Wireguard VPN mit runfalk/synology-wireguard

oschmidt

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
92
Punkte für Reaktionen
31
Punkte
68
Moin zusammen,

ich bräuchte mal etwas Hilfe.
Aktuell verwende ich wireguard per VMM mit einer Debian Installation jedoch würde ich das ganze gerne direkt über die DSM laufen lassen und hatte mir bereits das package von runfalk kompiliert und installiert.

Meine wg0.conf sieht wie folgt aus:
Code:
[Interface]
Address = 192.168.1.1/24
ListenPort = 51821
PrivateKey = XX
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ovs_eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ovs_eth0 -j MASQUERADE

[Peer]
PublicKey = XXX=
PresharedKey = XXX=
AllowedIPs = 192.168.1.2/32

IP-Forward ist aktiviert:
Code:
me@DSM:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Code:
me@DSM:~$ ip route
default via 192.168.178.1 dev ovs_eth1  src 192.168.178.199
172.17.0.0/16 dev docker0  proto kernel  scope link  src 172.17.0.1
172.18.0.0/16 dev docker-cccad62a  proto kernel  scope link  src 172.18.0.1 linkdown
172.19.0.0/16 dev docker-9793ae77  proto kernel  scope link  src 172.19.0.1 linkdown
172.20.0.0/16 dev docker-1d17070c  proto kernel  scope link  src 172.20.0.1 linkdown
172.22.0.0/16 dev docker-a7c3db18  proto kernel  scope link  src 172.22.0.1
172.26.0.0/16 dev docker-a3b3d716  proto kernel  scope link  src 172.26.0.1
192.168.1.0/24 dev wg0  proto kernel  scope link  src 192.168.1.1
192.168.178.0/24 dev ovs_eth0  proto kernel  scope link  src 192.168.178.100
192.168.178.0/24 dev ovs_eth1  proto kernel  scope link  src 192.168.178.199

Ich kann sehe das ein handshake eingeht
Code:
me@DSM:~$ sudo tcpdump -i eth0 port 51821
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:39:25.853282 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:31.083483 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:36.388019 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:41.460346 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148

jedoch baut der Client keine Verbindung zum Server auf. Übersehe ich irgendwas grundlegendes bei der DSM/Einstellungen? In der Debian VM lief es auf anhieb problemlos.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Unter

[Interface]
Address = 192.168.1.1/24

Sollte die IP deines wireguard server stehen ohne /24. Also 10.10.10.1 oder was auch immer dein wireguard IP range ist.
 

oschmidt

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
92
Punkte für Reaktionen
31
Punkte
68
Wirklich? Überall wird die Präfixlänge mit angegeben und die Angabe verwende ich auch so in der Debian VM.
Hab es testweise weggelassen jedoch kommt trotzdem kein handshake zustande.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Woher kommt dieser IP Range 192.168.1.1/24? Ist das dein normaler Adressbereich in Deinem LAN oder der des VPN? Bei mir sieht es z.B. so aus, wobei mein LAN IP range 10.0.2.0/24 ist und der von Wireguard 10.10.10.0/24. 10.10.10.1 ist die IP des "Wireguard Servers", 10.10.10.x die der clients.
Code:
[Interface]
Address = 10.10.10.1
ListenPort = 51820
PrivateKey = xxxxxxxxxxxxx
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth1 -j MASQUERADE
 

oschmidt

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
92
Punkte für Reaktionen
31
Punkte
68
Hm.....
Ich glaub das Package "hing" einfach.
Habe seit Freitag eig. nichts verändert außer das ich die NAS einmal neu gestartet habe und siehe da gestern lief alles auf anhieb.
Trotzdem danke für deine Hilfe :)
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Hallo,
ich nutze Wireguard zwischen 2 Router aber das hier klingt auch spannend für geräte die nicht hinter einem "gescheiten" Router stehen.
Könntest du hier ein paar mehr Infos hinterlassen wie und auf welchem Gerät du Wireguard für die DS kompiliert hast?
 

oschmidt

Benutzer
Mitglied seit
17. Sep 2020
Beiträge
92
Punkte für Reaktionen
31
Punkte
68
  • Like
Reaktionen: tschortsch

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Danke!
 

giss69

Benutzer
Mitglied seit
10. Nov 2017
Beiträge
50
Punkte für Reaktionen
2
Punkte
8
Hallo,

ich kann über Wireguard nur auf Local Netzwerk zugreifen, kein Internet via Browser und ping geht auch nicht durch. An Pihole kann ich aber sehen, dass die Anfragen kommen und werden korrekt bearbeitet.
Forwarding ist auch aktiv (net.ipv4.ip_forward = 1). Woran kann es noch liegen?

Danke!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat