[Fli4l_dev] WireGuard VPN

Harvey hw234 at gmx.de
Mi Okt 27 11:59:57 CEST 2021 

Hallo zusammen,

weil openvpn mit Linux seit dem networkmanager-openvpn Plugin Version 
1.8.14 nicht mehr mit fli4l laufen will, dachte ich mir, jetzt sei der 
Zeitpunkt gekommen, auf Wireguard umzusatteln.

Der Gedanke war, erst mal openvpn laufen zu lassen und einen einfachen 
wireguard-Zugang für ein Android-Handy zusätzlich zu erstellen, um erste 
Tests zu fahren. Das sollte ja mit dem im Web-IF des fli4l bei wireguard 
angezeigten QR-Code relativ einfach funktionieren (dachte ich...)

Ich habe jetzt einen Tag lang versucht, voran zu kommen. Leider scheine 
ich einfach zu doof zu sein :(

Vielleicht kann mir ja jemand ein wenig auf die Sprünge helfen...

Basis ist ein fli4l 4.0.0-r60533 (x86_64), IP4-only (Netz des fli4l 
192.168.3.0/24)

Hier die vpn.txt:

OPT_WIREGUARD='yes'

WIREGUARD[] {
     NAME='RoadWarriors'
     LOCAL_IP4='10.10.0.1/24'
     PRIVATE_KEY='private-key-fli4l'
     PUBLIC_KEY='public-key-fli4l'
     LISTEN_PORT='50002'
     LOCAL_HOST='my.dyndns.de'

     PEER[] {
         NAME='oneplus8'
         LOCAL_IP4='10.10.0.2/32'
         PRIVATE_KEY='private-key-peer'
         PUBLIC_KEY='public-key-peer'
     }
}

Zusätzliche Einträge in Paketfilter base.txt:
(alle Regeln der jeweiligen Chain)

PF_INPUT[1]='IP_NET_1 ACCEPT'
PF_INPUT[2]='tmpl:samba DROP NOLOG'
{
   COMMENT='no samba traffic allowed'
}
PF_INPUT[3]='prot:udp 50002 ACCEPT'
{
   COMMENT='allow wireguard port 1'
}
PF_INPUT[4]='10.10.0.1/24 ACCEPT'
{
   COMMENT='allow wireguard access to router'
}


und


PF_FORWARD[]='tmpl:samba DROP'
PF_FORWARD[]='192.168.0.0/24 ACCEPT BIDIRECTIONAL'
PF_FORWARD[]='10.10.0.1/24 ACCEPT BIDIRECTIONAL'{
   COMMENT='WireGuard allow anywhere'
}
PF_FORWARD[]='IP_NET_1 ACCEPT'

Die Keys habe ich auf der Kommandozeile (Linux) jeweils mit
'wg genkey > privatekey' und 'wg pubkey < privatekey > publickey' 
erzeugt, die sollten also stimmen, 'my.dyndns.de' (hier im Posting als 
Platzhalter) ist aus dem Internet erreichbar und fungiert erfolgreich 
als Endpunkt für die OpenVPN Tunnel.

Auf dem Android-Handy habe ich die Wireguard-App installiert und lese
den QR-Code aus dem Web-IF des fli4 (erfolgreich) ein.


Bootlog des fli4l:

[rc700.wireguard] setting up wireguard vpn...
Wed Oct 27 2021 	11:48:43 	wireguard configuration starting...
Wed Oct 27 2021 	11:48:43 	loading wireguard kernel module...
Wed Oct 27 2021 	11:48:43 	creating wireguard server config directory 
/etc/wireguard
Wed Oct 27 2021 	11:48:43 	preparing WireGuard firewall rules...
Wed Oct 27 2021 	11:48:43 	/etc/rc: /etc/rc.d/rc700.wireguard: line 13: 
fw_add_chain6: not found
Wed Oct 27 2021 	11:48:43 	/etc/rc: /etc/rc.d/rc700.wireguard: line 13: 
fw_prepend_rule6: not found
Wed Oct 27 2021 	11:48:43 	creating wireguard config 1...
Wed Oct 27 2021 	11:48:43 	creating wireguard peer config directory 
/etc/wireguard/peers/wg0
Wed Oct 27 2021 	11:48:43 	configuring WireGuard server RoadWarriors
Wed Oct 27 2021 	11:48:43 	peerIP sanitized 10.10.0.0/24...
Wed Oct 27 2021 	11:48:43 	Private Key given for peer 
WIREGUARD_1_PEER_1_NAME='oneplus8', deriving Public Key
Wed Oct 27 2021 	11:48:43 	Creating WireGuard peer config oneplus8
Wed Oct 27 2021 	11:48:43 	QRCode created for peer oneplus8
Wed Oct 27 2021 	11:48:43 	Setting up wireguard interface wg0...
Wed Oct 27 2021 	11:48:44 	no ipv6 address given for wg0
Wed Oct 27 2021 	11:48:44 	Enable firewall access for WireGuard config 
RoadWarriors...
Wed Oct 27 2021 	11:48:44 	/etc/rc: /etc/rc.d/rc700.wireguard: line 13: 
fw_append_rule6: not found
Wed Oct 27 2021 	11:48:44 	WireGuard interface wg0 created

Der Zugang wird auf dem Handy per QR-Code erstellt und das funktioniert 
klaglos. Danach versuche ich die Verbindung zu starten, aber es tut sich 
gar nichts. Das Protokoll auf dem Hand sagt nur immer wieder:
'continously drops frames:4' und das Web-IF des fli4l bleibt bei 
'offline'...

Schluchz. Jemand eine Idee?

Gruß
Harvey

Mehr Informationen über die Mailingliste Fli4l_dev