Ich kriege WireGuard nicht zum laufen
-
Hallo zusammen,
ich krieg es nicht hin eine einfache WireGuard Verbindung zwischen meinem pfSense und meinem Android zu konfigurieren und ich hab keinen Schimmer, wo das Problem liegt...
Hier meine aktuelle, möglichst einfache Konfiguration:
Firewall Regel sind auch konfiguriert:
Ich habe schon diverse Änderungen an Parameters ausprobiert, welche man in diversen Beispielen im Netz finden. Ich hab auch schon das WireGuard Paket deinstalliert und die Konfiguration gelöscht um neu anzufangen. Es ändert aber nix.
Ich hab auch schon das Logging für die Firewall Regeln aktiviert, aber in den Logs findet sich kein Eintrag zum Port 51820 als Destination. Ich finde nicht mal Einträge zur der IP meines Androids in den Logs.
Wenn ich aber einen Packet Capture für den Port 51820 laufen lasse, sehe ich die ankommenden Pakete von meinem Android:
Ich finde im Log auch keinerlei Einträge vom WireGuard process. Ein Ping auf mein pfSense funktioniert auch problemlos.
Ich bin ein wenig am verzweifeln und könnte einen kleinen Tip gut gebrauchen.
Gruß
m0nKeY -
@m0nKeY Bei der Peer Configuration unter Address Configuration kommt statt 0.0.0.0/0 die IP-Adresse von deinem phone rein (z.B. 10.0.200.x/32).
-
-
@m0nKeY Dann liegt es vermutlich an der Konfiguration vom WireGuard Client auf deinem Smartphone.
Vielleicht habe ich auch noch was übersehen, ist ja schließlich noch früh am Morgen.
-
@nonick Klar, kann natürlich sein, dass ich den Client falsch konfiguriert habe. Wobei, ich wirklich an die einfachsten Basis-Konfiguration gehalten habe, die ich finden konnte. Hier mal meine Config:
@nonick said in Ich kriege WireGuard nicht zum laufen:
Vielleicht habe ich auch noch was übersehen, ist ja schließlich noch früh am Morgen.
Ich bin ja froh, dass mir geholfen wird. Also erstmal danke.
-
@m0nKeY Sieht erst mal gut aus, bei Adresse würde auch 10.0.200.2/32 reichen. Vielleicht ist es ein DNS Problem, kannst du 10.0.200.1 anpingen?
-
Was sagt denn der WireGuard-Status in pfSense dazu.
-
@Bob-Dig Moin Bob.Dig auch schon wach?
@m0nKeY
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?Netgate 6100
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Moin Bob.Dig auch schon wach?
Moin.
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?
Ist wohl eher Telefonica, also o2. -
@m0nKeY Du kannst ja mal die IPv6 Adresse unter Endpunkt im Client eintragen.
[ipv6-adresse]:51820 (eckige Klammer nicht vergessen) -
@nonick said in Ich kriege WireGuard nicht zum laufen:
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?
Hast natürlich recht, war noch zu früh für mich für klugscheißen.
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY Sieht erst mal gut aus, bei Adresse würde auch 10.0.200.2/32 reichen. Vielleicht ist es ein DNS Problem, kannst du 10.0.200.1 anpingen?
Die Änderung auf 10.0.200.2/32 ändert leider auch nix, aber das war ja auch nur ein Vorschlag zur Optimierung.
Aus meinem lokalen Netzwerk kann ich 10.0.200.1 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Was sagt denn der WireGuard-Status in pfSense dazu.
Das noch nie ein Handshake durchgeführt wurde:
Ich würde mir ja gerne ausführlichere Logs von WireGuard ansehen, aber leider finde ich keine Einträge in den System Logs von pfsense.
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?Ja, das ist Vodafone, aber kein DS-Lite. Ist ein Business Vertrag mit richtigem DS. Kann auch von außerhalb die IPv4 und IPv6 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Ist wohl eher Telefonica, also o2.Die vom Android ist eine Telefonica/o2 IP.
-
@m0nKeY Ersetze mal auf beiden Seiten jede /24 durch /32. Ich muss aber raten, da auch ich keinen Fehler erkenne kann.
-
@Bob-Dig Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
-
@m0nKeY Jau, alles.
-
@Bob-Dig Ändert leider nix.
Ich würde eigentlich gerne weiter debuggen, aber ich weiß nicht wie bzw. wo.
Wie gesagt, ich sehe keine WireGuard Log-Einträge oder Ähnliches...
-
@m0nKeY Aber auf dem Client schon.
-
@Bob-Dig Ja schon, aber daraus werde ich auch leider nicht viel schlauer.
Die Log-Einträge wechseln einfach zwischen "Sending handshake initiation" und "Handshake did not complete after 5 seconds, retryring (try X)".
Aber das Verhalten ist ja zu erwarten. Genau das Packet sehe ich auch über das Paket Capture in pfSense. Danach hab ich keine Ahnung was damit passiert und ich weiß auch nicht, wie ich das rauskriegen kann.
-
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
Das Interface muss auf /24 bleiben.
"Handshake did not complete after 5 seconds, retryring (try X)"
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können oder es ist im jeweiligen Public Key ein Schreibfehler.
Netgate 6100
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können.
Hab erst diese Woche mit dem Thema angefangen, also sollte aktuell sein.
Was mich wundert ist, dass pfSense bzw. das WireGuard-Pkg die Interface Adresse nicht in das Cfg-File schreibt:
# Description: tunnel [Interface] PrivateKey = WHYDZFH/xc8nhZRkZqc8wuHiGwcLCDjHDPH2GrKi5Fo= ListenPort = 51820 # Peer: phone [Peer] PublicKey = PhbCrFCfEQryNBSd6jzjRK/gPJtQRippaFaKeFBJ4ww= AllowedIPs = 10.0.200.2/32 PersistentKeepalive = 0
