Wireguard VPN mit runfalk/synology-wireguard

[oschmidt]

Moin zusammen,

ich bräuchte mal etwas Hilfe.
Aktuell verwende ich wireguard per VMM mit einer Debian Installation jedoch würde ich das ganze gerne direkt über die DSM laufen lassen und hatte mir bereits das package von runfalk kompiliert und installiert.

Meine wg0.conf sieht wie folgt aus:

[Interface]
Address = 192.168.1.1/24
ListenPort = 51821
PrivateKey = XX
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ovs_eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ovs_eth0 -j MASQUERADE

[Peer]
PublicKey = XXX=
PresharedKey = XXX=
AllowedIPs = 192.168.1.2/32

IP-Forward ist aktiviert:

me@DSM:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

me@DSM:~$ ip route
default via 192.168.178.1 dev ovs_eth1  src 192.168.178.199
172.17.0.0/16 dev docker0  proto kernel  scope link  src 172.17.0.1
172.18.0.0/16 dev docker-cccad62a  proto kernel  scope link  src 172.18.0.1 linkdown
172.19.0.0/16 dev docker-9793ae77  proto kernel  scope link  src 172.19.0.1 linkdown
172.20.0.0/16 dev docker-1d17070c  proto kernel  scope link  src 172.20.0.1 linkdown
172.22.0.0/16 dev docker-a7c3db18  proto kernel  scope link  src 172.22.0.1
172.26.0.0/16 dev docker-a3b3d716  proto kernel  scope link  src 172.26.0.1
192.168.1.0/24 dev wg0  proto kernel  scope link  src 192.168.1.1
192.168.178.0/24 dev ovs_eth0  proto kernel  scope link  src 192.168.178.100
192.168.178.0/24 dev ovs_eth1  proto kernel  scope link  src 192.168.178.199

Ich kann sehe das ein handshake eingeht

me@DSM:~$ sudo tcpdump -i eth0 port 51821
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:39:25.853282 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:31.083483 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:36.388019 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148
09:39:41.460346 IP 351.dip0.t-ipconnect.de.44485 > DSM-Home.fritz.box.51821: UDP, length 148

jedoch baut der Client keine Verbindung zum Server auf. Übersehe ich irgendwas grundlegendes bei der DSM/Einstellungen? In der Debian VM lief es auf anhieb problemlos.

 

[diver68]

Unter

[Interface]
Address = 192.168.1.1/24

Sollte die IP deines wireguard server stehen ohne /24. Also 10.10.10.1 oder was auch immer dein wireguard IP range ist.

 

[oschmidt]

Wirklich? Überall wird die Präfixlänge mit angegeben und die Angabe verwende ich auch so in der Debian VM.
Hab es testweise weggelassen jedoch kommt trotzdem kein handshake zustande.

 

[diver68]

Woher kommt dieser IP Range 192.168.1.1/24? Ist das dein normaler Adressbereich in Deinem LAN oder der des VPN? Bei mir sieht es z.B. so aus, wobei mein LAN IP range 10.0.2.0/24 ist und der von Wireguard 10.10.10.0/24. 10.10.10.1 ist die IP des "Wireguard Servers", 10.10.10.x die der clients.

[Interface]
Address = 10.10.10.1
ListenPort = 51820
PrivateKey = xxxxxxxxxxxxx
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth1 -j MASQUERADE

 

[oschmidt]

Hm.....
Ich glaub das Package "hing" einfach.
Habe seit Freitag eig. nichts verändert außer das ich die NAS einmal neu gestartet habe und siehe da gestern lief alles auf anhieb.
Trotzdem danke für deine Hilfe

 

[tschortsch]

Hallo,
ich nutze Wireguard zwischen 2 Router aber das hier klingt auch spannend für geräte die nicht hinter einem "gescheiten" Router stehen.
Könntest du hier ein paar mehr Infos hinterlassen wie und auf welchem Gerät du Wireguard für die DS kompiliert hast?

 

[oschmidt]

Ich habe nur das Package von Runfalk installiert bzw. für die DSM 7 kompiliert und installiert:
https://github.com/runfalk/synology-wireguardDSM 7:
https://github.com/runfalk/synology-wireguard/pull/71https://github.com/runfalk/synology...d0bbe863f454b6611215a/README.rst#installation
Aktuell nutze ich den Wireguard iOS Client um mein iPhone über den piHole im Netzwerk surfen zu lassen etc.

 

[tschortsch]

Danke!

 

[giss69]

Hallo,

ich kann über Wireguard nur auf Local Netzwerk zugreifen, kein Internet via Browser und ping geht auch nicht durch. An Pihole kann ich aber sehen, dass die Anfragen kommen und werden korrekt bearbeitet.
Forwarding ist auch aktiv (net.ipv4.ip_forward = 1). Woran kann es noch liegen?

Danke!