[Eisfair] Ich bräuchte mal Hilfe beim Einrichten von Wireguard

D. Oezbilen oezbilen at gmx.net
Mo Nov 16 10:22:33 CET 2020 

Hallo Christian,

> jedwedes andere Gerat in dem Netz nicht.
> Und genau hier steh ich auf dem Schlauch.

das ist wahrscheinlich ein Routing Problem.

Vorausgesetzt Wireguard ist richtig konfiguriert -sonst wuerdest Du den 
eis per wg von draussen nicht sehen - muss auch das Routing passen.

Sofern der eis routet, in /etc/sysctl.conf muss

net.ipv4.ip_forward=1

eingeschaltet sein, weiss der eis -weil er beide Netzwerkkarten hat und 
eine default-Route in das home-Netz - wie/wohin ___er____ die Pakete 
schicken kann/soll.

Wenn die Pakete beim Ziel angekommen sind, wissen aber die anderen 
Beteiligten/Maschinen nicht, was sie mit diesem Paket machen sollen, und 
schicken dieses fragwurdige Paket an ... den default-Router, der bei 
diesen Einheiten im home-Netz hinterlegt ist.

Deswegen ist es wichtig, dass der default-Router auch weiss, wie _er_ 
das Netz des wg-Anschlusses erreichen kann, ueber/hinter den/m eis. 
Sprich alle Pakete, die fuer das Netz
10.10.10.0/24 bestimmt sind schickt der default-Router nicht ins Inet 
sondern zum eis.
Der wiederrum weiss, dass er dieses wg-Netz beheimatet und kann intern 
(s.o.) auch korrekt routen.

*Das* setzt voraus, dass Du einen Router hast, der eine statische 
Routing-Tabelle verwaltet, FBox hin/her, die Dinger konnten v. Anfang an 
sowas. Die Speedports nicht.

Ohne eine statische Routing-Tabelle (auf dem default-Router fuer das 
Netz) bleibt Dir nur Masquerading auf dem eis. Denn so schafft der eis 
die Pakete aus dem wg-Netz so zu manipulieren, dass diese Pakete 
angeblich v. eis selbst stammen (er hat eine interne Tabelle, damit auch 
die Antwort wieder ins wg-Netz geleitet wird).

Wo Du routen kannst, routest Du. Wo Du nicht routen kannst, nimmst Du 
masq.; jedoch kommen mit masq. auch Probleme mit sich, dass bestimmte 
Protokolle nicht ohne grosse Kopfschmerzen ueber masq. weitergeleitet 
werden koennen. Eleganter ist es deswegen zu routen, weil so das Netz 
transparenter wird.

Schau mal bitte auf dem default-Router des Netzes, ob Du eine statische 
Route hinterlegen kannst. Dann funkt es sofort.

Viel Erfolg.
Oez.

Mehr Informationen über die Mailingliste Eisfair