Wireguard Fehlermeldung oder kein Internet

[mad-max]

Hallo zusammen,

ich wollte unter Suse 15.2 eine VPN Verbindung mit Wireguard (Client) herstellen.
Hierzu habe ich eine .conf Datei für die Einwahl.

Das habe ich bisher versucht:
Interface eingerichtet mit

ip link add dev wg0 type wireguard

Dann

ip link set up wg0

Und der Start mit

wg setconf wg0 /etc/wireguard/vpn.conf

Dann erhalte ich aber diese Meldung:
Line unrecognized: `Adress=x.x.x.x/x`
Configuration parsing error

Alternativ habe ich über

wg-quick up /etc/wireguard/vpn.conf

Es ebenfalls versucht. Dann funktioniert die Einwahl aber ich habe kein Internet.

Jemand eine Idee???

Vielen Dank für eure Hilfe...

 

[susejunky]

Hallo mad-max,

... Dann erhalte ich aber diese Meldung:

Line unrecognized: `Adress=x.x.x.x/x`
Configuration parsing error

ich selbst verwende wireguard nicht und kann Dir daher nur bedingt weiterhelfen.

Möglicherweise müsste da aber Address anstatt Adress stehen. Bezüglich der fehlenden Internet-Verbindung könnte auch die (lokale) Firewall noch eine Rolle spielen.

Zum Schluss noch ein Hinweis: Der offizielle Support für openSUSE 15.2 endete Anfang 2022. Du solltest in Erwägung ziehen, Dein System auf 15.3 (oder Tumbleweed) zu aktualisieren.

Viele Grüße

susejunky

 

[/dev/null]

Hallo @mad-max!

Nun, ich betreibe schon seit Ende 2019 ein "gar nicht mehr so kleines" Netzwerk mit acht Wireguard-Servern in drei Ländern und an jedem sind alle außerhäusig betriebenen Geräte der jeweiligen Nutzer angeschlossen. Also sowohl LAN2LAN als auch Client2LAN.
Als WG-Server habe ich zuerst einen RasPi 4B genutzt und bin dann ganz schnell zu F!B 4040 und 7412 mit OpenWrt umgestiegen.
Und als mein erster Tunnel stand, kamen dann in der c't einige gute Artikel zu diesem Thema. Für mich zu spät - aber geschadet hat mir das nicht, ganz im Gegenteil ... . Darf ich davon ausgehen, dass du die Artikel aus der c't (2019/2020) kennst?

Ich gehe mal davon aus, dass du auch so etwas wie den Client-Zugang auf einen WG-Server bauen willst. Was dient als WG-Server und funktioniert dieser? Mal mit einem Smartphone und dem Original-Wireguard-Client getestet?

Es wäre für mich auch einfacher, wenn du mal die Konfiguration für den Client (also den Linux-Rechner) posten könntest. Natürlich ohne die Schlüssel.

Ich habe auf meiner Linux-Kiste das wie folgt gemacht:

* Das vollständige Wireguard-Paket, einschließlich des Moduls für den Networkmanager und nmcli installiert.
* Mit nmcli (als root) die vorhandene conf in den Networkmanager importiert => und kann dadurch jetzt als user mit dem Networkmanager den Tunnel auf- und abbauen.
* Als voll Dualstackfähigen DynDNS-Client für den Server dynv6.com genutzt. Insgesamt alles voll für Dualstack aufgebaut.
* für die Tunnel nutze ich 192.168.20/21/22... .0 (7 Tunnel!) und für jede Fritz!Box eine eigene (!) ULA, also fd00:: ... bis fd07:: ...)


Wichtig ist auch die richtige Konfiguration des Routers. Aber hier müsste ich wissen, welcher Router genutzt wird und auf welchem Gerät der Wireguard-Server läuft (auf der BETA einer 7590er Fritz!Box oder, wie bei mir, auf einem externen Gerät - 4040). Es geht insbesondere um die statische Route zum jeweiligen Tunnel und ins jeweils gewollte Netz.

edit:
Ich schiebe mal als Muster eine Konfiguration für einen externen Linux-Client nach (die "#" trennen Erklärungen ab und werden nicht mit importiert)

[Interface] # <client> nach <WG-Server>
PrivateKey = <des jeweiligen Clients für diese Verbindung>
Address = 192.168.22.xx/32, fd00:22::xx/64        # <udp-Verbindung für WG>     
DNS = 1.1.1.1,2606:4700:4700::1111                  # <entweder DNS im INet, oder ...>
# DNS = 192.168.100.32,fd00::a8fb:be0a:7c9:3ba9     # <ein pi-hole im jeweiligen Zielnetz>

[Peer] # <WG-Server im Zielnetz>
PublicKey = ölkjlökjlkjklöjlökjjkljkl=                       #... des Zielservers für diese Verbindung
PresharedKey = <der PSK für die Verbindung dieses Clients mit diesem Server>
Endpoint = <DynDNS-Name>.dynv6.net:4xxxx
AllowedIPs = 0.0.0.0/0, ::/0                # zu erreichendes Netz, 0.0.0.0 oder jeweiliges Heimnetz, testen!

BTW:
1. Ich benutze hier die Begriffe "Client" und "Server", weiß natürlich, dass man das bei Wireguard nicht trennen sollte. Aber wir sind ja gewohnt, dass sich ein Client (Schlau-Fernsprechapparat oder Notebook usw.) mit einem Server verbindet …
2. Ich halte mich bewusst aus den Tests der BETA für die 7590 ([Sammlung] - Wireguard VPN von AVM ab FW 7.39) raus. Kann also dazu und zu den Möglichkeiten des "AVM-Wirteguard" nichts sagen.

 

[mad-max]

Hallo zusammen,

ich bin nun etwas weiter.
Vielen Dank bisher für eure Unterstützung!!!

Mit "wg quick up" und dem Verweis auf die Config Datei kommt der Tunnel nun zu Stande.
Jedoch nur, wenn ich auf der FW alle Ports für den Client nach extern freigebe.

Die Netzwerksituation sieht wie folgt aus:
WG-Client->SophowFW -> Fritzbox

Die Fritzbox macht eigentlich nur noch die Internet-Einwahl und die Sophos ist dort als Exposed Host eingetragen.
Auf dem WG-Client ist kein FW eingeschaltet.

Ich komme einfach nicht dahinter, welche Ports ich freigeben muss. Die Sophos Logs geben da leider auch keine richtigen Infos.

Mit "sudo wg" kann ich mir ja die Verbindungsinfos anzeigen lassen.
Die Ports die ich da sehe, habe ich bereits freigeschaltet. Jedoch ohne Erfolg.
Auch die Default-Ports von Wireguard, die man so im Inet nachlesen kann, brachten nicht die erhoffte Lösung.

Wie kann ich sonst noch in Erfahrung bringen, welche Ports tatsächlich genutzt werden?