Ich kriege WireGuard nicht zum laufen
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?
Hast natürlich recht, war noch zu früh für mich für klugscheißen.
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY Sieht erst mal gut aus, bei Adresse würde auch 10.0.200.2/32 reichen. Vielleicht ist es ein DNS Problem, kannst du 10.0.200.1 anpingen?
Die Änderung auf 10.0.200.2/32 ändert leider auch nix, aber das war ja auch nur ein Vorschlag zur Optimierung.
Aus meinem lokalen Netzwerk kann ich 10.0.200.1 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Was sagt denn der WireGuard-Status in pfSense dazu.
Das noch nie ein Handshake durchgeführt wurde:
Ich würde mir ja gerne ausführlichere Logs von WireGuard ansehen, aber leider finde ich keine Einträge in den System Logs von pfsense.
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?Ja, das ist Vodafone, aber kein DS-Lite. Ist ein Business Vertrag mit richtigem DS. Kann auch von außerhalb die IPv4 und IPv6 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Ist wohl eher Telefonica, also o2.Die vom Android ist eine Telefonica/o2 IP.
-
@m0nKeY Ersetze mal auf beiden Seiten jede /24 durch /32. Ich muss aber raten, da auch ich keinen Fehler erkenne kann.
-
@Bob-Dig Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
-
@m0nKeY Jau, alles.
-
@Bob-Dig Ändert leider nix.
Ich würde eigentlich gerne weiter debuggen, aber ich weiß nicht wie bzw. wo.
Wie gesagt, ich sehe keine WireGuard Log-Einträge oder Ähnliches...
-
@m0nKeY Aber auf dem Client schon.
-
@Bob-Dig Ja schon, aber daraus werde ich auch leider nicht viel schlauer.
Die Log-Einträge wechseln einfach zwischen "Sending handshake initiation" und "Handshake did not complete after 5 seconds, retryring (try X)".
Aber das Verhalten ist ja zu erwarten. Genau das Packet sehe ich auch über das Paket Capture in pfSense. Danach hab ich keine Ahnung was damit passiert und ich weiß auch nicht, wie ich das rauskriegen kann.
-
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
Das Interface muss auf /24 bleiben.
"Handshake did not complete after 5 seconds, retryring (try X)"
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können oder es ist im jeweiligen Public Key ein Schreibfehler.
Netgate 6100
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können.
Hab erst diese Woche mit dem Thema angefangen, also sollte aktuell sein.
Was mich wundert ist, dass pfSense bzw. das WireGuard-Pkg die Interface Adresse nicht in das Cfg-File schreibt:
# Description: tunnel [Interface] PrivateKey = WHYDZFH/xc8nhZRkZqc8wuHiGwcLCDjHDPH2GrKi5Fo= ListenPort = 51820 # Peer: phone [Peer] PublicKey = PhbCrFCfEQryNBSd6jzjRK/gPJtQRippaFaKeFBJ4ww= AllowedIPs = 10.0.200.2/32 PersistentKeepalive = 0 -
@nonick said in Ich kriege WireGuard nicht zum laufen:
Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können oder es ist im jeweiligen Public Key ein Schreibfehler.
Jetzt aber, Cipher Negotiation gibt es bei WireGuard keine.
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Was mich wundert ist, dass pfSense bzw. das WireGuard-Pkg die Interface Adresse nicht in das Cfg-File schreibt:
Das ist normal und bei mir ebenso.
Ich hab bei mir dem WireGuard Interface ein pfSense Interface zugeordnet und dieses dann mit /31 konfiguriert. Das sollte nicht nötig sein, aber kannst Du ja mal probieren. Dabei wird dann auf dem WireGuard Tab keine IP vergeben sondern nur unter Interfaces.
-
@Bob-Dig Zeig doch mal deine WAN-Regeln, aber nicht im Detail.
-
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Das ist normal und bei mir ebenso.
Ich hab bei mir dem WireGuard Interface ein pfSense Interface zugeordnet und dieses dann mit /31 konfiguriert. Das sollte nicht nötig sein, aber kannst Du ja mal probieren. Dabei wird dann auf dem WireGuard Tab keine IP vergeben sondern nur unter Interfaces.
Ok, das ist gut zu wissen. :-) Ein Interface hatte ich schon mal assigned, aber um Fehler auszuschließen, hab ich das wieder rückgängig gemacht. Probiere es nochmal, aber glaube nicht, dass das etwas ändert.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
@Bob-Dig Zeig doch mal deine WAN-Regeln, aber nicht im Detail.
-
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Jetzt aber, Cipher Negotiation gibt es bei WireGuard keine.
Ja das ist richtig. Ich meinte damit das WireGuard nur moderne Kryptografiemethoden wie Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF unterstützt.
-
@m0nKeY Die 0/0 sind kein gutes Zeichen. Hier solltest Du etwas sehen können, wenn dein Phone denn durchkommt.
Nicht dass deine Phone-IP in eine der Blocklisten ist? Aber selbst wenn nicht, 0/0 bedeutet, das Phone kommt nicht zur Regel durch.
Ich würde diese Regel als Floating-Rule erstellen, dann kommt sie pfBlocker nicht in die Quere.
-
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY Die 0/0 sind kein gutes Zeichen. Hier solltest Du etwas sehen können, wenn dein Phone denn durchkommt.
So sehe ich das auch, aber warum kann ich das ankommende Packet im Paket Capture sehen und nicht in den Firewall-Logs sehen? Bzw. wenn es nicht bei der WireGuard-Regel ankommt, müsste es ja durch die höher priorisierten pfBlocker-Regeln abgeblockt werden, aber ich sehe zu Port 51820 überhaupt keine Einträge in den Firewall-Logs.
Nicht dass deine Phone-IP in eine der Blocklisten ist? Aber selbst wenn nicht, 0/0 bedeutet, das Phone kommt nicht zur Regel durch.
Dachte ich auch schon dran, aber warum sollte das so sein? Ein Ping wird ja auch beantwortet und die Regel steht auch unter den pfBlocker Regeln.
Ich würde diese Regel als Floating-Rule erstellen, dann kommt sie pfBlocker nicht in die Quere.
Grundsätzlich oder meinst du, das würde jetzt helfen?
-
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Dachte ich auch schon dran, aber warum sollte das so sein? Ein Ping wird ja auch beantwortet und die Regel steht auch unter den pfBlocker Regeln.
Wenn die ping vom Phone kommt und auch durchkommt, ja dann kann man die Blocklisten auch ausschließen... Puh, echt merkwürdig.
-
Leicht kann ja jeder.
P.S.: Hab mal pfBlocker-NG probeweise ausgeschaltet. Ändert aber auch nix...
Mir würde ja schon helfen, wenn ich wüsste wie ich das Problem weiter analysieren. -
@m0nKeY So sieht ein Capture von zwei Sekunden bei mir aus, ich habe eine private IP am WAN (172.16.).
-
Und Du hast direkt am WAN eine öffentliche IP-Adresse und keinen Router davor?
Ich würde alles abreißen und komplett von vorne beginnen, dabei einen anderen Port wählen...
