNS dürfte ja von VPN Seite erreichbar sein.


    Müsste denke ich dann so passen richtig?

    Es geht darum, ob andere Geräte die mit dem PI per VPN verbunden sind, über den PI ins Internet gehen sollen oder nicht.

    Müssen nicht...können aber. Es würde mich nicht stören.

    Vorteil wäre, dass die Clients dann per VPN auch Werbefrei sind. Was ich aber garnicht bräuchte. Also würde ich mal sagen die Clients sollen nicht über den Raspi ins Netz gehen.

    Bzw. wie würde denn die Config für das eine oder andere aussehen? Ist der einzige Unterschied die "AllowedIPs"?

    Mit dieser default route wird der InternetTraffic des PI, über den Router (192.168.255.1) gehen.

    Meinst Du evtl. den InternetTraffic anderer Geräte?

    Wie meinst du das? Entschuldige die dumme Nachfrage von mir.

    Also der Raspi direkt (IP 192.168.255.2) wird ja vermutlich ins Netz gehen über den Router im Heimnetz (IP 192.168.255.1). Sprich wenn ich am Raspi surfe. Ob das jetzt alles so richtig ist oder doch noch ein Konfigurationsfehler vorliegt, weiß ich nicht. Ist die Default Route denn so falsch?

    Gesurft wird über das gateway der default Route. Wenn die IP des gateway der default Route, nicht aus dem "IP Netzt" ist, ist das richtig. Siehe die Ausgabe von:

    Code
    route -n

    OK sagt mir auch nichts. Vermutlich kenne ich mich da echt zu wenig aus.


    Die Ausgabe direkt auf dem Raspi sagt

    Code
    pi@raspberrypi:~ $ route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.255.1   0.0.0.0         UG    202    0        0 eth0
    10.6.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
    192.168.255.0   0.0.0.0         255.255.255.0   U     202    0        0 eth0


    In einem anderen Beitrag hattest du mir diese AllowedIPs mal genannt, ich solle es damit testen. Ich denke dann sollte es auch so passen, funktioniert ja. Ob es jetzt besser ist als 0.0.0.0 kann ich nicht beurteilen aber es wird ja immer wieder gesagt, 0 nicht zu verwenden.

    Ich habe jetzt

    Code
    AllowedIPs = 192.168.255.0/24, 10.6.0.0/24

    drin.

    NAT wird durch die PostUp/PostDown erreicht. Zumindest nach dem Link: https://docs.pi-hole.net/guides/vpn/wireguard/internal/

    Ich habe das dort einfach übernommen.


    Bzgl. AllowedIPs...also kurz ich sende und empfange nur Pakete, die sich in diesem Netz befinden? Sprich bei meiner neuen Config oben kann ich Pakete in mein Heimnetz und im ganzen VPN Netz senden und auch nur aus diesen IP-Bereichen empfangen.

    Öffne ich also mit aktivierter VPN Verbindung meinen Browser und surfe im Internet, geht dieses nicht über das IP Netzt...richtig?


    Ich habe nur eine wg0.conf und die reicht mir. Es geht mir ja wirklich nur darum, auf meine Heimgeräte zugreifen zu können. Klar theoretisch hätte ich bei AllowedIPs auch 0.0.0.0 lassen können, somit wird der ganze Verkehr über VPN geschickt. Jetzt ist es etwas sicherer denke ich.

    So...ich habe nochmal ein bisschen was geändert zum Thema AllowedIPs und habe dort statt 0.0.0.0... nur mein Heimnetz und das WG Netz erlaubt. Außerdem habe ich in den Client-Configs den DNS Server geändert und den WG Server jetzt mit der VPN IP reingeschrieben (vorher hatte ich die Heimnetz-IP drin).


    Ist das richtig, dass zu den beiden Themen in der wg0.conf nichts geändert wird, sondern lediglich in den Client-Configs?



    Außerdem Frage ich mich, ob PostUp/PostDown in der wg0.conf richtig ist. Und ob es richtig war, das IP-forwarding (in der Datei /etc/sysctl.d/99-sysctl.conf) zu aktivieren.

    Beides steht hier: https://docs.pi-hole.net/guides/vpn/wireguard/internal/

    Also IP forwarding und NAT, benötige ich das? Kenne mich da leider gar nicht aus.


    So schaut meine wg0.conf aus


    So schauen meine Client-Configs aus

    D. h. es funktioniert bei dir nie. Denn wenn es funktioniert. sollte die Ausgabe z. B. so ähnlich bzw. gleichwertig sein:

    "latest handshake" und "transfer" sollten angezeigt werden.

    Ach so ich bin jetzt davon ausgegangen du meinst das Problem was meine Clients im Heimnetz haben, nachdem der Raspi neu gestartet wurde. Du meinst die VPN Geschichte...

    Doch das geht. latest Handshake kommt.

    iPhone ist jetzt per VPN verbunden

    Also testen relativ simpel.

    iPhone:

    Ich schalte WLAN aus und stelle mit dem Mobilfunknetz eine VPN Verbindung über die Wireguard App her.

    Mac:

    Ich schalte WLAN aus und schalte mich auf den iPhone Hotspot (natürlich iPhone dann ohne aktives VPN). Dann stelle ich am Mac die VPN Verbindung her.


    Testen dann jeweils, indem ich im Browser einfach die verschiedenen Seiten aufrufe.


    Extra nochmal einen Neustart gemacht. Manche Seiten konnte ich danach am Mac öffnen, manche nicht bzw. haben ewig geladen.

    Also der Status ist aktuell jetzt noch so. Ich kann so gut wie nichts öffnen an Internetseiten. YouTube z.b. ging! Öffne ich dann ein Video lädt es ewig und passiert nichts. Google Maps kann ich wieder öffnen, Idealo wieder nicht.


    Die Ausgabe von "sudo wg" ist gleich, egal ob es nicht geht oder geht. Gerade getestet. Ausgeführt am Pi (VPN-Server).

    Wann ging es nicht mit dem Macbook? War es zu dem Zeitpunkt, zu dem vom PI (Server) der Ping:

    Code
    ping -c 3 10.6.0.3

    nicht funktioniert hat? Wird die VPN-Verbindung zwischen MACbook und PI, sofort nach dem Booten des Macbook hergestellt und wenn ja ist diese VPN-Verbindung dann auch dauerhaft und stabil?

    Ich kann dir darauf keine Antwort geben, da ich es nicht weiß. Ich kann dir nicht sagen, wann es geht und wann nicht.

    Wo ich die vorherigen Texte geschrieben habe, ging es jedes mal nicht. Ich konnte vom Macbook keine Verbindung intern und extern aufbauen. Und zu der Zeit war die VPN Verbindung da und stabil.

    Vorhin habe ich nochmal getestet und plötzlich ging es wieder. Gerade eben nochmal getestet und es geht! Keine Ahnung warum plötzlich.


    Vorhin habe ich auch nochmal den Raspi gestartet und danach wieder kein Internet an meinen Clients gehabt. Ich musste wieder den DNS Resolver neu starten am Pihole. Und da habe ich gestern alles frisch neu aufgesetzt.

    Sind z. Zt. Macbook und iPhone nicht per VPN mit dem PI verbunden, weil fping nur den PI (10.6.0.1, d. h. sich selbst) per ping (icmp) erreichen kann?

    Stimmt...grade nochmal getestet.

    Wenn iPhone verbunden dann zeigt es neben 10.6.0.1 auch 10.6.0.2 an. Mein Macbook dann dementsprechend 10.6.0.3.


    Übrigens ging es grade mit meinem Macbook wieder. Alle internen IPs waren erreichbar und auch alle Internetseiten. So wie es sein soll...

    Ich verstehe es nicht.

    Ich danke dir für die Antwort aber tatsächlich (nicht böse gemeint), verstehe ich nur Bahnhof.

    Also aktuell habe ich als DNS Server in den WG-Config Files ja den Raspi angegeben mit 192.168.255.2. Also dort, wo ich mich auch per VPN drauf schalte.

    Du meinst also, ich soll dort mal die IP der Fritzbox eintragen? Aber werden dann die DNS Anfragen nicht am konfigurierten Pihole vorbei geschleust? Ich mein das wäre nicht schlimm...ich benötige als VPN User eh keinen Werbeblocker.


    War es denn richtig, in der /etc/sysctl.conf" die Zeile "net.ipv4.ip_forward = 1" zu aktivieren oder liegt vielleicht auch hier der Fehler?


    ipv6 nutze ich übrigens überhaupt nicht. Will da aber nichts ändern, weil es irgendwann mal kommen kann ih Zukunft.

    Vor der Neuinstallation hatte ich die ipv6 Adresse im Pi entfernt.


    Das kommt da raus:

    Code
    pi@raspberrypi:~ $ fping -a -q -g 10.6.0.0/24
    10.6.0.1


    Also mein Anwendungsfall ist relativ simple. Ich möchte halt nur von iPhone/Macbook ab und an per VPN auf mein Heimnetz zugreifen, um dann Zugriff auf meine Diskstation zu haben. Dann am besten per SMB über den Mac Finder, damit ich mir die ein oder andere Datei auf meinen Mac lokal ziehen kann.


    Bzgl. AllowedIPs habe ich den ganzen Tunnel durch das VPN geschickt, da es mir eigentlich auch nicht so wichtig ist ob nun der ganze Tunnel durch geht oder nur ein Teil. Wichtig ist, dass ich alle Heimnetzgeräte erreiche und auch noch normal surfen kann.


    Ich bin halt auf dem Gebiet Anfänger. Vorher hatte ich Pivpn genutzt, wovon mir letztens abgeraten wurde, da alles schon im Linuxkernel integriert ist. Nun seh ich bei deinen Links auch nicht so durch.

    Das Macbook/iPhone greifen beide per VPN auf den Raspi zu. Der Raspi ist VPN Server.

    Alle anderen Geräte befinden sich im Heimnetzwerk.

    Kannst Du auf die VPN-IPs zugreifen oder hat das Gerät keine VPN-IP (weil es kein WG-VPN-Client ist)?

    Für den Zugriff auf die internen IPs muss das Routing funktionieren.

    Negativ! Das Macbook selbst hat per VPN die IP 10.6.0.3/32.

    Habe versucht mich selbst zu singen als auch den VPN Server 10.6.0.1. Keine Antwort.

    Das Routing sollte doch funktionieren dadurch, dass ich AllowedIps 0 gemacht habe, dann durch das PostUp/PostDown und dann habe ich noch in der "/etc/sysctl.conf" die Zeile "net.ipv4.ip_forward = 1" die Auskommentierung entfernt (aktiv geschalten). Alles laut Anleitung.

    Vom iPhone geht es ja... da kann ich auch die 10.6.0.1 anpingen.

    Puh da muss ich malschauen, ob er so zu konfigurieren geht. Wie gesagt er sendet alle Anfragen eh zur Fritzbox, komisch also das er dann den Namen so schreibt. Intern macht er das gleiche.


    Ich habe heute früh nochmal probiert und was soll ich sagen...es geht schon wieder nichts mehr.

    VPN Verbindung steht. Auch den "ListenPort" habe ich bei meinem Macbook in die Client-Config mal eingetragen.

    Aber ich kann schon wieder nicht auf die internen IPs zugreifen. Auch nslookup funktioniert intern nicht.

    Das VPN verbindet ordentlich. Wireguard zeigt aktiv an. Auch alle anderen Internet Seiten gehen nicht. Ich erreiche nichts, obwohl nichts verändert zu gestern.


    Am iPhone gehts per VPN komischerweise. Gleiche Config Dateien außer eben die IPs anders (0.2, 0.3)

    rpi444


    Der Raspi mit der IP 192.168.255.2


    In den Wireguard Client Config Dateien ist dieser auch als DNS reingeschrieben.


    Du meinst bei den Client Config Dateien? Da ist oben bei"Interface" kein Port reingeschrieben. Nur unten bei "Peer" Endpoint.


    So schaut meine Client Config aus:


    So schaut die wg0.conf aus:




    Wenn Du mit VPN:

    Code
    nslookup Diskstation.fritz.box 10.6.0.1

    machst, dann weiß der PI (10.6.0.1) welchen DNS-Server er benutzen/fragen muss. Das weiß er bei:

    Code
    nslookup Diskstation 10.6.0.1

    nicht. Wenn Du es nicht glaubst, kannst ja auf dem PI mit tcpdump nach nachschauen.

    Ich glaube dir das schon. Doch warum geht es intern? Woher weiß er da, welchen DNS Server er fragen soll?

    Es gibt also keine Möglichkeit, das zu ändern/wegzulassen?

    Das Problem habe ich ja nur bei VPN. OK es ist jetzt kein Weltuntergang natürlich.


    Ich bin gerade nochmal alle Einstellungen durchgegangen, was Raspi/Pihole etc betrifft wegen dem DNS Problem. Aber ich habe nichts gefunden, was mir komisch vorkommt. ICh glaube ich muss es fast aufgeben.

    rpi444 Also die Neuinstallation denke ich schon, dass es eine gute Idee war. Ich hatte wirklich an paar Dateien hier und da was verändert weil hier eine Tutorials immer was anders sagen da war es schon gut, mal alles auf Anfang zu setzen. Zumal es nicht viel Arbeit war.


    Die VPN IP habe ich dann wieder Umgeändert. Danke für den Hinweiß, auch das hatte ich im Wireguard Tutorial gelesen, dass man die nehmen sollte.

    Habe jetzt wieder 10.6.0.x

    10.6.0.1 ist der Raspi


    Listenport habe ich in der wg0.conf angegeben, den Port, der auch weitergeleitet wird von der Fritzbox an den Raspi.


    Hier nochmal die Ausgabe. Hatte das rote x falsch gelesen. Ausgeführt am Mac.



    Gebe ich ohne VPN intern nslookup Diskstaton ein, findet er eben auch den Hostname.


    Gerade eben musste ich wieder DNS Resolver neu starten.

    So ich habe nochmal alles sauber installiert (Raspberry OS) und alles neu aufgesetzt. Dabei so wenig wie möglich verändert.

    Trotzdem bleiben die Probleme.


    Vor allem kommen meine Clients nach einem Neustart des Raspi nicht mehr ins Netz. Irgendwie ist das komisch. Starte ich den DNS Resolver neu, klappt es. Manchmal geht es aber auch!


    PEr VPN kann ich mich wie geschrieben zu meiner Diskstation verbinden mit der IP oder Diskstation.fritz.box.

    Intern reicht Diskstation aus. Kann man das von extern (VPN) nicht auch ohne die Domain nutzen? Es sieht einfach nicht schön aus, wenn überall dort Fritz.box dran hängt, selbst im Finder.


    Als Client für Wireguard nutze ich iPhone (Wireguard App) und Mac (Wireguard App).

    Ja ich bekomme den DNS Namen mitgeliefert. Macbook.fritz.box.

    Trotzdem kann ich mich intern eben nur mit Diskstation auf meine Station beispielsweise schalten. Warum kann ich denn dort die Domain weglassen?


    rpi444

    Verbunden Macbook per VPN

    Achtung durch die Neuinstallation habe ich als VPN IPs 100.64.0.x genommen (.1 Server, .2/.3 die Clients).



    das gleiche am Pi ausgeführt:


    Code
    pi@raspberrypi:~ $ nslookup Diskstation.fritz.box 100.64.0.x
    nslookup: couldn't get address for '100.64.0.x': not found
    pi@raspberrypi:~ $ nslookup Diskstation 100.64.0.x
    nslookup: couldn't get address for '100.64.0.x': not found
    pi@raspberrypi:~ $ cat /etc/resolv.conf
    # Generated by resolvconf
    nameserver 8.8.8.8
    nameserver 8.8.4.4

    Welche DNS-Server-IP-Adresse wird via VPN benutzt, wenn per VPN das "smb://Diskstation.fritz.box" geht? Und wie wird diese (geeignete) DNS-Server-IP-Adresse bekannt gegeben?


    BTW: Was machst Du, wenn Du per (WG-)VPN, verschiedene Geräte aus zwei (oder mehreren) identischen Subnetzen (z. b. das 192.168.178.0/24), die/das auch noch die identische lokale domain (z. B. fritz.box) haben, verbinden willst bzw. verbinden musst?

    Hallo also als DNS wird die 10.6.0.x benutzt, wenn ich mich per VPN benutze. Das dürfte der Raspi selbst sein.

    Bekannt gegeben wird sie durch den Raspi selbst bzw. sicherlich PiVPN.


    Ich habe nur ein Subnetz, mer kommt auch nicht dazu.


    Ich bin mir jetzt echt nicht sicher, ob ich einfach alles neu installiere oder ob noch was zu retten ist. Vielleicht habe ich damals was falsch konfiguriert oder eingerichtet.