[Fli4l_dev] WireGuard VPN

Harvey hw234 at gmx.de
So Nov 14 09:03:01 CET 2021 

Christoph,

> kaum verfolgt man die Nesgroup mal ein paar Tage nicht, schon kommen
> Fragen/Probleme mit meinem Wireguard-Paket :-)

So ist das doch immer ;)

> Ich lese hier jetzt wieder mit. Bei Problemen gerne einfach kurz melden.
> Ich habe hier Wireguard sowoh mit iPhone/iPad/Android als auch site2site
> zwischen fli4ls, Raspis und VPS problemlos laufen.

Dann mal los:
Bislang habe ich Wireguard für die Roadwarriors konfiguriert und der 
Zugriff auf das interne Netz des fli4l funktioniert auch einwandfrei, so 
weit ich das jetzt beurteilen kann.

Ich bekomme es aber zum Henker nicht hin, auf den Provider-Router vor 
dem fli4l zuzugreifen (was mit OpenVPN einwandfrei funktioniert, nur so 
nebenbei...)

Das sieht so aus:
Internet - Provider-Router (192.168.180.1 intern) - DHCP - fli4l (eth2 
192.168.1.50 zum ProviderRouter) und eth0 192.168.3.0/24

ip route auf dem fli4l sagt (bei abgeschaltetem OpenVPN):

default via 192.168.180.1 dev eth2
10.10.0.0/24 dev wg0 proto kernel scope link src 10.10.0.1
192.168.3.0/24 dev eth0 proto kernel scope link src 192.168.3.254
192.168.180.0/24 dev eth2 proto dhcp scope link src 192.168.180.50 
metric 204

Ich habe folgende Paketfilter-Regeln definiert:

PF_INPUT[1]='IP_NET_1 ACCEPT'
PF_INPUT[2]='tmpl:samba DROP NOLOG'
PF_INPUT[3]='{wg-RoadWarriors.prefix} ACCEPT'

PF_FORWARD[]='tmpl:samba DROP'
PF_FORWARD[]='192.168.180.0/24 ACCEPT BIDIRECTIONAL'
PF_FORWARD[]='IP_NET_1 ACCEPT'      # accept everything else
PF_FORWARD[]='{wg-RoadWarriors.prefix} ACCEPT BIDIRECTIONAL'

PF_POSTROUTING[]='IP_NET_1 MASQUERADE'
PF_POSTROUTING[]='{wg-RoadWarriors.prefix} IP_NET_1 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING[]='{wg-RoadWarriors.prefix} 192.168.180.0/24 MASQUERADE'

Das MASQUERADE habe ich weil der Provider-Router nur Zugriffe aus seinem 
eigenen internen Netz akzeptiert.

in OpenVPN funktioniert das ganze mit folgender Konfiguration:
OPENVPN_3_PF_INPUT_N='1'
OPENVPN_3_PF_INPUT_1='if:VPNDEV:any ACCEPT'
OPENVPN_3_PF_FORWARD_N='1'
OPENVPN_3_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'
OPENVPN_3_PF_POSTROUTING_N='2'
OPENVPN_3_PF_POSTROUTING_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
OPENVPN_3_PF_POSTROUTING_2='REMOTE-NET 192.168.180.0/24 MASQUERADE'

Allerdings kann ich nicht verifizieren, ob das Problem überhaupt auf 
fli4l-Seite oder bei der Wireguard Android-App liegt.

Der Aufruf des Web-IF des fli4l von Android aus per Browser ist möglich, 
ssh-Zugriff auf die Server hinter fli4l funktioniert. Der Aufruf des 
Web-IF des Provider-Routers jedoch geht ins Leere...

Ich bin etwas verzweifelt...

Gruß
Harvey

Mehr Informationen über die Mailingliste Fli4l_dev