Wireguard Site to Site keine Verbindung vom Client
-
Hallo zusammen,
ich habe eine Firewall im RZ mit der IP 192.168.200.1 (Standort A) und einen Außenstandort B mit der 192.168.190.1. Die Site to Site Verbindung funktioniert auch ohne Probleme.
Nun möchte ich gerne von meinem Client zuhause (Standort Y) über Standort A auf Außenstandort B zugreifen. Doch leider komm ich nicht bis Außenstandort B.
Client zuhause WG Client IP 10.0.20.2/32, verbindung zu Standort A 192.168.200.1 funktioniert. Standort A 192.168.200.1 -> 10.0.20.2 zu Client zuhause auch. Doch ich komm nicht zu Außenstandort B 10.0.20.1 über 192.168.200.1 zu 192.168.190.1.
Kann mir da jemand weiterhelfen?
Viele Grüße
Quickmo
-
@quickmo said in Wireguard Site to Site keine Verbindung vom Client:
Kann mir da jemand weiterhelfen?
Konkret nicht. Kann mehrere Ursachen haben.
- z.B. fehlende Outbound-NAT-Rule oder
- fehlender Eintrag des Netzes an Standort B in der Wiregurad Config auf dem Client (Standort Y) der muss das Netz ja auch kennen.
-
NAT steht auf Hybrid.
Der Eintrag des Netzes vom Standort B ist im Client Standort Y gemacht.
-
@quickmo
Und die Rückroute?
WG Client IP 10.0.20.2/32 ist die auch im Netz B bekannt und kann geroutet werden? -
Vom Netz B bekomm ich leider keine Antwort auf meinen WG Client 10.0.20.2/32
Netz A Wireguard 10.0.20.1
Netz B Wiregaurd 10.0.20.5
Client Verbindung zu Netz A 10.0.20.2PING 10.0.20.2 (10.0.20.2) from 10.0.20.5: 56 data bytes
92 bytes from 127.0.0.1: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 2354 0 0000 40 01 1b4f 10.0.20.5 10.0.20.292 bytes from 127.0.0.1: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 655a 0 0000 40 01 d948 10.0.20.5 10.0.20.292 bytes from 127.0.0.1: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 83f1 0 0000 40 01 bab1 10.0.20.5 10.0.20.2 -
@quickmo said in Wireguard Site to Site keine Verbindung vom Client:
Netz A Wireguard 10.0.20.1
Netz B Wiregaurd 10.0.20.5
Client Verbindung zu Netz A 10.0.20.2Verstehe ich das richtig?
In deiner Konfiguration nutzt du nur einen Wiregurad-Tunnel, sowohl für die Netz-zu Netz-Verbindung von Standort A zu Standort B wie auch für den Client (Standort Y)?Dann würdest du einen gänzlich anderen Ansatz nutzen als ich ihn gewählt habe. Ich habe zwei Tunnel. Einen für die Netz-zu Netz-Verbindung und einen weiteren für die Client-zu Netz-Verbindung.
Nachtrag: mach doch statt des Pings mal einen traceroute. Dann sieht man bis wohin der Client kommt.
-
Ja genau, die Site to Site und Client to Site über einen Wireguard Tunnel laufen.
Mit einem tracert von meinem Client komme ich nur bis Standort A, danach ist Timeout.
Nachtrag:
tracert 192.168.190.1
Routenverfolgung zu 192.168.190.1 über maximal 30 Hops
1 <1 ms <1 ms <1 ms unifi.localdomain [192.168.2.1]
2 42 ms 26 ms 29 ms 10.0.20.1
3 * * -
@quickmo said in Wireguard Site to Site keine Verbindung vom Client:
1 <1 ms <1 ms <1 ms unifi.localdomain [192.168.2.1]
2 42 ms 26 ms 29 ms 10.0.20.1
3 * *Die Route wäre die IP des Clients, der dann im Wireguard-Tunnel selbst die 10.0.20.2/32 erhält, dann noch den 10.0.20.1/32 erreichen (Standort A) kann.
Kann der Client dann noch den 10.0.20.5/32 anpingen?
Das 10.0.20.0 selbst ist aber ein /24?