[SOLVED] WireGuard Client keine Verbindung im LAN

[blu3bird]

Hallo,

ich habe mir auf meinen Fujitsu Esprimo Q556/2 Proxmox installiert, was soweit auch funktioniert.
Ich möchte dort gerne eine VM (KVM) als Gateway für WireGuard nutzen, um gewisse Geräte im Netzwerk durch das VPN zu routen.

Ich baue auf der KVM eine Verbindung zu meinem VPN Provider (nicht im lokalen Netzwerk) auf.
IP-Forward ist auf dem Host (Proxmox) aktiviert.

Anbei die Config:

Spoiler: Config

[Interface]
PrivateKey = xxxx
Address = 100.64.64.64/32
DNS = 9.9.9.9

PostUp = echo 1 > /proc/sys/net/ipv4/ip_forward
PostUp = ip rule add not from 192.168.178.0/24 table main # This is needed to allow SSH access after enabling connection
PostUp = iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostUp = iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostUp = iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = ip rule del not from 192.168.178.0/24  table main
PostDown = iptables -D FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostDown = iptables -D INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
PostDown = echo 0 > /proc/sys/net/ipv4/ip_forward

[Peer]
PublicKey = xxxx
AllowedIPs = 0.0.0.0/0
Endpoint = xxxx:65142
PresharedKey = xxxxxx

PersistentKeepalive = 25

Sobald ich mit dieser Config das Interface wg0 hochfahre, bricht mir die SSH Verbindung weg + die VM kann keine Verbindung mehr zum lokalen Netzwerk aufbauen.
Diese gleiche Konfiguration fahre ich auf einem Raspberry Pi 4 wo sie korrekt funktioniert.


Blockiert hier Proxmox etwas?
Ich hab vieles schon probiert aber komme hier auf keinen grünen Nenner.

Über einen Tipp bzw. Denkanstoß wäre ich sehr dankbar.

 

[Richard]

Hallo,

ich habe mir auf meinen Fujitsu Esprimo Q556/2 Proxmox installiert, was soweit auch funktioniert.
Ich möchte dort gerne eine VM (KVM) als Gateway für WireGuard nutzen, um gewisse Geräte im Netzwerk durch das VPN zu routen.

Ich baue auf der KVM eine Verbindung zu meinem VPN Provider (nicht im lokalen Netzwerk) auf.
IP-Forward ist auf dem Host (Proxmox) aktiviert.

Anbei die Config:

Spoiler: Config

[Interface]
PrivateKey = xxxx
Address = 100.64.64.64/32
DNS = 9.9.9.9

PostUp = echo 1 > /proc/sys/net/ipv4/ip_forward
PostUp = ip rule add not from 192.168.178.0/24 table main # This is needed to allow SSH access after enabling connection
PostUp = iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostUp = iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostUp = iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = ip rule del not from 192.168.178.0/24  table main
PostDown = iptables -D FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostDown = iptables -D INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
PostDown = echo 0 > /proc/sys/net/ipv4/ip_forward

[Peer]
PublicKey = xxxx
AllowedIPs = 0.0.0.0/0
Endpoint = xxxx:65142
PresharedKey = xxxxxx

PersistentKeepalive = 25

Sobald ich mit dieser Config das Interface wg0 hochfahre, bricht mir die SSH Verbindung weg + die VM kann keine Verbindung mehr zum lokalen Netzwerk aufbauen.
Diese gleiche Konfiguration fahre ich auf einem Raspberry Pi 4 wo sie korrekt funktioniert.


Blockiert hier Proxmox etwas?
Ich hab vieles schon probiert aber komme hier auf keinen grünen Nenner.

Über einen Tipp bzw. Denkanstoß wäre ich sehr dankbar.

Da kommt mir estwas wie ein Widerspruch vor (oder ich verstehe etwas falsch): Im Prinzip ist Proxmox-Host für die Pakete nur ja nur wie ein switch (=bridge), warum also Port-Forwarding auf dem Host? Das entscheidenede ist ja die VM. auf der der Tunnel-Endpoint liegt, und die kommuniziert ja direkt mit dem VPN server. Oder werden die Pakete am Proxmox host geroutet? Dann nüsste man diese Einstellungen kennen (aus dem Configuration-File /etc/network/interfaces ablesbar, wenn nicht noch irgendwelche zusätzlichen Skipts verwendet werden, sondern z.B. auch mit "post-up" gearbeitet wird).
Darüber hinaus müsste man sehen, wie nach aufgebautem Tunnel die Routing Tabelle in der VM aussieht.

 

[blu3bird]

Es hat sich mittlerweile geklärt.
Ich habe es gestern in einer ruhigen Minute nochmal gemacht und es hat dann geklappt.

Ich habe die IP dem Clienten bisher Statisch über die /etc/network/interfaces vergeben, was an sich so nicht falsch war/ist.
Es hat aber die Route von 192.168.178.0 nach 0.0.0.0 gefehlt.

Vorher:

root@wireguard:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0

Nach Umstellung auf DHCP:

root@wireguard:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

Man hätte die Route auch in die /etc/network/interfaces bei Boot anlegen können.
Damit ist das Problem geklärt und funktioniert nun einwandfrei.

Danke für deine Antwort.