Wireguard Abbruch nach Provider IP-Wechsel
-
@jegr
Hi,Argl, OK LTE ist natürlich ein anderes Problem, weil der Kram ja sehr oft durch 444-NAT geschoben wird. Da ist ja eingehend keine Chance ... Urks. Die HW ist da recht unentscheidend. Es sei denn du hast Glück und ne LTE SIM die sich mit ner echten Public IP verbindet
Um es auf den Punkt zu bringen. Ich habe nun erst einmal wieder den OpenVPN-Tunnel am laufen. Nicht das mir die Geduld fehlen würde, aber es muss einen Sinn ergeben.
Am OpenWRT-Router steckt ein LTE-Stick, der ein eigenes Netz (192.168.8.0/24) aufbaut und dem OpenWRT als dessen Client, eine IP vergibt. Große Einstellungsänderungen, wie das bei Routern üblich ist, ist da natürlich Fehlanzeige.
Funktioniert alles bestens, bis auf die Tatsache, das dort LTE-seitig eine private-IP ankommt (10.xxx.xxx.xxx/???.???.???.?).
Nun habe ich auf meiner pfSense zu Hause auch noch 2 VLAN mit 10.100.xxx.x/24, 10.200.xxx.x/24, die als Routing-Netze im WG des OpenWRT eingetragen sind.
Ob das schon ein Problem darstellt und ob da die WG-IP (100.64.28.0/24) auch noch eine Rolle spielt, ich kann es nicht sagen.
Ich hatte ja den Tunnel auch schon laufen und für die dynamische Seite (DynDNS an der pfSense mal außen vor), sollte es ja eigentlich auch funktionieren.
OpenWRT hat auch für den dynamischen Wechsel der IP eine Möglichkeit der Lösung aufgezeigt.
Hier werden wohl mehrere Faktoren zusammen spielen und die Hardware ist "definitiv" an der "Kotzgrenze", denn von einem stabilen WLAN, kann z.B. schon keine Rede mehr sein.
Selbst der von mir noch getestete LinksysE4200 v2, mit 1000 MHz CPU, hat nur 128 MB RAM. Die Fritte3370 gar nur 500 MHz/128 MB.
Mit den ganzen weiteren installierten Futures, wird das in Verbindung mit LTE-WG dann wohl zum, .....könnte gehen oder auch nicht.Richtig, wichtig ist sich nicht unterkriegen lassen
Der Winter ist noch lang, da geht noch was.
Gruß orcape -
@orcape
@JeGr Ich habe das Thema Wireguard wieder neu aufgerollt, nachdem ich die OpenWRT-Fritte nebst LTE-Stick für die Kameraüberwachung mit OpenVPN wieder eingebaut habe.
Nun habe ich zu Hause den E4200 mit einem weiteren LTE-Stick stehen und einiges verändert, nachdem ich ein Tracert Richtung pfSene-WAN gemacht habe und feststellen musste, das am LTE gleich 2 x CG-NAT mit verschiedenen privaten IP 's gemacht wird.
Zum einen habe ich das Tunnelnetz (100.64.28.0/24) gegen (172.30.36.0/24) geändert und den Wireguard Standart Port 51820 ebenfalls etwas niedriger angesetzt und nun läuft es auf Anhieb.
Ich gehe mal davon aus, das der Provider entweder den Port 51820 blockt, oder es im Tunnelnetz eine Überschneidung gab.
Nun muss ich mir nur doch den Thread raussuchen, wo bei OpenWRT das leidige Problem des Tunnelabsturzes nach nach dem Ausfall des Servers gefixt wird.
Denn die 25 sec. Keep Alive, reichen wohl für die Zwangstrennung, nicht aber für einen 1/2 stündigen Stromausfall der Serverseite oder einen Neustart der pfSense.
Gruß orcape -
Ich stehe jetzt vor dem selben Problem und habe mich direkt an den Thread erinnert.
Sobald ich Zuhause eine neue IP bekomme funktioniert der Tunnel vom Android aus nicht mehr bis man ihn einmal ab und wieder anschaltet.Soweit ich das sehe gibt es keine Chance die FQDN erneut aufzulösen, meine Hoffnung das die App das selber macht wenn eine weile nichts zurück kommt hat sich leider auch nicht bestätigt.
Es könnte so einfach sein...
-
@slu said in Wireguard Abbruch nach Provider IP-Wechsel:
Soweit ich das sehe gibt es keine Chance die FQDN erneut aufzulösen, meine Hoffnung das die App das selber macht wenn eine weile nichts zurück kommt hat sich leider auch nicht bestätigt.
Hi Slu,
zur Zeit bastele ich weiter an dem Tunnel, wobei ich sagen muss, das ich das so, niemals in einem produktiven Umfeld verwenden würde. Gut, da hätte man dann wohl auch ganz andere Vorraussetzungen. PfSense Plus, feste IP 's etc..
Letztlich ist es mehr oder weniger Hobby, mit positiven Nebeneffekten und selbst verursachten Kopfschmerzen.
Erschwerend kommt bei mir hinzu, das ich beide Seiten wechselnde IP 's habe. Einerseits die pfSense (CE) mit VDSL2 50 am WAN und DynDNS-Account, die "Client"-Seite, besser der Initiator des Tunnels mit USB-LTE-Stick und lt. Traceroute gleich 2 aufeinander folgende private IP-Bereiche.
Zum anderen hatte ich gestern einen Tunnelausfall, der wohl von der pfSense selbst ausging. Ein mit 75 % voll gelaufenes /var/tmpfs, ob nun die Ursache oder nicht?
Da musste ich erst die pfSense und anschließend den OpenWRT-Router neu starten.
Nun ist wohl WG nicht umsonst als Experimental gekennzeichnet und die CE-Version ist nicht der allerneueste Schrei an Software, schließlich muss Netgate auch Geld verdienen.
Was den Neustart des Tunnel angeht, so gibt es für Linux und OpenWRT Scripte, (vielleicht auch für Android) die den Tunnel abfragen und nach längerem Ausfall ggf. neu starten. Wenn Dein Android der Initiator des Tunnels ist, sollte ein Neustart des Handy's eigentlich helfen.
Leider hat das bei mir mit dem Script nicht wirklich funktioniert. Zumindest überlebt der Tunnel jetzt einen IP-Wechsel, leider nicht, wenn ich die pfSense neu starten muss. Dann muss ich zwangsweise danach den OpenWRT-Router neu starten. Selbstständig, wie geschrieben, tut er das zumindest bei mir nicht.
Gruß orcape -
@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:
Wenn Dein Android der Initiator des Tunnels ist, sollte ein Neustart des Handy's eigentlich helfen.
Ja das geht, es reicht den Tunnel einmal zu deaktivieren und wieder zu aktivieren.
Leider habe ich keine Möglichkeit gefunden das zu automatisieren.
So schade das es hier keine Option im WireGuard gibt. -
@slu said in Wireguard Abbruch nach Provider IP-Wechsel:
So schade das es hier keine Option im WireGuard gibt.
Was ich da gefunden habe, betrifft OpenWRT...
WireGuard extras
und ein Linux-Tutorial....
automatically re-resolve DNS
Bei Android müsst da wohl etwas an der App gemacht werden.
Wenn Du das richtig stabil brauchst, wirst Du auf IPSec oder OpenVPN zurückgreifen müssen.
WG ist eine super Sache, nur eben mit dem kleinen Manko.
Gruß orcape -
@orcape
für alles was Strom/Netzteil hat nehme ich OpenVPN.Bei den Smartphones läuft WG mit fester IP auf dem Server ohne Probleme,
derzeit testen wir das mit 19 Smartphone/Tablets. -
@slu
Hi,
ich glaube das Problem gelöst zu haben.
Die pfSense zeigte mir sporadische Fälle von WG-Paketverlusten an, gefolgt vom Zusammenbruch der OpenWRT-WAN Vebindung.
Der LTE-Stick ist wohl das Problem.
Es ist halt schwierig, wenn so etwas nur sporadisch und relativ selten auftritt.
Gruß orcape -
@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:
Bei Android müsst da wohl etwas an der App gemacht werden.
Ja leider und ich finde nichts was in die Richtung geht das so eine Funktion eingebaut wird.
Normal braucht man das auch ja auch nicht...Im Moment teste ich mit dem Keepalive von 20 Sekunden auf beiden Seiten, die Theorie war wie folgt:
Mein VDSL wird alle 24h einmal getrennt, damit gibt es eine neue WAN IP. Meine Hoffnung war das die 20 Sekunden Keepalive reichen um dem Smartphone über das Keepalive einmal ein Paket zu schicken womit die neue WAN Adresse angelernt wird.Leider klappt das nicht, vielleicht teste ich mal ein Cronjob der im Zeitraum der Zwangstrennung die Smartphones 5 Minuten mit Pings alle Sekunde "flutet".
-
@slu Oder man nutzt einen HE Tunnel und hat eine feste IPv6. Oder einen externen Server. Aber schon komisch, dass die original Apps kein DNS aktualisieren...
Wobei ich vermute, dass ist kein Problem für mich. Bei mir wechselt die IP des Nachts. Außerdem wird vermutlich der Tunnel neu aufgebaut (inkl. DNS), wenn man zwischen mobilen Daten und WiFi wechselt(?) -
@slu said in Wireguard Abbruch nach Provider IP-Wechsel:
Sobald ich Zuhause eine neue IP bekomme funktioniert der Tunnel vom Android aus nicht mehr bis man ihn einmal ab und wieder anschaltet.
OK mit mobilem Gerät was eine ständig wechselnde IP hat und damit kein Tunnel in 2 Richtungen, läuft man genau in das Problem natürlich rein. Leider :/ Dauerhaft an geht da mit dynamischer IP eher nicht :( Da sind dann Lösungen wie Tailscale / Headscale und Co. definitiv angenehmer.
@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:
Oder einen externen Server. Aber schon komisch, dass die original Apps kein DNS aktualisieren...
Ist tatsächlich aber AFAIR ein Wireguard Problem und dort auch schon mehrfach adressiert worden, dass der Name/die URL in der Anwendung gecached wird und daher das Problem besteht.
Aber da sind wir wie gesagt in dem Segment, was @micneu letztes Mal in der UG angesprochen hatte mit den neuen Mesh-VPNs und Co, die sowas durch zentrale Ankerpunkte eben unterlaufen. Siehe eben Tailscale, Headscale, Tinc und Co.
-
@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:
Außerdem wird vermutlich der Tunnel neu aufgebaut (inkl. DNS), wenn man zwischen mobilen Daten und WiFi wechselt(?)
Nein genau das ist nicht der Fall:
https://www.wireguard.com/#built-in-roamingEigentlich ist das WireGuard Konzept genial und funktioniert im Büro mit fester WAN IP perfekt mit 20 Smartphones/Tablets.
Jetzt möchte ich das auch daheim haben :)
-
@jegr said in Wireguard Abbruch nach Provider IP-Wechsel:
OK mit mobilem Gerät was eine ständig wechselnde IP hat und damit kein Tunnel in 2 Richtungen, läuft man genau in das Problem natürlich rein. Leider :/ Dauerhaft an geht da mit dynamischer IP eher nicht :( Da sind dann Lösungen wie Tailscale / Headscale und Co. definitiv angenehmer.
Mal sehen, noch möchte ich nicht aufgeben.Wenn ich die Doku richtig verstehe müsste man nur einmal ein Paket von der pfSense/WAN auf das Smartphone bekommen damit die neue IP greift, nur ist diese VDSL Leitung halt 20s down.
Mein nächster Versuch ist ein cronjob Ping über 10 Minuten um die Strecke zum Smartphone aufrecht zu halten, vielleicht schafft es dann ein Paket mit der neuen WAN IP :)
-
@slu Wäre dann aber nicht Tailscale (oder headscale) schlicht einfacher? Genau dafür ist es ja da, damit es eine zentrale Control Plane gibt, die die Vermittlung machen kann und die WG Tunnel entsprechend wieder aufbauen kann :)
-
@jegr said in Wireguard Abbruch nach Provider IP-Wechsel:
Wäre dann aber nicht Tailscale (oder headscale) schlicht einfacher?
Ja das wäre einfacher, vielleicht läuft es auch darauf heraus.
Wenn es klappt bekomme ich dieses Jahr noch den Glasfaseranschluss mit keiner 24h Zwangstrennung (hoffentlich, wer weiß was denen einfällt!). Dann könnte ich auch mal mit einem ab/anschalten der WireGuard Verbindung leben.