Ich kriege WireGuard nicht zum laufen
-
@nonick Klar, kann natürlich sein, dass ich den Client falsch konfiguriert habe. Wobei, ich wirklich an die einfachsten Basis-Konfiguration gehalten habe, die ich finden konnte. Hier mal meine Config:
@nonick said in Ich kriege WireGuard nicht zum laufen:
Vielleicht habe ich auch noch was übersehen, ist ja schließlich noch früh am Morgen.
Ich bin ja froh, dass mir geholfen wird. Also erstmal danke.
-
@m0nKeY Sieht erst mal gut aus, bei Adresse würde auch 10.0.200.2/32 reichen. Vielleicht ist es ein DNS Problem, kannst du 10.0.200.1 anpingen?
-
Was sagt denn der WireGuard-Status in pfSense dazu.
-
@Bob-Dig Moin Bob.Dig auch schon wach?
@m0nKeY
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?Netgate 6100
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Moin Bob.Dig auch schon wach?
Moin.
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?
Ist wohl eher Telefonica, also o2. -
@m0nKeY Du kannst ja mal die IPv6 Adresse unter Endpunkt im Client eintragen.
[ipv6-adresse]:51820 (eckige Klammer nicht vergessen) -
@nonick said in Ich kriege WireGuard nicht zum laufen:
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?
Hast natürlich recht, war noch zu früh für mich für klugscheißen.
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY Sieht erst mal gut aus, bei Adresse würde auch 10.0.200.2/32 reichen. Vielleicht ist es ein DNS Problem, kannst du 10.0.200.1 anpingen?
Die Änderung auf 10.0.200.2/32 ändert leider auch nix, aber das war ja auch nur ein Vorschlag zur Optimierung.
Aus meinem lokalen Netzwerk kann ich 10.0.200.1 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Was sagt denn der WireGuard-Status in pfSense dazu.
Das noch nie ein Handshake durchgeführt wurde:
Ich würde mir ja gerne ausführlichere Logs von WireGuard ansehen, aber leider finde ich keine Einträge in den System Logs von pfsense.
@nonick said in Ich kriege WireGuard nicht zum laufen:
@m0nKeY
Die öffentliche IPv4 Adresse scheint Vodafone zu gehören, ist das ein DS-Lite Anschluss?Ja, das ist Vodafone, aber kein DS-Lite. Ist ein Business Vertrag mit richtigem DS. Kann auch von außerhalb die IPv4 und IPv6 problemlos anpingen.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Ist wohl eher Telefonica, also o2.Die vom Android ist eine Telefonica/o2 IP.
-
@m0nKeY Ersetze mal auf beiden Seiten jede /24 durch /32. Ich muss aber raten, da auch ich keinen Fehler erkenne kann.
-
@Bob-Dig Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
-
@m0nKeY Jau, alles.
-
@Bob-Dig Ändert leider nix.
Ich würde eigentlich gerne weiter debuggen, aber ich weiß nicht wie bzw. wo.
Wie gesagt, ich sehe keine WireGuard Log-Einträge oder Ähnliches...
-
@m0nKeY Aber auf dem Client schon.
-
@Bob-Dig Ja schon, aber daraus werde ich auch leider nicht viel schlauer.
Die Log-Einträge wechseln einfach zwischen "Sending handshake initiation" und "Handshake did not complete after 5 seconds, retryring (try X)".
Aber das Verhalten ist ja zu erwarten. Genau das Packet sehe ich auch über das Paket Capture in pfSense. Danach hab ich keine Ahnung was damit passiert und ich weiß auch nicht, wie ich das rauskriegen kann.
-
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Also auch die Adresse des Interfaces von 10.0.200.1/24 auf 10.0.200.1/32 ändern?
Das Interface muss auf /24 bleiben.
"Handshake did not complete after 5 seconds, retryring (try X)"
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können oder es ist im jeweiligen Public Key ein Schreibfehler.
Netgate 6100
-
@nonick said in Ich kriege WireGuard nicht zum laufen:
Das Android ist aber ein halbwegs aktuelle Version? Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können.
Hab erst diese Woche mit dem Thema angefangen, also sollte aktuell sein.
Was mich wundert ist, dass pfSense bzw. das WireGuard-Pkg die Interface Adresse nicht in das Cfg-File schreibt:
# Description: tunnel [Interface] PrivateKey = WHYDZFH/xc8nhZRkZqc8wuHiGwcLCDjHDPH2GrKi5Fo= ListenPort = 51820 # Peer: phone [Peer] PublicKey = PhbCrFCfEQryNBSd6jzjRK/gPJtQRippaFaKeFBJ4ww= AllowedIPs = 10.0.200.2/32 PersistentKeepalive = 0 -
@nonick said in Ich kriege WireGuard nicht zum laufen:
Sieht ja so aus wie wenn die sich nicht auf einen Cipher einigen können oder es ist im jeweiligen Public Key ein Schreibfehler.
Jetzt aber, Cipher Negotiation gibt es bei WireGuard keine.
@m0nKeY said in Ich kriege WireGuard nicht zum laufen:
Was mich wundert ist, dass pfSense bzw. das WireGuard-Pkg die Interface Adresse nicht in das Cfg-File schreibt:
Das ist normal und bei mir ebenso.
Ich hab bei mir dem WireGuard Interface ein pfSense Interface zugeordnet und dieses dann mit /31 konfiguriert. Das sollte nicht nötig sein, aber kannst Du ja mal probieren. Dabei wird dann auf dem WireGuard Tab keine IP vergeben sondern nur unter Interfaces.
-
@Bob-Dig Zeig doch mal deine WAN-Regeln, aber nicht im Detail.
-
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Das ist normal und bei mir ebenso.
Ich hab bei mir dem WireGuard Interface ein pfSense Interface zugeordnet und dieses dann mit /31 konfiguriert. Das sollte nicht nötig sein, aber kannst Du ja mal probieren. Dabei wird dann auf dem WireGuard Tab keine IP vergeben sondern nur unter Interfaces.
Ok, das ist gut zu wissen. :-) Ein Interface hatte ich schon mal assigned, aber um Fehler auszuschließen, hab ich das wieder rückgängig gemacht. Probiere es nochmal, aber glaube nicht, dass das etwas ändert.
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
@Bob-Dig Zeig doch mal deine WAN-Regeln, aber nicht im Detail.
-
@Bob-Dig said in Ich kriege WireGuard nicht zum laufen:
Jetzt aber, Cipher Negotiation gibt es bei WireGuard keine.
Ja das ist richtig. Ich meinte damit das WireGuard nur moderne Kryptografiemethoden wie Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF unterstützt.
