Zunächst meine Hard- und Software:
Rapsberry Pi 3b+: Raspberry Pi OS lite Bookworm 64bit, Pihole, Unbound, Radicale und Wireguard
Laptop: Linux Mint Mate 20.3
Smartphone: Xiaomi Redmi Note 10 Pro (Android 13, MIUI xiaomi.eu 14.0.8.0)
Router: Fritzbox 7510 mit Portfreigabe 51820
Alle Systeme sind auf den aktuellsten Stand
Mein Problem/ Frage: Wenn ich mich mit meinem Smartphone im mobilen Netz mit Wireguard verbinde, baut sich über die Wireguard App keine Verbindung auf.
Das Selbe auch bei meiner Frau ihr Smartphone (Samsung Galaxy a51).
Im Terminal zeigt „stemctl status wg-quick@wg0“ folgendes an:
wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
Active: active (exited) since Fri 2023-12-08 23:06:01 CET; 2 days ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Main PID: 681 (code=exited, status=0/SUCCESS)
CPU: 468ms
Dez 08 23:06:00 raspberrypi systemd[1]: Starting wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0...
Dez 08 23:06:01 raspberrypi wg-quick[681]: [#] ip link add wg0 type wireguard
Dez 08 23:06:01 raspberrypi wg-quick[681]: [#] wg setconf wg0 /dev/fd/63
Dez 08 23:06:01 raspberrypi wg-quick[681]: [#] ip -4 address add x.x.x.x/x dev wg0
Dez 08 23:06:01 raspberrypi wg-quick[681]: [#] ip link set mtu 1420 up dev wg0
Dez 08 23:06:01 raspberrypi wg-quick[681]: [#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Dez 08 23:06:01 raspberrypi systemd[1]: Finished wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0.
Wie sieht’s aus, wenn du dich aus dem lokalen Netz verbinden möchtest? Wenn’s da funktioniert, sollte auf dem Pi erstmal alles passen.
Weitere Schritte wären dann:
Überpruefen, ob der Port über UDP oder TCP freigegeben ist (UDP wäre beim Standard-Setup richtig)
Herausfinden, ob du eine „richtige“ IPv4 Adresse hast oder dein Provider CG-NAT oder DualStack einsetzt.
Als kleiner Tipp: Achte bei Logs darauf, ob irgendwelche sensitiven Informationen preisgegeben werden, bspw. falls du deine Konfig postest, verberge deine Keys etc. In deinem Log ist bspw die interne Wireguard IP Range sichtbar. Ist grundsätzlich Geschmackssache und meiner Meinung nach nichts wildes, aber ich behalte mein IP Design lieber bei mir.
Hm…wenn ich es im lokalen Netz versuche (also über WLAN), wird mir angezeigt das ein „Umschalten des Tunnels nicht möglich ist: Bad Adress“ oder „DNS Hostname kann nicht aufgelöst werden“. Dazu sei erwähnt, dass der PI als DNS Server fungiert. DynDNS ist bei Two-DNS eingerichtet. Port ist über UDP ist freigeschaltet. Alle meine Geräte habe ein feste IP vergeben. Was meinst du mit „richtige“ IPv4 Adresse? Danke für den Tipp, habe da nicht darauf geachtet. Werde ich direkt mal ändern
Wenn der WireGuard Server im selben Netz steht, kann das glaube ich nicht funktionieren. Also an der Stelle kein aussagekräftiger Test.
Die „richtige IPv4“ Adresse kannst du mit etwas googeln herausfinden. Schaue mal nach deinem Provider und dem Stichwort dualstack lite oder cg-nat. Dann wirst du möglicherweise auf Beiträge von Leidensgenossen stoßen oder im besten Fall hast du eine richtige IPv4, die du dir mit niemandem teilen musst.
Das ganze ist kein Weltuntergang, aber das VPN Design muss geändert werden.
Ansonsten hier ne relativ gute Erläuterung bzgl cg nat Problematik: https://itigic.com/de/know-if-my-internet-connection-uses-cg-nat-or-public-ip/
Ich hatte anfangs Probleme, dass der DNS-Server nicht gepasst hatte, so dass trotz „Verbindung“ keine Seite und nichts geladen hatte…
Was ist bei dir als DNS-Server für deine WG-Clients hinterlegt? Die IP des Pihole? Oder bin ich mit meiner Vermutung auf dem Holzweg?
Es scheint sich um einen Dualstack Anschluß zu handeln.
Genau, die IP des Pihole ist als DNS Server hinterlegt. Habe gerade in der Übersichtseite der Fritzbox gesehen, dass es bei der Anmeldung bei DnyDNS einen Fehler gibt:
DynDNS-Fehler: Fehler bei der DNS-Auflösung des Domainnamens
Wenn ich im Browser die Update-URL http://update.twodns.de/update?hostname=<domain>&ip=<ipaddr> eingebe und anschließend den Benutzernamen und Passwort wird mir
nohost
angezeigt. Auf der Two-DNS Seite wird mir mein Host angezeigt, aber keine Fehler oder sonstiges.
Wenn du einen DS Lite Anschluss hast, also deine IPv4 Adresse keine öffentlich IPv4 Adresse ist und vom Provider geNATet wird, wird das nur über IPv6 funktionieren. Ansonsten müsste der Provider ein port forwarding von seiner öffentlichen IP auf deine WAN IP machen und das wird im Privatkundengeschäft nicht gemacht.
Also entweder auf IPv6 umstellen oder einen 1€ VPS Server im Internet mieten, dort WireGuard und Pihole installieren und den Traffic darüber routen. Kann ich beides aber nur empfehlen, wenn man entsprechen Ahnung hat.
Hallo Westpole,
Info von twodns:
Probleme bei der Hostauflösung
13. Dezember, 08:38 Uhr
2023 - Wir haben festgestellt, dass es aktuell ein Problem bei der Auflösung von Hostnamen gibt.
Wir arbeiten an einer Lösung. Wann wieder mit einem reibungslosen Betrieb zu rechnen ist, können wir, Stand jetzt, noch nicht mitteilen.
@BungalowBob
Wie gesagt, es scheint sich um ein Dualstack zu handeln. Ich hab leider vergessen zu erwähnen, dass ich den Pi neu aufsetzen musste. Zuvor lief Wireguard einwandfrei. Wie dem auch sei, es scheint mehr auf der Seite von Two dns zu liegen. Sofern warte ich erstmal ab.
@wolle
Danke für die Info. Woher hast du die? Direkt von der two dns Seite?!
Aber nur via IPv6, sofern der dynamische DNS-Anbieter nicht auch noch Portmapping betreibt. Denn bei DS lite hat man nur eine öffentliche IPv6, wie hier bereits erwähnt. Kann das Endgerät kein IPv6, weil bspw. das Netzwerk dies nicht ermöglicht, klappt es damit auch nicht. Ist es normales Dual Stack, stehen sowohl IPv4 und IPv6 parallel zur Verfügung.
06/2023 - We have noticed that there is problem with the host resolution. We are working at a solution to solve the issue. At this moment, we are not able to tell the exactly time schedule.
11/2023 - We have noticed that there is problem with the host resolution. We are working on a solution to solve the issue. At this moment, we are not able to tell the exactly time schedule.
2023 - We have noticed that there is problem with the host resolution. We are working on a solution to solve the issue. At this moment, we are not able to tell the exactly time schedule.
Das Problem scheint also schon länger zu bestehen. Nicht erst seit kurzem wie es momentan dargestellt wird.
Davon abgesehen wenn man dort ein Konto eröffnet oder sich über die Webseite einloggen möchte, geht das nur unter Verwendung von recapture (Google) ← Der Link führt aber zu Wikipedia und dient nur zur Erklärung
Ich hab hier noch ein nicht mehr benutztes Konto, das habe ich kurz getestet. Also schnell Client eingerichtet. Ergebnis der Dienst funktioniert derzeit bei mir definitiv auch nicht.
Was die Zuverlässigkeit und die Antwortzeiten diverser DNS Server angeht habe ich ein kleines Monitoring zuhause laufen. Tagesaktuelle Daten werden nachts auf GitHub geladen:
Danke für die ausführliche Info. Gibt es denn eine gute Alternative zu Two-Dns?
Bin soeben über diesen Artikel gestoßen. Ist das eine gute Alternative?
Ich hab das jetzt alles über die Fritzbox laufen; MyFritz Konto eingerichtet und darüber Wireguards Clients erstellt. Funktioniert bestens. Gibt es Bedenken bzgl. Sicherheit/ Datenschutz?
