Beiträge von shack

shack · 1. Oktober 2021

Code

root@node ~ # cat /etc/wireguard/wg0.conf 
...

Code

root@node ~ # netstat -lnp | grep 51820
...                 -

Code

❯ cat wg0-client.conf
[Interface]
...

Ich habe Deine Angaben mal als Grundlage für meine genommen und entsprechend angepasst.

Bei mir sieht es jetzt so aus:

Code

/etc/wireguard/wg0.conf

[Interface]
PrivateKey = OK***************************3w=
Address = 10.6.0.1/24, 2001:8d8:1801:81c5:dada::1/80
SaveConfig = false
MTU = 1420
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat>
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t n>
### begin papa ###
[Peer]
PublicKey = 8JmwUy9wh29EBfiZF3hjS4Au++oUws0cL+iDpIIAmlI=
PresharedKey = eP**********************************K4=
AllowedIPs = 10.6.0.2/32, 2001:8d8:1801:XXXX:dada::2/128
### end papa ###


/home/vpn/configs/papa.conf

[Interface]
PrivateKey = qD*******************nQ=
Address = 10.6.0.2/24, 2001:8d8:1801:XXXX:dada::2/128
DNS = 10.6.0.1

[Peer]
PublicKey = 46VB8q+Y2Gxa/dEbgU8xFuo10R2QGp1G1GiunLMHDG4=
PresharedKey = eP*********************K4=
Endpoint = 185.207.105.144:51820
AllowedIPs = 0.0.0.0/0, ::0/0
PersistentKeepalive = 30

Alles anzeigen

~~Und ich kann melden: auch das läuft wie geschmiert!!!~~

Ich muss korrigieren! Klappt nicht mehr, sobald ich ich wieder auf "internet.v6.telekom" umstelle.

Wenn also keine Verbindung klappt und man IPv6-Zusammenhang vermutet, dann entweder im Handy schauen, dass im APN möglichst nix von "v6" steht ~~bzw. man das ändert oder man passt seine Wireguard-Einstellungen wie oben beschrieben an~~.

Ich danke Euch allen sehr!!!

shack · 1. Oktober 2021

Zitat von michaeleifel

An UFW würde ich erst rumbasteln wenn der Rest läuft. Zumal du den Port 53 auch nicht Richtung Internet aufmachen willst.

Und auf dieses Angebot würfde ich auch gerne zurückkommen

Ich werde aber noch berichten, ob Deine Config läuft.

shack · 1. Oktober 2021

Zitat von frank_m

Benutzt du Android? Dann ruf mal die Statusinformationen auf und schau dir die Adressen an. Bei Congstar bin ich mir absolut sicher, dass es dort eine IPv4 Adresse gibt. Es sei denn, du hast im APN komische Dinge gemacht. Steht der auf "IPv6 only"?

Ich habs gerade auf meinem Handy getestet. Das zeigt z.B. bei "Wie ist meine IP" auch keine IPv4 an, trotzdem ist der Zugriff auf die IPv4 meines Wireguard Server völlig problemlos möglich. In den Statusinformationen des Geräts sieht man die IPv4 Adresse des Anbieters.

Ich werd' verückt!

Ich habe in Android über Einstellungen nach APN gesucht und dort den Eintrag "Zugangspunkte (APNs)" gefunden.

Dort war unter APN "internet.v6.telekom" eingetragen. Kurz im Internet geschaut und statt "internet.v6.telekom" jetzt "internet.telekom" eingetragen.

Code

Wir haben es anfangs schon gesagt: Keine Angst, wir nehmen euch nichts weg! Wenn ihr einen Anwendungsfall habt, der mit IPv6-only nicht funktioniert, dann stellt einfach den alten APN internet.telekom in den Einstellungen eures Gerätes ein und ihr bekommt wieder zusätzlich zur IPv6-Adresse eine private IPv4 Adresse. Wir schalten IPv4 ja nicht ab.

https://telekomhilft.telekom.de/t5/Blog/Neuer-IPv6-Zugang-zum-mobilen-Internet-im-Netz-der-Telekom/ba-p/4254741

Es läuft! jetzt alles schnell und geschmeidig wie es soll.

Aber:

Vorteil 1: ich habe einiges gelernt.

Vorteil 2: ich kann Michaels Einstellungen ausprobieren und wenn es nicht klappt, jederzeit auf eine funktionierende Lösung zurückgreifen.

1.000 Dank an Euch!

Gruß,

Shack.

shack · 30. September 2021

Zitat von hutchinger

meine Config sieht nahezu identisch aus. Einzig als Endpoint habe ich den Hostnamen statt der IP eingetragen.

Also sowas wie:

Endpoint = vpn.xxxx.de:51820

Der Name löst dann per A-Record und AAAA-Record auf die IPv4 bzw. IPv6 auf.

Alles anzeigen

Ich habe keinen Hostnamen nur die IP-Adresse meines Servers. Das ist eben die 185.207.105.144.

Und es funktioniert ja auch, aber eben nur wenn der Client eine IPv4 und keine IPv6 Adresse hat

Zitat von frank_m

Noch mal die Frage: Warum funktioniert IPv4 über Mobilfunk nicht? Ich kann mir beim besten Willen nicht vorstellen, dass es einen Mobilfunkprovider gibt, der keine IPv4 Adressen verteilt. Wer ist der Anbieter?

Wenn ich das heimische WLAN verlasse und in Mobilfunk gehe und dann meine IP-Adresse abfrage, bekomme ich eine IPv6-Adresse angezeigt.

Mein Provider ist Pennymobil (= Congstar = Telekom).

shack · 30. September 2021

Zitat von michaeleifel

Könntest du dann jetzt die derzeit aktive Konfig nach dem Reset hier posten dass wir dann den richtigen Stand analysieren?

Das ist jetzt nicht böse gemeint,

Um Gottes Willen, wie könnte das böse gemeint sein, Du versuchst mir zu helfen!

Danke für Deine Geduld mit mir

/etc/wireguard/wg0.conf

Code

[Interface]
PrivateKey = OK**********************I3w=
Address = 10.6.0.1/24
MTU = 1420
ListenPort = 51820
### begin papa ###
[Peer]
PublicKey = 8JmwUy9wh29EBfiZF3hjS4Au++oUws0cL+iDpIIAmlI=
PresharedKey = eP*******************K4=
AllowedIPs = 10.6.0.2/32
### end papa ###

Alles anzeigen

/home/vpn/configs/papa.conf

Code

[Interface]
PrivateKey = qD***************************nQ=
Address = 10.6.0.2/24
DNS = 10.6.0.1

[Peer]
PublicKey = 46VB8q+Y2Gxa/dEbgU8xFuo10R2QGp1G1GiunLMHDG4=
PresharedKey = eP***********************K4=
Endpoint = 185.207.105.144:51820
AllowedIPs = 0.0.0.0/0, ::0/0

So kommt das raus, wenn ich es über diese Anleitung einrichte:

https://blog.login.gmbh/pihole…der-cloud-fast-geschenkt/

Über WLAN geht's, über's Mobilfunknetz nicht.

shack · 30. September 2021

Aaaaaaargh...

Jetzt habe ich neu aufgesetzt und Fail2Ban wie hier

https://www.thomas-krenn.com/d…an_mit_fail2ban_absichern

und UFW

wie hier

https://www.digitalocean.com/c…th-ufw-on-ubuntu-20-04-de

beschrieben installiert.

UFW habe ich wie hier

https://strobelstefan.org/2021…r-ufw-firewall-absichern/

beschrieben eingerichtet.

Code

# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
51820                      DENY        Anywhere
80                         DENY        Anywhere
53                         ALLOW       Anywhere
51820/udp                  DENY        Anywhere
3306 on eth1               DENY        Anywhere
80 on eth0                 ALLOW       Anywhere
51820 on eth0              ALLOW       Anywhere
53 on eth0                 ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
53/tcp                     ALLOW       Anywhere
53/udp                     ALLOW       Anywhere
67/tcp                     ALLOW       Anywhere
67/udp                     ALLOW       Anywhere
5335/tcp                   ALLOW       Anywhere

Alles anzeigen

Jetzt geht gar nix mehr...

Deaktiviere ich UFW geht es zumindest wieder über WLAN.

Ich werd' verrückt.

shack · 30. September 2021

Hallo

und danke schonmal für die Antworten und Hilfen.

Mein Ziel ist es, auf dem vServer ein Wireguard-PiHole-Unbound-System einzurichten, das dann den Datenverkehr aller Samrtphones (IPv4 und IPv6) des Haushalts dauerhaft darüber laufen lässt, also DNS, Werbeblocker und Traffic.

Später will ich dann noch die FritzBox (IPv4) aus dem Haushalt darüber laufen lassen. Das ist aber noch nicht soweit, erst mal das eine.

Ich habe das System wie hier beschrieben installiert:

https://blog.login.gmbh/pihole…der-cloud-fast-geschenkt/

Fail2Ban und UFW sind soweit eingerichtet.

Code

# ufw status

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
22                         ALLOW       Anywhere
80 on eth0                 ALLOW       Anywhere
51820/udp                  ALLOW       Anywhere
53                         DENY        Anywhere
80                         DENY        Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)
80 (v6) on eth0            ALLOW       Anywhere (v6)
51820/udp (v6)             ALLOW       Anywhere (v6)
53 (v6)                    DENY        Anywhere (v6)
80 (v6)                    DENY        Anywhere (v6)


Anywhere on eth0           ALLOW FWD   10.6.0.0/24 on wg0

Alles anzeigen

Jetzt stehe ich vor dem Problem, dass ich, bin ich mit dem Handy im WLAN (IPv4) es wie erhofft funktioniert, über Mobilfunk (IPv6) aber nicht.

Ich habe daher vermutet, dass es an der IPv6 liegen könnte.

Ich hoffe, dass das zur Hilfestellung beitragen kann.

Ich verwerfe jetzt mal alle Änderungen und setze nochmal komplett neu auf, dann muss man nicht die Änderung der Änderung verbasteln sondern kann nochmal bei 0 anfangen.

shack · 29. September 2021

Hallo

und schonmal DANKE vorab.

Um nicht durcheinander zu kommen, habe ich mal alles neu aufgesetzt, das sieht jetzt aus wie folgt:

Code

# ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Code

# sudo wg
interface: wg0
public key: FhdsKWz/zzUlCoUT1Up1bmlZtpFTAE/s36UslT9RnHc=
private key: (hidden)
listening port: 51820

peer: 2DfnEl4RUMxCLtBvrxQ5fO+83ibOwC0BIh9POzQ0FRU=
preshared key: (hidden)
endpoint: 45.66.121.154:44236
allowed ips: 10.6.0.2/32, fd86:ea04:1111::2/128
latest handshake: 2 minutes, 55 seconds ago
transfer: 133.39 KiB received, 484.69 KiB sent

Alles anzeigen

Code

# cat /proc/sys/net/ipv6/conf/all/forwarding
1

Code

# sysctl -p
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Code

# nano /etc/wireguard/wg0.conf
[Interface]
PrivateKey = OD***************************Y=
Address = 10.6.0.1/24, fd86:ea04:dada::1/80
MTU = 1420
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
### begin papa ###
[Peer]
PublicKey = 2DfnEl4RUMxCLtBvrxQ5fO+83ibOwC0BIh9POzQ0FRU=
PresharedKey = xF*********************************s=
AllowedIPs = 10.6.0.2/32, fd86:ea04:1111::2/128
### end papa ###

Alles anzeigen

Code

# nano /home/vpn/configs/papa.conf
[Interface]
PrivateKey = 4J***********************o=
Address = 10.6.0.2/24
DNS = 10.6.0.1

[Peer]
PublicKey = FhdsKWz/zzUlCoUT1Up1bmlZtpFTAE/s36UslT9RnHc=
PresharedKey = xF**************************s=
Endpoint = 185.207.105.144:51820
AllowedIPs = 0.0.0.0/0, ::0/0

Alles anzeigen

Code

# ifconfig
eth0: flags=4675<UP,BROADCAST,RUNNING,ALLMULTI,MULTICAST>  mtu 1500
inet 185.207.105.144  netmask 255.255.252.0  broadcast 185.207.107.255
inet6 2a03:4000:1e:742:a85f:b7ff:fe5f:c8cc  prefixlen 64  scopeid 0x0<global>
inet6 fe80::a85f:b7ff:fe5f:c8cc  prefixlen 64  scopeid 0x20<link>
ether aa:5f:b7:5f:c8:cc  txqueuelen 1000  (Ethernet)
RX packets 28440  bytes 1803555 (1.8 MB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 448  bytes 61226 (61.2 KB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
inet 127.0.0.1  netmask 255.0.0.0
inet6 ::1  prefixlen 128  scopeid 0x10<host>
loop  txqueuelen 1000  (Local Loopback)
RX packets 134  bytes 10936 (10.9 KB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 134  bytes 10936 (10.9 KB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1420
inet 10.6.0.1  netmask 255.255.255.0  destination 10.6.0.1
inet6 fd86:ea04:dada::1  prefixlen 80  scopeid 0x0<global>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
RX packets 0  bytes 0 (0.0 B)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 0  bytes 0 (0.0 B)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Alles anzeigen

Code

# ping ipv6.google.com
PING ipv6.google.com(fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e)) 56 data bytes
64 bytes from fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e): icmp_seq=1 ttl=120 time=3.81 ms
64 bytes from fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e): icmp_seq=2 ttl=120 time=3.82 ms
64 bytes from fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e): icmp_seq=3 ttl=120 time=3.75 ms
64 bytes from fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e): icmp_seq=4 ttl=120 time=3.80 ms
64 bytes from fra24s11-in-x0e.1e100.net (2a00:1450:4001:830::200e): icmp_seq=5 ttl=120 time=3.91 ms
[...]
--- ipv6.google.com ping statistics ---
76 packets transmitted, 76 received, 0% packet loss, time 75131ms
rtt min/avg/max/mdev = 3.748/3.830/4.060/0.057 ms

Alles anzeigen

Code

# nano /etc/ndppd.conf
proxy eth0 {
timeout 500
ttl 16000
rule fd86:ea04:dada::/64 {
static
}
}

Leider bisher alles ohne Erfolg. Handy über WLAN (IPv4) geht, Handy über Mobilfunk (IPv6) nicht.

Ich hoffe, ich habe alle Deine Fragen beantworten können und nicht zu viel reinkopiert, aber ich bin einfach ziemlich unsicher, was Du brauchst.

Danke und Gruß,

Shack.

shack · 28. September 2021

Hallo,

nachdem ich nun viele Tage lang gefühlt das gesamte Internet min. 2 x gelesen und vieles ausprobiert habe, muss ich nun hier anfragen.

Ich habe einenVPS 200 G8 mit Ubuntu 20.04 LTS.

Darauf läuft Wireguard, PiHole und Unbound.

Über mein WLAN zu Hause (DSL, IPv4) läuft alles super. Es wird über Wireguard verbunden, PiHole filtert fleißig.

Sobald ich mit dem Handy vom WLAN trenne und ins Mobilfunknetz wechsle (Pennymobil = Congstar / Telekom) erhält dieses eine IPv6 und ich komme nicht mehr durch.

PiHole sagte mir bei Einrichtung:

Code

Configure your devices to use the Pi-hole as their DNS server
                                           │ using:                                                             │
                                           │                                                                    │
                                           │ IPv4:        185.207.105.144                                       │
                                           │ IPv6:        2a03:4000:1e:742:a85f:b7ff:fe5f:c8cc

Code

ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Code

sudo wg
interface: wg0
  public key: M/HRCmQAa/+0FxG7IiEJjtTa3RZV1ZDkOQYVq4wi4RE=
  private key: (hidden)
  listening port: 51820
peer: TbOlo8JlB9OYzWLoOx3fBhsZtKMvRAkj1HLJ2aJNlBk=
  preshared key: (hidden)
  endpoint: 45.66.121.154:43477
  allowed ips: 10.6.0.2/32
  latest handshake: 1 minute, 26 seconds ago
  transfer: 1.79 MiB received, 9.92 MiB sent

Alles anzeigen

Bisher probiert:

1. IP-Fowarding für IPv4 und IPv6 eingeschaltet

Code

sysctl net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

2. in /etc/sysctl.d/99-sysctl.conf

Code

net.ipv6.conf.all.forwarding=1

auskommentiert

3. in /etc/wireguard/wg0.conf folgendes vor dem Peer eingefügt:

Code

PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

4. in /etc/wireguard/wg0.confg die Allowed IPs gändert, statt:

Code

PrivateKey = IB************************Y=
Address = 10.6.0.1/24
MTU = 1420
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
### begin papa ###
[Peer]
PublicKey = TbOlo8JlB9OYzWLoOx3fBhsZtKMvRAkj1HLJ2aJNlBk=
PresharedKey = VV*********************************w=
AllowedIPs = 10.6.0.2/32
### end papa ###

Alles anzeigen

jetzt:

Code

PrivateKey = IB************************Y=
Address = 10.6.0.1/24
MTU = 1420
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
### begin papa ###
[Peer]
PublicKey = TbOlo8JlB9OYzWLoOx3fBhsZtKMvRAkj1HLJ2aJNlBk=
PresharedKey = VV*********************************w=
AllowedIPs = 0.0.0.0/0, ::0/0
### end papa ###

Alles anzeigen

Egal was ich mache, ich komme über IPv6 / Mobilfunk nicht durch.

Nach allen Änderungen wird wie folgt ausgegeben:

Code

ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT


sudo wg
interface: wg0
  public key: M/HRCmQAa/+0FxG7IiEJjtTa3RZV1ZDkOQYVq4wi4RE=
  private key: (hidden)
  listening port: 51820

peer: TbOlo8JlB9OYzWLoOx3fBhsZtKMvRAkj1HLJ2aJNlBk=
  preshared key: (hidden)
  endpoint: 45.66.121.154:42109
  allowed ips: 10.6.0.2/32
  latest handshake: 14 seconds ago
  transfer: 2.08 MiB received, 16.90 MiB sent


cat /proc/sys/net/ipv6/conf/all/forwarding
1

Alles anzeigen

meine aktuelle /etc/wireguard/wg0.conf:

Code

PrivateKey = IB************************Y=
Address = 10.6.0.1/24
MTU = 1420
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
### begin papa ###
[Peer]
PublicKey = TbOlo8JlB9OYzWLoOx3fBhsZtKMvRAkj1HLJ2aJNlBk=
PresharedKey = VV*********************************w=
AllowedIPs = 0.0.0.0/0, ::0/0
### end papa ###

Alles anzeigen

meine aktuelle/home/vpn/configs/papa.conf:

Code

[Interface]
PrivateKey = EM*******************************M=
Address = 10.6.0.2/24
DNS = 10.6.0.1

[Peer]
PublicKey = M/HRCmQAa/+0FxG7IiEJjtTa3RZV1ZDkOQYVq4wi4RE=
PresharedKey = VV**********************************w=
Endpoint = 185.207.105.144:51820
AllowedIPs = 0.0.0.0/0, ::0/0

Ich bin völlig ratlos und für Hilfe dankbar.

Gruß,

Shack.

Beiträge von shack

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6

VPS 200 G8 - Wireguard - keine Verbindung über IPv6