Wireguard Abbruch nach Provider IP-Wechsel

orcape

@slu said in Wireguard Abbruch nach Provider IP-Wechsel:

So schade das es hier keine Option im WireGuard gibt.

Was ich da gefunden habe, betrifft OpenWRT...
WireGuard extras
und ein Linux-Tutorial....
automatically re-resolve DNS
Bei Android müsst da wohl etwas an der App gemacht werden.
Wenn Du das richtig stabil brauchst, wirst Du auf IPSec oder OpenVPN zurückgreifen müssen.
WG ist eine super Sache, nur eben mit dem kleinen Manko.
Gruß orcape

slu

@orcape
für alles was Strom/Netzteil hat nehme ich OpenVPN.

Bei den Smartphones läuft WG mit fester IP auf dem Server ohne Probleme,
derzeit testen wir das mit 19 Smartphone/Tablets.

orcape

@slu
Hi,
ich glaube das Problem gelöst zu haben.
Die pfSense zeigte mir sporadische Fälle von WG-Paketverlusten an, gefolgt vom Zusammenbruch der OpenWRT-WAN Vebindung.
Der LTE-Stick ist wohl das Problem.
Es ist halt schwierig, wenn so etwas nur sporadisch und relativ selten auftritt.
Gruß orcape

slu

@orcape said in Wireguard Abbruch nach Provider IP-Wechsel:

Bei Android müsst da wohl etwas an der App gemacht werden.

Ja leider und ich finde nichts was in die Richtung geht das so eine Funktion eingebaut wird.
Normal braucht man das auch ja auch nicht...

Im Moment teste ich mit dem Keepalive von 20 Sekunden auf beiden Seiten, die Theorie war wie folgt:
Mein VDSL wird alle 24h einmal getrennt, damit gibt es eine neue WAN IP. Meine Hoffnung war das die 20 Sekunden Keepalive reichen um dem Smartphone über das Keepalive einmal ein Paket zu schicken womit die neue WAN Adresse angelernt wird.

Leider klappt das nicht, vielleicht teste ich mal ein Cronjob der im Zeitraum der Zwangstrennung die Smartphones 5 Minuten mit Pings alle Sekunde "flutet".

Bob.Dig

@slu Oder man nutzt einen HE Tunnel und hat eine feste IPv6. Oder einen externen Server. Aber schon komisch, dass die original Apps kein DNS aktualisieren...
Wobei ich vermute, dass ist kein Problem für mich. Bei mir wechselt die IP des Nachts. Außerdem wird vermutlich der Tunnel neu aufgebaut (inkl. DNS), wenn man zwischen mobilen Daten und WiFi wechselt(?)

JeGr

@slu said in Wireguard Abbruch nach Provider IP-Wechsel:

Sobald ich Zuhause eine neue IP bekomme funktioniert der Tunnel vom Android aus nicht mehr bis man ihn einmal ab und wieder anschaltet.

OK mit mobilem Gerät was eine ständig wechselnde IP hat und damit kein Tunnel in 2 Richtungen, läuft man genau in das Problem natürlich rein. Leider :/ Dauerhaft an geht da mit dynamischer IP eher nicht :( Da sind dann Lösungen wie Tailscale / Headscale und Co. definitiv angenehmer.

@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:

Oder einen externen Server. Aber schon komisch, dass die original Apps kein DNS aktualisieren...

Ist tatsächlich aber AFAIR ein Wireguard Problem und dort auch schon mehrfach adressiert worden, dass der Name/die URL in der Anwendung gecached wird und daher das Problem besteht.

Aber da sind wir wie gesagt in dem Segment, was @micneu letztes Mal in der UG angesprochen hatte mit den neuen Mesh-VPNs und Co, die sowas durch zentrale Ankerpunkte eben unterlaufen. Siehe eben Tailscale, Headscale, Tinc und Co.

slu

@bob-dig said in Wireguard Abbruch nach Provider IP-Wechsel:

Außerdem wird vermutlich der Tunnel neu aufgebaut (inkl. DNS), wenn man zwischen mobilen Daten und WiFi wechselt(?)

Nein genau das ist nicht der Fall:
https://www.wireguard.com/#built-in-roaming

Eigentlich ist das WireGuard Konzept genial und funktioniert im Büro mit fester WAN IP perfekt mit 20 Smartphones/Tablets.

Jetzt möchte ich das auch daheim haben :)

slu

@jegr said in Wireguard Abbruch nach Provider IP-Wechsel:

OK mit mobilem Gerät was eine ständig wechselnde IP hat und damit kein Tunnel in 2 Richtungen, läuft man genau in das Problem natürlich rein. Leider :/ Dauerhaft an geht da mit dynamischer IP eher nicht :( Da sind dann Lösungen wie Tailscale / Headscale und Co. definitiv angenehmer.
Mal sehen, noch möchte ich nicht aufgeben.

Wenn ich die Doku richtig verstehe müsste man nur einmal ein Paket von der pfSense/WAN auf das Smartphone bekommen damit die neue IP greift, nur ist diese VDSL Leitung halt 20s down.

Mein nächster Versuch ist ein cronjob Ping über 10 Minuten um die Strecke zum Smartphone aufrecht zu halten, vielleicht schafft es dann ein Paket mit der neuen WAN IP :)

JeGr

@slu Wäre dann aber nicht Tailscale (oder headscale) schlicht einfacher? Genau dafür ist es ja da, damit es eine zentrale Control Plane gibt, die die Vermittlung machen kann und die WG Tunnel entsprechend wieder aufbauen kann :)

slu

@jegr said in Wireguard Abbruch nach Provider IP-Wechsel:

Wäre dann aber nicht Tailscale (oder headscale) schlicht einfacher?

Ja das wäre einfacher, vielleicht läuft es auch darauf heraus.

Wenn es klappt bekomme ich dieses Jahr noch den Glasfaseranschluss mit keiner 24h Zwangstrennung (hoffentlich, wer weiß was denen einfällt!). Dann könnte ich auch mal mit einem ab/anschalten der WireGuard Verbindung leben.