Debian 12 - WireGuard VPN

    Moin,

    ich habe einen Debian12 Server und möchte einen WireGuard VPN zu unserem Netzwerk aufbauen.


    Die Installation von WireGurad habe ich auf dem Debian12 Server bereits durchgeführt.

    Danach habe ich eine Konfigurationsdatei von der FritzBox erstellen lassen und eine Konfigurationsdatei mit den Angaben auf dem Debian12 erstellt.

    Da ich einen Datentransfer habe gehe ich mal davon aus , dass die Verbindung steht.


    Ich verstehe die Meldung von resolvconf nicht, die beim Starten der Schnittstelle kommt.

    pasted-from-clipboard.png


    Trotz des Datentransfer kann ich die FritzBox oder andere Geräte aus unserem Netzwerk nicht anpingen.

    Danach habe ich noch curl installiert und wieder kommt eine Fehlermeldung mit resolvconf.

    curl Installation resolvconf Fehlermeldung.png


    Was kann ich noch ausprobieren und woran liegt das?


    Mit freundlichen Grüßen

    retail data

    Dem zweiten Screenshot zufolge hast du zwei Pakete installiert, curl und libcurl, aber ein Paket ist unvollständig installiert. Das müsste resolvconf sein. Die Installation wird erneut versucht, scheitert aber während der Konfiguration nach der Installation. Ich würde sagen, das hat mit Wireguard eigentlich nichts zu tun, aber du solltest dich mal darum kümmern, welches Programm auf deinem Server die Einstellungen zur DNS-Namensauflösung verwaltet und diese Konfiguration geradeziehen.

    Quote from NaN

    Dem zweiten Screenshot zufolge hast du zwei Pakete installiert, curl und libcurl, aber ein Paket ist unvollständig installiert. Das müsste resolvconf sein. Die Installation wird erneut versucht, scheitert aber während der Konfiguration nach der Installation. Ich würde sagen, das hat mit Wireguard eigentlich nichts zu tun, aber du solltest dich mal darum kümmern, welches Programm auf deinem Server die Einstellungen zur DNS-Namensauflösung verwaltet und diese Konfiguration geradeziehen.

    Danke für deine Nachricht!


    resolvconf sollte eigentlich dies übernehmen, die Konfigurationsdatei ist aber schreibgeschützt.

    Wie kann dies am einfachsten prüfen und konfigurieren?

    Quote from retaildata

    resolvconf sollte eigentlich dies übernehmen, die Konfigurationsdatei ist aber schreibgeschützt.

    Wieso sollte resolvconf das übernehmen? Das ist nicht die Voreinstellung, und auch nicht, dass resolv.conf "immutable" ist. Das ist nicht das gleiche wie schreibgeschützt. Eine "immutable" Datei kann auch der Besitzer oder root nicht ändern, root kann nur das immutable Bit wieder löschen. Die resolv.conf Datei immutable machen ist die Holzhammermethode, wenn man nicht möchte, dass irgendein Programm die verändert. Wie gesagt, kümmere dich mal darum, wie die Namensauflösung auf dem System konfiguriert ist. Mit deinem Wireguard Problem hat das wahrscheinlich nichts zu tun.

    Edited 2 times, last by NaN ().

    Quote from NaN

    Wieso sollte resolvconf das übernehmen? Das ist nicht die Voreinstellung, und auch nicht, dass resolv.conf "immutable" ist. Das ist nicht das gleiche wie schreibgeschützt. Eine "immutable" Datei kann auch der Besitzer oder root nicht ändern, root kann nur das immutable Bit wieder löschen. Die resolv.conf Datei immutable machen ist die Holzhammermethode, wenn man nicht möchte, dass irgendein Programm die verändert. Wie gesagt, kümmere dich mal darum, wie die Namensauflösung auf dem System konfiguriert ist. Mit deinem Wireguard Problem hat das wahrscheinlich nichts zu tun.

    Ja, das ist die Holzhammerlösung, die allerdings so mit dem Debian 12 Image von netcup kommt.

    Quote from tab

    Holzhammerlösung, die allerdings so mit dem Debian 12 Image von netcup kommt.

    OK, das habe ich noch nie benutzt. Ist da auch die unvollständige recolvconf Installation schon drin? Wenn resolvconf (ohne Punkt) funktionsfähig gemacht werden soll, könnte man resolv.conf (mit Punkt) einfach als root mit chattr -i /etc/resolv.conf wieder veränderbar machen.

    Quote from retaildata

    Was kann ich noch ausprobieren und woran liegt das?

    Steht doch in der Fehlermeldung, was nicht funktioniert und welche Befehle (chattr ... | dpkg ...) Du ausführen musst, um das Problem zu beheben.


    ---


    Unter allowed ips: solltest Du außer der 0.0.0.0/0 noch die Wireguard-IP der Fritzbox mit /32 eintragen.

    allowed ips:192.168.1.1/32, 0.0.0.0/0


    (Vorausgesetzt die Fritzbox hat die .1 )


    ---


    Die 0.0.0.0/0 bedeutet auch, das dein gesamter Netzwerktraffic über die Fritzbox geht. Damit das funktioniert, muss auch die DNS-Konfiguration angepasst werden.

    Die Fehlermeldung oben verhindert das.


    ---


    Kannst Du die Wireguard-IP der FritzBox anpingen?

    Kannst Du ein die interne IP der FritzBox anpingen?

    Habe gerade mal einen Server neu mit Debian 12 minimal Image installieren lassen. Also resolvconf ist nicht installiert. Die Datei /etc/resolv.conf ist schreibgeschützt ("immutable") und zementiert damit die dort eingetragenen netcup Resolver :rolleyes: . Das Netzwerk ist direkt über die Dateien in /etc/network/ konfiguriert. Da ich da aber Unbound installieren will, werde ich jetzt erst mal die /etc/resolv.conf wieder veränderbar machen.

    Die Befehle (chattr ... | dpkg ...) habe ich ausgeführt, das Problem ist damit behoben.


    Die Zeile allowed ips habe ich ergänzt. Prinzipiell muss der gesamte Netzwerktraffic nicht über die FritzBox gehen.

    Kann ich dies auch mit 128.0.0.0/1 anpassen?



    Kannst Du die Wireguard-IP der FritzBox anpingen? - Nein


    Kannst Du ein die interne IP der FritzBox anpingen? - Nein

    Quote from Hamsterbacke

    Das Installationsskript Wireguard Road Warrior sollte dir dabei helfen Wireguard ohne Probleme handumdrehend aufzusetzen.

    Von solchen Scripten halte ich gar nichts. Sie funktionieren immer für den vorgesehenen Anwendungsfall, aber sobald man den verlässt, ist man verloren. Gerade mit Fritzboxen funktionieren die überhaupt nicht, da man bei der Wireguard LAN-LAN Einrichtung mit Fritzboxen einige Besonderheiten beachten muss (siehe AVM Anleitungen!). Also: Finger weg! Wenn man mit Fritzboxen arbeiten, dann ausschließlich die AVM Anleitungen befolgen! Keine Scripte, keine Howtos, keine fency Youtube Videos. Nur die AVM Anleitung.


    Quote from Mordor

    Unter allowed ips: solltest Du außer der 0.0.0.0/0 noch die Wireguard-IP der Fritzbox mit /32 eintragen.

    allowed ips:192.168.1.1/32, 0.0.0.0/0

    Warum das? Das bringt wirklich gar nichts, denn die IP ist bereits Bestandteil von 0.0.0.0/0.


    Quote from retaildata

    Kannst Du die Wireguard-IP der FritzBox anpingen? - Nein

    Es darf keine Wireguard-IP der Fritzbox geben. Siehe AVM Anleitung.


    Quote from retaildata

    Prinzipiell muss der gesamte Netzwerktraffic nicht über die FritzBox gehen.

    Kann ich dies auch mit 128.0.0.0/1 anpassen?

    Nicht allein. Dann musst du auch noch ein 0.0.0.0/1 hinzufügen. Aber Vorsicht, dass du damit nicht den VPS vom Internet abklemmst. Wenn du wirklich den gesamten Traffic eines VPS über deine Fritzbox zu Hause schicken willst (warum auch immer man das wollen würde): Was spricht gegen 0.0.0.0/0?


    Ich denke, es ist an der Zeit, die konkrete Konfiguration beider Seiten sowie die resultierenden Routen auf VPS Seite bei aktivem VPN zu zeigen. Sonst wird es schwierig mit der Analyse.

    Quote from retaildata

    Prinzipiell muss der gesamte Netzwerktraffic nicht über die FritzBox gehen.

    Dann reicht es, wenn Du die Netzbereiche in allowed ips: einträgst, die du über das VPN erreichen willst.


    Beispiel:
    allowed ips: 192.168.1.1/32, 192.168.1.0/24


    ---


    Wie testest Du denn dein VPN. Aus dem eigenen Netz, oder von außen?

    Aus deinem eigenen Netzwerk wird das nicht funktionieren.


    ---

    Quote from frank_m

    Warum das? Das bringt wirklich gar nichts, denn die IP ist bereits Bestandteil von 0.0.0.0/0.

    Erfahrung.

    0.0.0.0/0 kann durch andere routen (spezifischere) überschrieben werden und dann funktioniert das VPN auf einmal nicht mehr, ohne das offensichtlich ist warum.

    192.168.x.x/32 wird immer bevorzugt.


    Quote from frank_m

    Es darf keine Wireguard-IP der Fritzbox geben. Siehe AVM Anleitung.

    Hättest du dazu einen Link? Danke

    Quote from Mordor

    Erfahrung.

    0.0.0.0/0 kann durch andere routen (spezifischere) überschrieben werden und dann funktioniert das VPN auf einmal nicht mehr, ohne das offensichtlich ist warum.

    192.168.x.x/32 wird immer bevorzugt.

    Aber wofür? Entweder will ich die Default-Route übers VPN leiten, oder nicht. Wenn ich die Default-Route brauche, dann hilft mir der einzelne Host auch nicht weiter.


    Quote from Mordor

    Hättest du dazu einen Link? Danke

    Im Grunde alle Anleitungen unter https://avm.de/service/vpn/ . Die Anleitungen enthalten alle spezifische Hinweise, wie z.B.:

    Quote

    Tragen Sie beim Erstellen der WireGuard-Verbindung für die FRITZ!Box keine IP-Adresse aus einem Transfernetz (Intermediate-Adresse), sondern die lokale IP-Adresse der FRITZ!Box ein (z.B. 192.168.20.1, Subnetzmaske 255.255.255.0).

    Wenn man die nicht beachtet, dann funktioniert das VPN mit Fritzboxen halt nicht. Solche Scripte, wie die oben genannten, beachten das alle nicht.

    Quote from frank_m

    Du hast auf beiden Seiten 192.168.1.0/24 und die Default-Route in den Allowed IPs? Das kann nicht richtig sein.

    Die Konfigurationsdatei wird von der FritzBox erzeugt, die Inhalte muss ich nur übertragen, oder nicht ?

    Es wird eine Konfigurationsdatei in der Fritzbox für die andere Seite erzeugt, das ist richtig. Die Frage ist, welche von den beiden das ist und wie du die Einstellungen vorgenommen hast.


    Du zeigst ja Konfigurationsdateien von zwei unterschiedlichen VPN Knoten, wie man an den Endpoint Einträgen erkennen kann. Und dann ist es eine absolute Todsünde, wenn es auf beiden Seiten die gleichen Allowed IPs und sogar die gleichen Address Einträge gibt.


    Auch wenn einem die Assistenten viel abnehmen, heißt das nicht, dass man gar keine Ahnung mehr zu haben braucht. Du wirst dich schon mit den Grundlagen auseinandersetzen müssen, um dein Netzwerksetup zu verstehen und die Konfiguration entsprechend anzupassen. Die richtigen Eingaben passend zu deinen Randbedingungen musst du auch bei den Assistenten vornehmen, und dann in der Folge die resultierenden Konfigurationen auch richtig anwenden. Die obenstehende Konstellation kann nur die Folge eines kompletten Missverständnisses sein. Das passt wirklich überhaupt nicht.