[Fli4l_dev] Wireguard und kernel 6.14.5 funktioniert nicht

Nelson Matias nelson at anires.de
Mi Mai 7 12:25:55 CEST 2025 

Hallo Harvey,

Am 06.05.2025 um 20:29 schrieb Harvey:
>> mein test meinen Fli4l mit dem kernel 6.14.5 zu betreiben ist 
>> gescheitert.
>> Grundsätzlich lief alles. Aber Wireguard funktioniert nicht.
>> Es scheint der Handshake zu funktionieren aber der Fli4l empfängt 
>> keine Daten. Ich finde aber auch keine Möglichkeit hier ein logging 
>> einzustellen.
> Kann ich so nicht bestätigen. Gerade schreibe ich als Roadwarrior per 
> Wireguard eingeloggt auf einem entfernten Netz. Dank deiner tätigen 
> Mithilfe letztens funktioniert auch die Site2Site Vernetzung 
> einwandfrei. Auf allen beteiligten fli4l-Routern läuft 6.14.5. 
> Allerdings arbeite ich teils mit dyndns und/oder festen IPs. Könnte da 
> der Unterschied liegen?

Die Verbindung ist main Fli4l zu einer FritzBox. Dyndns wird über die 
myfritz-Adresse der Box realisiert. Ich habe eine feste IP.

>> Grundsätzlich sollte es aber funktionieren, da ich die gleiche 
>> Konfiguration genutzt habe. Einziger Unterschied ist eben der Wechsel 
>> des Kernels von 6.13.9 auf 6.14.5.
> Du hast bestimmt nichts anderes geändert? Funktioniert es denn mit der 
> gleichen Config auf 6.13.9? Wenn du OPT_RECOVER installiert hast, sollte 
> der Wechsel ja schnell gehen ;)

Ja. Ich habe mein normales Fli4l-Build-Verzeichnis genommen, alle von 
mir verwendeten Pakete aus den neuen Paketen in ein neues leeres 
Verzeichnis entpackt. Meine bestehende Konfiguration in das neue 
config-Verzeichnis kopiert und in der base.txt die kernel-version 
aktualisiert. Dann alles aus dem neuen Verzeichnis in mein altes 
verschoben und mkfli4l.sh laufen lassen.

Mit 6.14.5 bekomme ich keinen Traffic durch den Tunnel, über OPT_Recover 
die alte Version gestartet und der Traffic klappt wieder.

>> Mir fehlt auch die Möglichkeit die Wireguard-Konfiguration im 
>> laufenden Betrieb anzupassen. Damit meine ich nicht etwas an der 
>> Konfiguration zu ändern, sondern die IP-Adressen zu aktualisieren. Das 
>> ist notwendig, wenn eine Gegenstelle eine dynamische IP hat.
> 
> Das scheint mir dann ein Fall für dyndns und Konsorten zu sein?

Wenn das Device beim Booten angelegt wird, wird die Endpoint-Adresse in 
die entsprechende IP umgewandelt und so in die wireguard-Konfiguration 
geschrieben. Das kannst du im Web-interface verifizieren, da dort auch 
IP-Adressen und keine Namen als Gegenstelle angegeben sind. Ich kann 
jetzt nicht kontrollieren ob die Konfiguration von selbst oder durch ein 
schon vorhandenes System aktualisiert wird. Mir ist eben eine falsche 
Gegenstelle erst beim Kernel 6.14.5 aufgefallen. Seit dem fallback auf 
den 6.13.9 hatte meine Gegenstelle noch keinen IP-Wechsel. Der kommt nur 
alle 4-5 Tage.

>> Auf der Kommandozeile kann ich dazu
>> 'wg syncconf WG_DEVICE /etc/wireguard/WG_DEVICE.conf'
>> nutzen.
>>
>> Kann das jemand in die web-Oberfläche einbauen? Ich verstehe von cgi- 
>> Programmierung einfach zu wenig um das selber machen zu können.
> 
> Evtl. so wie bei OpenVPN? Da gibt es Knöpfe für Verbindung trennen, 
> zurücksetzen und anhalten...

Ja das wäre toll. Dann hätte ich auch die volle Kontrolle über Tunnel 
für andere (Gamer-kids ... keine Hausaufgaben -> kein VPN ;)

-- 
Gruß
Nelson

Mehr Informationen über die Mailingliste Fli4l_dev