URL: https://www.overclockers.at/netzwerktechnik/wireguard-openwrt_261301/page_1 - zur Vollversion wechseln!
Ich spiel mich grad mit meinem x86 Router in Bezug auf Wireguard Tunnel
Tailscale konnte ich auf OpenWrt installieren und läuft, auch wenn es nicht 'offiziell' supported ist.
Ich seh allerdings, dass es verhältnismäßig viel RAM und CPU-cycles verbraucht => kommuniziert wohl ständig mit den Beacon Servern.
Via Tailscale (was ja auch auf Wireguard basiert) habe ich getestet vom NAS zu Hause einen SMB Share von zu mounten bzw. über die NAS UI Videofiles zu kopieren =>war leider viel zu langsam.
Ich würde jetzt gerne testen, ob eine vanilla Wireguard Verbindung da flotter wäre, da ich mit der x86 Router Hardware locker meine 50 Mbit Upload erreichen sollte.
Folgendes habe ich gemacht:
wg0 (Wireguard Interface erstellt)
Dort definierten listening Port forwarded
Key erstellt und korrekt eingespielt auf Peer/Client
Peer/Client entsprechend konfiguriert
Firewall Zone für wg0 erstellt/konfiguriert
Aktuell kann ich mich erfolgreich mit dem Peer/Client via Wireguard verbinden, allerdings kann ich auf kein Gerät in meinem LAN zugreifen.
Meine devices haben 192.168.0.x und ich komme mit 10.0.0.3 im Wireguard Tunnel daher...
Laut allen Anleitungen sollte die Firewall Zone/Regel so aussehen, aber damit bekomm ich keinen Zugriff auf meine devices....
What am I missing?
Wireguard interface/Keys/Client sollte ja alles soweit passen, nachdem ich die Wireguard Verbindunbg erfolgreich herstellen kann. Irgendwo hakt es aus meiner Sicht noch an den Firewall Settings, aber dazu finde ich im Netz nicht mehr, als besagte Firewall-Regel.... halp!
edit:
fyi, failscale hat auf openwrt offensichtlich ein memory leak
semi - ot, mMn. ist SMB über wan generell suboptimal weil sehr "chatty" und anfällig für latenz, also lieber irgendwas anderes auch probieren. (webdav, ftps, whatever)
mir fällt jetz adhoc zumindest kein fehler auf, hab aber wg noch nicht auf openwrt eingerichtet (nur debian, opnsense und fritz)
auf der opnsense hab ich einmal recht banal gefailed weil ich zwar endpoints korrekt konfiguriert hatte aber am ende einfach vergessen hatte den endpoint auch zu aktivieren am wg server, aber kA ob sowas passieren kann auf openwrt, außerdem glaub ich hab ich damals auch keine ip bekommen am client.
vielleicht noch die wg conf vom server und client sharen (zensiert).
Kannst du die WG-IP von dem OpenWrt pingen?
Ist OpenWRT dein Default Router im Netz?
Wieso ist das Forward auf Reject? Routing ist eigentlich Forward.
Zitat aus einem Post von erlgreysemi - ot, mMn. ist SMB über wan generell suboptimal weil sehr "chatty" und anfällig für latenz, also lieber irgendwas anderes auch probieren. (webdav, ftps, whatever)
mir fällt jetz adhoc zumindest kein fehler auf, hab aber wg noch nicht auf openwrt eingerichtet (nur debian, opnsense und fritz)
auf der opnsense hab ich einmal recht banal gefailed weil ich zwar endpoints korrekt konfiguriert hatte aber am ende einfach vergessen hatte den endpoint auch zu aktivieren am wg server, aber kA ob sowas passieren kann auf openwrt, außerdem glaub ich hab ich damals auch keine ip bekommen am client.
vielleicht noch die wg conf vom server und client sharen (zensiert).
sollte wg0 ipv4 nicht 10.0.0.1/24 sein, das ist doch das interface nicht allowed ips?
ack erlgrey, ein Interface sollte keine Netzadresse haben.
Zitat aus einem Post von erlgreysollte wg0 ipv4 nicht 10.0.0.1/24 sein, das ist doch das interface nicht allowed ips?
Aus der pfSense Konfig bei einem Kunden:
Das Interface auf der FW hat 10.0.0.1/24 -> Kann aber gut sein, dass OpenWRT da anders ist
Die Peers sind am Server als 10.0.0.x/32 eingetragen
Beispiel Peer Config
Code:[Interface] PrivateKey =xxx ListenPort = xxx Address = 10.0.175.3/24 DNS = 10.0.175.1 [Peer] PublicKey = xxx PresharedKey = xxx AllowedIPs = 10.0.175.1/32, 10.0.175.0/24, 192.168.0.0/24, 10.0.5.0/24 Endpoint = staticip:xxx
nein, ich meinte die interface adresse von wg0 auf zb. 10.0.0.1/24 ändern. (allowed Ips bei der peer config kannst so lassen)
Zitat aus einem Post von hynkekommst einen Handshake zusammen? Solang nicht zumindest das klappt hast ein Problem in der Config oder einen Murks in den Keys.
Hast du in der Peer Config wirklich keinen Private Key?
.0 solltest als interface imo nie, oder fast nie, nutzen. nur wenn das netzwerk deutlich größer ist und dann wieder .0er in den nutzbaren bereich fallen, aber ich kann mir nicht vorstellen dass dein setup irgendwie happy damit sein kann wenn du das als interface einstellst..
muss aber zugeben, probiert hab ichs auch nie.
Zitat aus einem Post von TOMIch bin auch noch am Überlegen ob ich mir Zerotier statt Tailscale anschauen soll. Wenn die Verbindungsgeschwindigkeit gleich ist zwischen Vanilla Wireguard und solch einem Anbieter mit netter Übersicht, würde ich aus usability Gründen das aktuell fast vorziehen. Einzigen Nachteil den ich sehe ist, dass die Provider (Tailscale, Zerotier) wohl interne Netze abscannen und nach Hause schicken könnten... Zugriff sollten sie laut meinem Verständnis aber nicht bekommen können.
Bist du sicher, dass du einen handshake laut dem Client hast?
Aber ja, was erl sagt wird eben das Problem sein. Das Interface sollte .1 und nicht .0 sein, außer openWRT will die Schreibweise und vergibt dann die .1 selbstständig. Kann ich mir aber nicht vorstellen.
Zitat aus einem Post von hynkBist du sicher, dass du einen handshake laut dem Client hast?
Zitat aus einem Post von erlgreynein, ich meinte die interface adresse von wg0 auf zb. 10.0.0.1/24 ändern. (allowed Ips bei der peer config kannst so lassen)
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024