Netzwerke, lokal und Wireguard

    Hallo Zusammen,


    ich bin (noch) nicht die hellste Kerze auf der Netzwerk-Torte, aber ich lerne gern dazu.


    Ich habe einen Wireguard Server auf meinem RS, das klappt auch gut mit PC, Laptop, Handy und Drucker (10.0.7.x)


    Aber ich habe hier zuhause auch noch einen PC, auf dem Unraid läuft, mit 4 Windows- und einer Mac-VM. (192.168.1.x)


    Zwei Probleme :


    Sobald ich den PC mit Wireguard VPN verbinde, komme ich nicht mehr zum Router 192.168.1.1 und auch nicht zum Unraid Server bei 192.168.1.10


    und wenn ich in irgendeiner VM den Wireguard Client installiere und aktiviere, gibts dort kein Internet mehr


    ich weiß dass man Netzwerke irgendwie verbinden oder bridgen kann - aber wie und wo?


    Gruß, Kris

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11

    Möchtest du denn den gesamten Traffic über deinen RS leiten oder nur den RS ansprechen können? Dann solltest du dir nämlich mal AllowedIPs angucken. Vermutlich steht da bei dir aktuell 0.0.0.0/0 drin. Das solltest du dann durch die IP deines RS ersetzen (also 10.0.7.x/32).

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Zitat von KrisAusEU

    Sobald ich den PC mit Wireguard VPN verbinde, komme ich nicht mehr zum Router 192.168.1.1 und auch nicht zum Unraid Server bei 192.168.1.10


    und wenn ich in irgendeiner VM den Wireguard Client installiere und aktiviere, gibts dort kein Internet mehr

    Welche Wireguard Clients / Befehle verwendest du denn da?

    Zitat von H6G

    Welche Wireguard Clients / Befehle verwendest du denn da?

    bisher nur Standard

    Code
    [Interface]
Address = 10.7.0.6/24, fddd:2c4:2c4:2c4::2/64
DNS = 8.8.8.8, 8.8.4.4
PrivateKey = WGaDMlBNzGTiJO+o2B//yuxxxxxx
[Peer]
PublicKey = X6CuyXKSb6N9UGFhlA1nPdamEsBw2KgjQJxxxxx
PresharedKey = hHWz64AcdEc6tLASxxFEL6JcAvw7vpxxxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 37.120.x.y:51820
PersistentKeepalive = 25

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11

    Moin,
    klingt erstmal alles gut :)
    So soll es ja funktionieren. Wenn du dich in ein VPN hängst, ist der lokale Drucker erstmal nicht mehr erreichbar.
    Das kann man natürlich anders einstellen.


    Ich verwende 192.168.0.x in meinem lokalen Netz

    und 192.168.1.x in meinem VPN netz.


    Eine Netmask von 255.255.255.0 gibt dem lokalen netz nur zugriff auf 192.168.0.1 - 192.168.0.254
    Mit der Netmask 255.255.254.0 bekommt man zugriff auf beide Netzwerke also 192.168.0.1 - 192.168.1.254

    Wenn deine Clients im VPN kein Inetrnet haben, dann ist in der Configuration was falsch.
    Da muss ich auch meinem Vorredner hier wiedersprechen; Allowdips 0.0.0.0/0 bedeutet dass alle IP's erlaubt sind. Also der Traffic nach "überall"
    Evt. musst du noch das Gateway defenieren?

    Hier mal meine Server-Config dazu;

    Server

    AllowedIPs = Ip die der Client sich "nehmen" darf. Sollte auch die IP Sein, die du dem Client gibst.


    Client

    Code
    [Interface]
PrivateKey = 
Address = 192.168.1.32/32
DNS = 1.1.1.1

[Peer]
PublicKey = Public_Key vom Server!!!
AllowedIPs = 0.0.0.0/0
Endpoint = xx.xx.xxx.xx:50505

    Hier hier AllowedIPs die IP's auf die der Client zugreifen darf. In diesem Fall, das ganze Netz.
    Natürlich noch die Pub Keys ersetzen :D
    Hve fun.

    Zitat von Homwer

    Da muss ich auch meinem Vorredner hier wiedersprechen; Allowdips 0.0.0.0/0 bedeutet dass alle IP's erlaubt sind. Also der Traffic nach "überall"

    Naja, das ist ersteinmal für die Wireguard Interne Routingtabelle - das kann man nicht mehrfach definieren.

    WireGuard nimmt unter Linux auch keinen Einfluss auf die Routingtabelle. Aus diesem Grund existiert auch dieses Programm: https://github.com/pzillmann/wireguard-dynamic-routing


    Es kann natürlich sein, dass das mitlerweile anders ist, oder generell beim Windows Client anders ist.

    Hier würde ich entsprechend die AllowedIps einmal anpassen, und nur das VPN Subnetz angeben.


    Evtl. gibt es dafür im Windows Client auch noch Optionen.

    Zitat von Homwer

    Da muss ich auch meinem Vorredner hier wiedersprechen; Allowdips 0.0.0.0/0 bedeutet dass alle IP's erlaubt sind. Also der Traffic nach "überall"

    Vielleicht habe ich mich etwas unglücklich ausgedrückt. Aber wenn ich auf meinem Client unter Peer 0.0.0.0/0 eintrage, wird der gesamte Traffic über diesen Peer geroutet. Wenn der entsprechende Peer aber kein IP-Forwarding etc. konfiguriert hat, läuft das natürlich gegen die Wand.


    Hier ein kleines Beispiel. Das ist meine lokale Konfiguration von meinem Windows-Rechner. Hier wird zu allen Servern eine Verbindung aufgebaut und nur die entsprechende IP vom jeweiligen Server an den Peer geroutet:


    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 1
    Zitat von TBT

    Auch bei dieser Gelegenheit lasse ich wieder https://www.zerotier.com/ da. Da würde das ganze schon längst und simpel laufen.

    Würde es das?Ich hasse Software, die nach der Installation nicht funktioniert .. Was hier der Fall ist. trotz Reboots, Neustarts des Service , aktivieren , deaktivieren , löschen des Netzwerkadapters.


    Nach dem Start erscheint unten rechts zwar das Icon, beim Rechtsklick darauf ist "Connect" aber grau..

    Win 11 auf Ryzen 7

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11

    Du musst ein Netzwerk auf dem Controller https://my.zerotier.com/network erstellen und dann den Client da reinjoinen und ihm dann per Haken bei "Auth?" auf der MyZT Website die Erlaubnis zum Beitritt geben. Geht reibungslos immer und überall. Wenn der Rechner noch nicht sofort in der Liste beim Netzwerk auf der Website auftaucht, Seite refreshen.


    Keine Ahnung welchen "Connect" Knopf Du meinst. Es gibt keinen.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1

    Und wie schon erwähnt, Reboots, Neustarts des Service , aktivieren , deaktivieren , löschen des Netzwerkadapters - bringt nichts ?(

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11

    Ehm. Was willst Du jetzt nutzen? Wireguard, Zerotier oder Tailscale? Sich mit einem Tailscale Client mit einem Zerotier Netzwerk zu verbinden wird eher nicht klappen…

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Traurig 1

    Ähm, nachdem ich das Brett vorm Kopf entfernt habe - natürlich Zerotier 8|


    Klappt auch erstaunlich gut und schnell. Ich habe jetzt zum Testen erstmal nur 4 Geräte verbunden.


    Eigentlich nur noch eine Frage offen, zu der ich auch kein Tutorial finde:


    Ich möchte dass der Internetverkehr über den Netcup Server läuft, damit ich halt von außerhalb bzw. die öffentliche IPv4 vom Netcup Server auf meine Clients Zugriff habe. Mein Provider Vodafone erlaubt das nicht, ich glaube das heißt Double-NAT..


    Also irgendwas mit Default-Gateway, schätze ich..


    Aber wo konfiguriere ich das? Zentral hier:


    2022-07-15_14-46.pngn

    Oder auf jedem Client?


    Und welche IP als Gateway, die logische 192.168... von Zerotier oder die physische 37.111.. von Netcup?


    Muss ich auf dem RS auch noch was anpassen?


    Sorry für so viele Fragen, aber ihr habt bestimmt auch mal klein angefangen..


    2022-07-15_14-30.png

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11

    Zitat von KrisAusEU

    Ich möchte dass der Internetverkehr über den Netcup Server läuft, damit ich halt von außerhalb bzw. die öffentliche IPv4 vom Netcup Server auf meine Clients Zugriff habe.

    Das hat doch überhaupt nichts miteinander zu tun. Du kannst doch problemlos eine Portfreigabe von außen über den Netcup Server realisieren, ohne dafür den kompletten Internetverkehr darüber leiten zu müssen. QoS mäßig ist das ja eine Horrorvorstellung.

    Du installierst ZT auf allen Geräten und hast von jedem ZT Gerät auf jedes ZT Gerät über die private IP Zugriff. Immer (wenn ZT läuft). Kein Einloggen, kein nix. Einfach nur ZT als Service laufen haben. Easy as that. Egal was da als Internetprovider davor hängt und auch ohne Standardgateway.


    Die ZT Knowledgebase ist auf https://zerotier.atlassian.net/wiki/spaces/SD/overview . Wenn Du Geräte zu Hause über ZT erreichen willst, die KEIN ZT laufen haben, musst Du im Endeffekt ein Gerät im LAN als Router definieren. Da wirst Du vermutlich auf https://zerotier.atlassian.net…/pages/7110657/Networking fündig.


    Ansonsten ist auch https://www.reddit.com/r/zerotier/ noch sehr hilfreich.


    Erklär uns doch nochmal genauer was Du willst. Evtl denkst Du da grade falsch.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    2 Mal editiert, zuletzt von TBT ()

    But WHY? Was willst Du damit erreichen? Für den Zugriff auf Geräte hinter dem Provider NAT ist das völlig unerheblich.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Ich weiß es nicht.. Bei Wireguard kann ich mir ein VPN bauen, 10.7.0.1 ist der Server bzw. Gateway.. 10.7.0.2 -x sind die Clients...


    Bei Zerotier sieht das für mich im Moment noch ziemlich durchgewürfelt und durcheinander aus... aber funktioniert ja.. ich muss mal die Dokus/Wikis durchlesen.


    Was mir auch noch sehr wichtig wäre: Kann ich auch den PC meiner fast 75-jährigen Mutter (anderer Ort, anderer Provider, ebenfalls Provider-NAT) mit meinem Zerotier-LAN verbinden, indem ich bei ihr Zerotier installiere und den Rechner zu meiner Netzwerk-ID hinzufüge? Und auch ihren Drucker (wenn es sein muss, mit einem ollen Raspi 2B und CUPS davor) ?


    Wir sehen uns nicht so oft, aber sie braucht hier und da mal Hilfe..

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Neues Spielzeug: VPS 1000 ARM G11