Kein zufriff mehr zu LAN netzwerk über wireguard


Recommended Posts

Hi,

 

ich habe soeben mein neues Galaxy S10 Ultra in betrieb genommen und festgestellt das WireGuard nciht mehr geht.

Einstellung "Remote access to LAN" sollte zugang zum Unraid-Server sowie alle LAN Gerät (komplettes Netzwerk) gewährleisten.

 

Nichts. Ich habe immer nur Zugang zur IP des Unraid server. Kann es sein das Unraid-WireGuard kaputt ist?

 

Edit: Peer config stimmt: AllowedIPs=10.253.0.1/32, 192.168.178.0/24

Edited by guybrush2012
Link to comment

...hat das denn schonmal funktioniert, mit einem anderen, externen Client via wireguard?

ich nutze wireguard zwar nicht, aber - wie bei jedem VPN - sollte da ein transfer-Netz aktiv sein.

Ich vermute 192.168.178.0/24 ist Dein LAN.

10.253.0.1/32 ist nur ein einzelner Host...wahrscheinlich die VPN-Seite des unRaid Dockers...clients haben dann eine IP aus 10.253.0..0/24

 

Die Frage ist, ob zwischen Docker/wireguard-IP und Docker LAN-IP ein NAT aktiv ist....falls nicht, finden die anderen Geräte im LAN nicht zurück zum Client, der eine wireguard IP hat (weil der LAN Router das Gateway zum 10.253.0.0./24 Netz nicht kennt).

Welches Interface hast Du in unRaid für den Docker gewählt?

Link to comment

Ich habe es...

 

Ich hatte "Host Zugang zu benutzerdefinierten Netzwerken Aktiviert" damit die docker Container mit br0 kommunizieren können.

Stelle ich auf aus dann geht es, die Container können jedoch nicht mit br0 kommunizieren.

Stelle ich auf ein, kann ich mit WireGuard nicht mehr aufs LAN zugreifen, dafür können br0 und Container kommunizieren

 

Bu.g, Feature oder config fehler? 😅

Link to comment

...kommt darauf an, von welcher Warte man das betrachtet.

Es ist aber ur-eigentlich ein Docker-Feature.

 

 

Wenn Du das einstellst wird der Docker nicht mehr ge-NAT-ed.

Ich habe bei mir im unRaid networking VLANs aktiviert und lege meine Docker, die untereinander kommunizieren sollen, immer in ein custom network.

Inter-VLAN Kommunikation - wenn zB zwei Docker in unterschiedlichen Netzen sind - regelt mein Router, inkl. evtl. Firewall und NAT-ing, falls nötig.

 

Link to comment
16 hours ago, guybrush2012 said:

Stelle ich auf ein, kann ich mit WireGuard nicht mehr aufs LAN zugreifen, dafür können br0 und Container kommunizieren

Kannst du aus einem Container heraus im br0 netzwer unraid anpingen bzw kannst du vom bridge netzwerk unraid anpingen?

 

Manchmal funktioniert die option Allow Host Access nach einen reboot nicht, da dies eigentlich ein Workaround von Unraid ist, stoppe und starte den Docker Dienst dazu einmal neu oder mach einen kompletten reboot, dann sollte wieder alles funktionieren.

Link to comment

Ich hatte mit meiner Fritzbox auch Probleme mit Wireguard, musste händisch ne Route eintragen.

 

Quote

Complex Networks

 

The instructions above should work out of the box for simple networks. With "Use NAT" defaulted to Yes, all network traffic on Unraid uses Unraid's IP, and that works fine if you have a simple setup.

However, if you have Dockers with custom IPs or VMs with strict networking requirements, you'll need to make a few changes:

In the WireGuard tunnel config, set "Use NAT" to No

In your router, add a static route that lets your network access the WireGuard "Local tunnel network pool" through the IP address of your Unraid system. For instance, for the default pool of 10.253.0.0/24 you should add this static route:

Network: 10.253.0.0/24 (aka 10.253.0.0 with subnet 255.255.255.0)

Gateway: <IP address of your Unraid system>

If you use pfSense, you may also need to check the box for "Static route filtering - bypass firewall rules for traffic on the same interface". See this.

If you have Dockers with custom IPs then on the Docker settings page, set "Host access to custom networks" to "Enabled". see this:
https://forums.unraid.net/topic/84229-dynamix-wireguard-vpn/page/8/?tab=comments#comment-808801

 

Vielleicht hilft dir das weiter.

Link to comment

Lösung für den nächsten der genau wie ich im dunklen tappt.

1. Einstellung Docker: Host Zugang zu benutzerdefinierten Netzwerken: Aktiviert.
2. Einstellungen WireGuard: Local server uses NAT: Nein
3. FRITZBOX Netzwerkeinstellung/Statische Routingtabelle

Netzwerk: 10.253.0.0 (Docker Netzwerk)
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.5 (Unraid Server)

Danke an alle Beteiligten für die Hilfe.


Gesendet von meinem SM-G998B mit Tapatalk

  • Like 4
  • Thanks 2
Link to comment
  • 2 weeks later...

@guybrush2012 (Secret of Monkey Island DAS WAREN NOCH ZEITEN 🙂 )

 

Danke. Hatte das gleiche Problem mit Wireguard. Konnte nur auf den Unraid Server! Jetzt habe ich vollen Zugriff

 

Kleine Anmerkung an User bzgl Netzwerkeinstellungen, welche Unifi einsetzen (ich hab ne USG)

 

Unter Advenced Features - Advenced Gateway Settings - Static Routes

 

siehe Bild

 

192.168.100.170 ist mein Unraid Server

 

Grüße aus Bayern

 

Bildschirmfoto 2021-06-20 um 13.54.44.png

Edited by Rockikone
Link to comment
On 6/5/2021 at 7:37 PM, guybrush2012 said:

Lösung für den nächsten der genau wie ich im dunklen tappt.

Besten Dank, hat mir soeben weitergeholfen :-)

 

Aaber nun habe ich ein Problem festgestellt: Wenn ich den VPN Tunnel aktiv habe und ich im Unraid auf "Apps" gehe, lädt es ewigkeiten und es passiert nichts. Auch meine Applikationen sind nicht mehr von außen via Subdomain erreichbar, während WireGuard/Tunnel aktiv ist.
Erst wenn ich den VPN Tunnel beende und WireGuard deaktiviere, dann läuft alles wieder normal.

 

Was kann es sein?

 

Grüße,

Luk

Edited by luk
Link to comment
3 minutes ago, Ford Prefect said:

...die default Route zeigt auf den Wireguard Tunnel?

in meiner FRITZ!Box habe ich folgendes gesetzt:

Netzwerk: 10.253.0.0 (Docker Netzwerk)
Subnetzmaske: 255.255.255.0
Gateway: 192.168.0.20 (Unraid Server)

 

oder soll statt 10.253.0.0 die 10.253.0.1 eingetragen werden, das wäre dann die "Local tunnel address"

Edited by luk
Link to comment
42 minutes ago, luk said:

Erst wenn ich den VPN Tunnel beende und WireGuard deaktiviere, dann läuft alles wieder normal.

...bezog sich darauf.

Überprüfe die Routen auf dem unraid host....der Weg ins I-net scheint ja "gestört" zu sein, wenn der Docker aktiv ist.

 

Mach mal ein "traceroute -n 1.1.1.1" (1.1.1.1 oder 8.8.8.8 sind DNS Server) und schau über welche Hops die Daten fliessen und wo sie hängen bleiben.

Link to comment

Hatte vorher unter "Peer allowed IPs" 0.0.0.0/0 eingetragen, damit hatte ich das Problem, nun wieder auf 10.253.0.2 zurückgestellt, gleicht der "Peer tunnel address" und nun passt alles wieder.

image.thumb.png.11ad9b709b4ff1e6d1dd27ccea15dce6.png

Edited by luk
Link to comment
  • 1 year later...

Ich muss hier nochmal nachfragen.

 

Wenn ich in der FritzBox eine Statische Routing Adresse eingebe, kann ich auf dem ganzen Netzwerk zugreifen.

 

image.thumb.png.c2a297aa5c50e8b329620538daabd7b6.png

 

Jetzt habe ich unter VPN in Unraid folgende Option gefunden.

 

image.thumb.png.e62589edd6244f68e01fcbbcdd0df9ce.png

 

Wenn ich Lokaler Server Nutzt NAT: JA einstelle, müsste es doch auch so gehen, ohne das ich an der FritzBox die Routing Tabelle einstelle.
Geht aber nicht. FritzBox die Routing Tabelle muss eingegeben werden.

 

Übersehe ich etwas? 😅

Link to comment
17 minutes ago, guybrush2012 said:

Ich muss hier nochmal nachfragen.

 

Wenn ich in der FritzBox eine Statische Routing Adresse eingebe, kann ich auf dem ganzen Netzwerk zugreifen.

Ja, da alle die Fritz als default-route / gateway nutzen ist das ja OK....willst Du das nicht? Auf das gesamte Netzwerk zugreifen?

 

17 minutes ago, guybrush2012 said:

 

Wenn ich Lokaler Server Nutzt NAT: JA einstelle, müsste es doch auch so gehen, ohne das ich an der FritzBox die Routing Tabelle einstelle.
Geht aber nicht. FritzBox die Routing Tabelle muss eingegeben werden.

 

Übersehe ich etwas? 😅

Die Frage ist, WAS Du erreichen willst (s.o.)

Durch das NAT im unraid, sehen die Wireguard-Clients aus, wie der unraid-Host (nutzen dessen IP).

 

Durch das NAT kannst Du zB  nur auf LAN-IPs zugreifen, die ein eigenes "echtes" Interface im LAN haben...also ein anderer Host/Client, oder auch eine VM auf unraid...ein Docker im custom-bridge Mode, mit fester IP zB geht dabei aber nicht (ohne es extra in den Docker-Einstellungen zu erlauben).

...und Du kannst vom LAN aus keine Verbindung auf die WG-Clients selbst, hinter dem NAT initieren.

 

Wenn Du es feingranularer willst, dann geht das mit ner Fritz als Router einfach nicht, weil die zB keine VLANs kann und keine konfigurierbare Firewall hat.

Übrigens halte ich WG auf unraid für eine schlechte Idee....ein VPN-Service gehört auf den Router...kann Deine 5590 nicht schon selbst Wireguard mit FritzOS (7.5x oder Labor)?

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.