Wireguard Abbruch nach Provider IP-Wechsel
-
@orcape um dir besser helfen zu können bitte beachte mal das:
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1- bitte zu beiden seiten des vpn´s auch einen grafischen netzwerkplan
-
@micneu
Sorry,
für Ziel führende Hilfe ein biss 'l wenig. Asche auf mein Haupt.
Zu Hause,
direkt an einem 1&1 DSL50 Anschluß mit wechselnder IP und DynDNS-Account, die pfSense 2.6.0 CE macht die Einwahl über pppoE.- pfSense fungiert als Wireguard-Server
Remote, eine 3370-Fritzbox mit OpenWRT, kommt über LTE-Stick ins Internet.
- die Fritte fungiert als Wireguard-Client
Der Wireguard-Tunnel funktioniert tadellos, bis die Zwangstrennung kommt.
Gruß orcape -
@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:
Zu Hause,
direkt an einem 1&1 DSL50 Anschluß mit wechselnder IP und DynDNS-Account, die pfSense 2.6.0 CE macht die Einwahl über pppoE.- pfSense fungiert als Wireguard-Server
Läuft den der Wireguard Dienst (das ist mir noch nicht klar)?
Es kann schon sein das dein Client noch Pakete an die alte IP schickt:
https://www.wireguard.com/#built-in-roaming -
Läuft den der Wireguard Dienst (das ist mir noch nicht klar)?
So wie ich das heute morgen mitbekommen habe, ist der Tunnel ab genau dem Zeitpunkt down gewesen, an dem die Zwangstrennung war.
Es kann schon sein das dein Client noch Pakete an die alte IP schickt:
Das wird wohl so sein, denn eigentlich sollte der Client dann ja die Initiierung machen und da der Wireguard wohl nur bei Neustart die DynDNS-Adresse zuordnet, sollte das wohl ein Problem bei Client sein. Das Problem ist wohl bekannt, nur weiß ich nicht, wie ich das lösen kann. Natürlich kann man da eine feste IP beim Provider bekommen, aber für private Zwecke portiere ich doch lieber zurück auf OpenVPN.
Ich hatte das in den Griff bekommen, als ich den OpenWRT-Router über den noch existierenden OpenVPN Tunnel resettet habe.
Nur vertragen sich beide Tunnel nicht wirklich, so das ich den OpenVPN sofort wieder abschalten muss.
Gruß orcape -
@orcape Hast Du denn das persistent-keepalive aktiviert? Wenn nicht, anmachen. Komisch ist auch, dass sich die IP bei dir daheim ändert und Du dann WireGuard neustartest, was angeblich helfen soll. Dabei ist es WG als Server doch vollkommen egal, ob sich die eigene IP geändert hat.
Zeig doch mal deine NAT und Firewall Regeln... -
@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:
Komisch ist auch, dass sich die IP bei dir daheim ändert und Du dann WireGuard neustartest, was angeblich helfen soll.
Da ich den OpenVPN-Tunnel auf der pfSense noch eingerichtet habe, musste ich den Wireguard-Server erst abschalten um auf den remoten Router zu kommen und diesen zu resetten. Da spielt sonst das Routing nicht mit.
Die remote Seite befindet sich in einem Wochendhaus und da ist derzeit keiner, der den Client neu starten kann.
Fakt ist wohl, das Wireguard mit DynDNS so seine Probleme hat und beim IP-Wechsel versagen kann. Die Ursache ist wohl dabei, das die DynDNS-Adresse nur beim hochfahren der Wireguard Einstellungen des Clients neu eingelesen wird und genau das führt dazu, das die alte IP weiter benutzt wird.
Somit bricht der Tunnel ab, bis der Router entweder resettet wird oder vom Netz getrennt.
Sollte also die Lösung ein Script oder ein Cron basierender Neustart sein und nicht, wie ich vermutete, ein Cron-Job auf der pfSense, sondern auf dem OPenWRT-Router.
Gruß orcape -
@orcape Also hier mit der Plus läuft es grundsätzlich. Mein Eindruck ist nur, dass wenn man ohne Keep Alive arbeitet, dass ein Wiederaufbau eines Tunnels für manche Anwendung etwas zu lange dauern kann.
-
Also hier mit der Plus läuft es grundsätzlich.
Kann gut sein. Das Problem mit der Zwangstrennung ist aber bekannt, ob und wann das in der Wireguard Config gelöst wird, keine Ahnung.
Die Keep Alive war auf 15 gesetzt.
Ich werde das mit dem Cron Job mal ins Auge fassen.
Notfalls funktioniert erst einmal OpenVPN problemlos.
Gruß orcape -
Wie lange ist auf Client Seite die TTL vom DynDNS Eintrag?
-
@orcape Wie gesagt, wenn wäre es ein Problem auf der Client Side, also bei OpenWRT. Den Server interessiert es nicht.
Edit: Gerade mal getestet gegen WG für Android. In der Fritte neu verbunden, dann gewartet bis die entsprechenden E-Mail-Benachrichtungen dazu bei mir eingingen. Davor auf dem Smartphone WiFi aus und WG Client gestartet. Ergebnis, auch nach dem IP-Wechsel und DDNS nach Hause steht die Verbindung.
Was bei mir aber nicht wirklich funktioniert ist der IPv6-Wechsel, damit hat die Sense so ihre Probleme. WG und DDNS laufen bei mir aber über IPv4. -
@orcape
es wäre schon mal interessant ein tcpdump laufen zu lassen, wie @Bob-Dig schon schreibt hört sich das nach einem Client Problem an.Allerdings weiß ich auch nicht was der WG Client macht wenn keine Paket Antwort kommt,
evtl. aller paar Sekunden eine neue FQDN IP Auflösung?
Darüber habe ich mir noch gar keine Gedanken gemacht, ist aber ein guter Punkt.Wir setzen WG nur auf Smartphones ein, es ist halt super für Roaming (Wifi+LTE) und vor allem für den Akku verbraucht.
Alles was Strom hat bekommt OpenVPN ;)
-
@nocling said in Wireguard Abbruch nach Provider IP-Wechsel:
Wie lange ist auf Client Seite die TTL vom DynDNS Eintrag?
Da gibt es keinen TTL-Eintrag dafür, zumindest im GUI des OpenWRT nicht. Nur den KeepAlive und den habe ich auf 5 eingestellt. Wie mir dunkel in Erinnerung ist, hat es mit der TTL auch nur etwas auf sich, wenn das über mehrere Router läuft und das ist hier nicht der Fall.
@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:
Edit: Gerade mal getestet gegen WG für Android. In der Fritte neu verbunden, dann gewartet bis die entsprechenden E-Mail-Benachrichtungen dazu bei mir eingingen. Davor auf dem Smartphone WiFi aus und WG Client gestartet. Ergebnis, auch nach dem IP-Wechsel und DDNS nach Hause steht die Verbindung.
Was bei mir aber nicht wirklich funktioniert ist der IPv6-Wechsel, damit hat die Sense so ihre Probleme. WG und DDNS laufen bei mir aber über IPv4.Ich kenne Dein Netzwerk nicht, aber wenn bei Dir eine Fritzbox im Spiel ist, da läuft Wireguard über den My Fritz-Account. Das solltest Du auch mit meiner Konfiguration keinesfalls vergleichen können. Oder habe ich da was falsch verstanden.
Gruß orcape -
@orcape Sry, Fritte ist vor der Sense, aber WG ist nur auf der Sense am Laufen, nicht auf der Fritte.
-
@slu said in Wireguard Abbruch nach Provider IP-Wechsel:
Allerdings weiß ich auch nicht was der WG Client macht wenn keine Paket Antwort kommt,
evtl. aller paar Sekunden eine neue FQDN IP Auflösung?Genau das ist das Problem bei Wireguard, gegenüber OpenVPN. Eine FQDN IP Auflösung findet nur beim Start von WG statt. Bricht die Verbindung weg, weil der Server ausfällt, (hier wegen anderer IPv4) findet der Client den Server nicht mehr.
Sprich, man muss WG nach einem Abbruch der Verbindung davon überzeugen, die für Ihn "remote IP" per DynDNS-Eintrag wiederzufinden.
Und genau dafür brauche ich wohl eine Lösung.
Gruß orcape -
@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:
Sry, Fritte ist vor der Sense, aber WG ist nur auf der Sense am Laufen, nicht auf der Fritte.
Doppeltes NAT und die Fritte mach DynDNS?
-
@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:
Genau das ist das Problem bei Wireguard, gegenüber OpenVPN. Eine FQDN IP Auflösung findet nur beim Start von WG statt.
Wie gesagt, Du liegst falsch, hab es doch gerade getestet gehabt. WG hat da kein Problem! WG als Server interessiert auch seine Adresse oder DDNS Adresse nicht, warum sollte es auch......
Doppeltes NAT und die Fritte mach DynDNS?
Korrekt, wobei beide machen bei mir DynDNS, wer zuerst kommt, malt zu erst.
-
@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:
Genau das ist das Problem bei Wireguard, gegenüber OpenVPN. Eine FQDN IP Auflösung findet nur beim Start von WG statt. Bricht die Verbindung weg, weil der Server ausfällt, (hier wegen anderer IPv4) findet der Client den Server nicht mehr.
Sprich, man muss WG nach einem Abbruch der Verbindung davon überzeugen, die für Ihn "remote IP" per DynDNS-Eintrag wiederzufinden.
Und genau dafür brauche ich wohl eine Lösung.Aber dann wäre doch dein Client das Problem, nicht der Server.
-
@slu said in Wireguard Abbruch nach Provider IP-Wechsel:
Aber dann wäre doch dein Client das Problem, nicht der Server.
Der Überzeugung bin ich nun auch. Ich hätte das zu Hause, über einen IP-Wechsel des Providers hinaus, erst einmal länger probieren sollen, bevor ich das remote einbaue.
Hätte mir einiges an Stress erspaart.
Gruß orcape -
@orcape Also Keep Alive in OpenWRT einrichten, wenn noch nicht geschehen.
Außerdem kannst Du auch WG und OpenVPN simultan benutzen, zumindest für den reinen Zugriff auf die Router. Ich wüsste zumindest nicht, was dagegen spräche.
-
@orcape
Es gibt dafür Linux ein schönes Tutorial.
Leider kann man das wohl beim OpenWRT-OS nicht so ohne weiteres anwenden.
Automatically re-resolve DNS in Wireguard
Nicht das mir Linux fremd wäre, aber das geht schon mit "opkg" und dem fehleden "systemd" los.
OpenWRT kommt zwar in meiner Variante schon mit einem 5.4 er Kernel daher, ist aber sonst gegenüber meinem Debian Systemen schon ein wenig "archquiert", so da ich hier wohl erst noch so einiges nachlesen muss, um nicht zu viel Schaden zu machen.
Gruß orcape
