Avenga Posted October 1, 2023 Share Posted October 1, 2023 Hallo, ich habe heute meinen RPi4 gegen eine VM auf Unraid (größtenteils) ersetzt, so hatte ich es vor über einem Jahr in einem anderen Netzwerk auch schon getan, nur damals ist der RPi4 auf eine VM in einer Synology DS218 gezogen. Ich verwende Ubuntu Server minimal 22.04.3 LTS (5.15.0-84-generic x86_64) auf beiden VM. Beide Netzwerke sind seit Jahren miteinander verbunden über Wireguard, ohne Probleme. Seit ein paar Wochen hatte ich eine zusätzliche Route in den FritzBoxen hinzugefügt, so dass ich vom Roadwarrior über Netzwerk 1 auch auf Netzwerk 2 zugreifen kann (und umgekehrt). Da Netzwerk 2 keine IPv4 besitzt, und ich so in Hotels dennoch auf beide Netzwerke Zugriff habe. Seit ich heute "umgezogen" bin klappt das nur noch einseitig und ich finde den Fehler nicht. orange: kommt ins Netzwerk A und darüber ins Internet, aber nicht ins Netzwerk B. grün: klappt, so wie vor dem Umzug. Wireguard Netzwerk A: [Interface] Address = 192.168.99.1/24, fd08::1/64 ListenPort = 51820 PrivateKey = xxx MTU = 1412 PostUp = iptables -A FORWARD -i %i -j ACCEPT PostUp = iptables -A FORWARD -o %i -j ACCEPT PostUp = ip6tables -A FORWARD -i %i -j ACCEPT PostUp = ip6tables -A FORWARD -o %i -j ACCEPT PostUp = ip6tables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT PostDown = iptables -D FORWARD -o %i -j ACCEPT PostDown = ip6tables -D FORWARD -i %i -j ACCEPT PostDown = ip6tables -D FORWARD -o %i -j ACCEPT PostDown = ip6tables -t nat -D POSTROUTING -o enp1s0 -j MASQUERADE [Peer] PublicKey = xxx AllowedIPs = 192.168.99.2/32, fd08::2/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.3/32, fd08::3/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.4/32, fd08::4/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.5/32, fd08::5/128 [Peer] PublicKey = xGZWFnT2tyO3+HqKBuc4BFtj/8T6RPjgXsp0k9kkny0= AllowedIPs = 192.168.99.0/24, 192.168.74.0/24, fd08::/64, fd00:bbbb::/64 Endpoint = xxx.dynv6.net:51821 PersistentKeepalive = 25 Netzwerk B: [Interface] Address = 192.168.99.10/24, fd08::10/64 ListenPort = 51821 PrivateKey = xxx MTU = 1412 PostUp = iptables -A FORWARD -i %i -j ACCEPT PostUp = iptables -A FORWARD -o %i -j ACCEPT # PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE PostUp = ip6tables -A FORWARD -i %i -j ACCEPT PostUp = ip6tables -A FORWARD -o %i -j ACCEPT PostUp = ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT PostDown = iptables -D FORWARD -o %i -j ACCEPT # PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE PostDown = ip6tables -D FORWARD -i %i -j ACCEPT PostDown = ip6tables -D FORWARD -o %i -j ACCEPT PostDown = ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE [Peer] PublicKey = xxx AllowedIPs = 192.168.99.0/24, 192.168.168.0/24, fd08::/64, fd00:aaaa::/64 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.11/32, fd08::11/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.12/32, fd08::12/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.13/32, fd08::13/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.14/32, fd08::14/128 [Peer] PublicKey = xxx AllowedIPs = 192.168.99.15/32, fd08::15/128 Im alten RPi ist Wireguard aus und seine statische IP ist geändert. In den FritzBoxen sind jeweils die Routen eingetragen Mit einer Routenverfolgung am Android komme ich leider auch nicht weiter. Dachte erst es läge an Unraid, aber dann würde ich ja nicht vom Roadwarrior in die VM und von dort ins Internet kommen. Neben der VM laufen noch ein paar Docker. Für einen heißen Tipp wäre ich dankbar. Quote Link to comment
cyp2k Posted October 3, 2023 Share Posted October 3, 2023 Hi, welche Werte sind denn in den Wireguard VMs in der /etc/sysctl.conf gesetzt? net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 Anhand der Aussage "Client Orange kommt ins Netzwerk A und darüber ins Internet..." gehe ich davon aus, dass der gesamte Traffic (auch Internet) über den Tunnel geht, also unter AllowedIP 0.0.0.0/0 gesetzt ist? Quote Link to comment
Solution Avenga Posted October 6, 2023 Author Solution Share Posted October 6, 2023 (edited) Ich hatte den Fehler gefunden, man darf niemals in einer config unter zwei peers die gleiche allowed IPs stehen haben. (sieht man oben nicht) Falls es Jemanden interessieren sollte, hier die funktionierende Konfig als Bild: Link Edited October 7, 2023 by Avenga Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.