VPN mit Wireguard

[guckuck]

Hallo,

da ich leider von meiner Fritzbox auf einen Speedport Pro wechseln musste (Hybrid DSL), versuche ich nun, ein VPN einzurichten. Folgendes Setting:

Router: rasp4 mit Wireguard
Smartphone mit Android: VPN läuft
iPad: VPN läuft
MacBook Pro mit macos 10.14.x läuft nicht

Ich kann leider keinen Fehler finden. Die Konfiguration ist eigentlich gleich.

Interessanterweise kann ich die Ziele anpingen, also ping www.google.com und ping 192.168.2.1 funktionieren. Die jeweiligen Seiten im Browser aufzurufen, klappt dagegen nicht, bzw. nicht vollständig. Es scheint so, als würde die Antwort einfach nicht ankommen. Auf dem iPad und unter Android klappt es dagegen.

Hat jemand Ideen und Tipps damit?

Viele Grüße
Kay

wg0.conf

[Interface]
Address = 10.10.10.1/24
ListenPort = 51820
PrivateKey = [PrivateKey]
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Client1 MyPhone
[Peer]
PublicKey = GRF/Q4G9/AnulXbIfSJOIReLDOU1hTraWdeweaUo7zs=
AllowedIPs = 10.10.10.2/32

# Client2 myPad
[Peer]
PublicKey = 0T33XAmzx+bKS3zJ3KWPw67k0s7jmDuYwN0P7UedOmw=
AllowedIPs = 10.10.10.3/32

# Client3 Macbook Pro
[Peer]
PublicKey = 5eN4A2e11lOQxlBY5KIIl5OGYxBSXFpPup2RS0Ht+kI=
AllowedIPs = 10.10.10.4/32

client1.conf (Android)

#myPhone - Moto Z3 Play
[Interface]
PrivateKey = [PrivateKey MyPhone]
Address = 10.10.10.2
DNS = 192.168.2.1

[Peer]
PublicKey = bsVz1ZhJya4/yjcsQN8c5Sq705Nu4u085SFitEn1zUg=
Endpoint = DYNDNS:51820
AllowedIPs = 0.0.0.0/0, 192.168.2.0/24
PersistentKeepalive = 25

Client3.conf (Macbook Pro)

# Macbook Pro
[Interface]
PrivateKey = PrivateKey
Address = 10.10.10.4
DNS = 192.168.2.1

[Peer]
PublicKey = bsVz1ZhJya4/yjcsQN8c5Sq705Nu4u085SFitEn1zUg=
Endpoint = DYNDNS:51820
AllowedIPs = 0.0.0.0/0, 192.168.2.0/24
PersistentKeepalive = 25

 

[baremac]

Hallo Kay,

die Konfiguration sieht auf den ersten Blick ok aus.

Evtl. nochmal prüfen, ob sich beim Kopieren der jeweiligen Keys im Bereich der wg0.conf und der Client Konfiguration für das Macbook nicht ein Fehler eingeschlichen hat. Hänge das Macbook testweise an einen Hotspot und probiere dann nochmal (von extern) ob der DNS Server 192.168.2.1 erreichbar ist.

Probiere testweise über dem Tunnel vom MacBook nur Ziele im internen Netz erreichbar zu machen. Also bei "Allowed IP" nur das interne Netz angeben.

Viele Grüße
Bernd

 

[guckuck]

Hallo Bernd,

das habe ich bereits mehrfach überprüft. Außerdem habe ich zwei weitere Konfigurationen getestet, ohne Erfolg. Ich habe das Gefühl, irgendeinen Auflösung (Routing) auf meinem Raspberry Pi ist nicht korrekt. Leider stecke ich da nicht so tief drin.

Alle meine Geräte im Netzwerk liegen im Subnet 192.168.2.0/24. Der Speedport hat 192.168.2.1, der Raspberry Pi die 192.168.2.54. In dem Artikel unten steht, dass Android möglicherweise merkt, dass etwas nicht stimmt und automatisch auf das Mobilfunknetz wechselt.



Viele Grüße
Kay

 

[baremac]

Hallo Kay,

das ist Wireguard normalerweise recht egal, sprich Änderung im Transportnetz (von WLAN zu LTE, bzw umgekehrt) übersteht WG recht gut.

Teste gerne den Tunnel vom Mac und versuche erstmal nur die internen Ziele 2.54 und 2.1 zu erreichen, während das Macbook über einen externen Hotspot arbeitet. Also keine Tests im internen WLAN...

VG Bernd

 

[guckuck]

Wie gesagt, ich kann alles anpingen, aber nicht im Browser öffnen.

Zum Testen verbinde ich mit dem mobilen Hotspot meines Telefons.

Viele Grüße
Kay

 

[guckuck]

So, ich bin ein Stück weitergekommen. Zwischenzeitlich habe ich OpenVPN installiert. Auch damit hatte ich vergleichbare Probleme, was mich auf diverse Threads im Telekom-Forum gestoßen hat. Es scheint ein Problem mit der Hybrid-Verbindung zu sein, genau gesagt mit der MTU-Größe. Ich habe zumindest OpenVPN nun zum Laufen gebracht.

Leider weiß ich aktuell noch nicht, wie man die MTU-Größe in Wireguard einstellt. Die Option im Client bringt aktuell noch nichts. Ich teste weiter.

 

[guckuck]

Ok, Problem gelöst. Es lag tatsächlich an der Default-MTU-Größe. Nach Herumprobieren habe ich nun eine passende Größe für mein Setting gefunden. Der Wert muss im Client unter [INTERFACE] eingestellt werden (z. B. MTU = 1378). Nun läuft es auch unter macos in Kombination mit einem Speedport Pro (Hybrid) der Telekom.