[fli4l] Fragen zur Konfiguration

[Harvey]

Hallo Nelson,

erst einmal danke für Deine Hilfe!
Ich habe das jetzt zum Anlass genommen, die wireguard Sache noch einmal 
etwas ausführlicher auch mit der dazu gehörigen Doku zu beleuchten. 
TLDR: es funktioniert bei mir jetzt mit kleineren Anpassungen auch 
zwischen 2 fli4l!

Ein paar Kommentare weiter unten...

 > Hier die relevanten Zeilen in der base.txt
 >
 > PF_INPUT[]='prot:udp 51820 ACCEPT'   # Allow Wireguard on Port 51820
 > { COMMENT='open udp-port for wireguard wg0' }

Nach mehrmaligem Lesen der Doku: das ist nur nötig, wenn man
WIREGUARD_DEFAULT_OPEN_PORT='no' setzt. Ansonsten macht OPT_WIREGUARD 
die Ports automatisch auf. Da 'yes' der default ist, funktioniert das 
auch ohne explizites Setzen von WIREGUARD_DEFAULT_OPEN_PORT im config file.
Ich habe das bei mir mit 2 wg-Instanzen getestet, die Ports werden 
automatisch geöffnet.
ToDo: Die Doku (und auch das default config file) ist hier aus meiner 
Sicht eher verwirrend, da sollte man nachbessern.
 > PF_FORWARD[]='IP_NET_2 192.168.0.0/24 ACCEPT BIDIRECTIONAL'
 > PF_FORWARD[]='192.168.0.0/24 ACCEPT'

Die zwei Regeln sind meiner Meinung nach redundant. Zumindest bei mir 
funktioniert es auch nur mit der ersten in beide Richtungen.
 > Und hier die relevanten Zeilen aus der vpn.txt
 >
 > WIREGUARD[] {
 >      NAME='Lanbude'
 >      LOCAL_IP4='192.168.1.100/24'
 >      PRIVATE_KEY='Der Schlüssel'
 >      LISTEN_PORT='51820'
 >      LOCAL_HOST='FQDN.from.fli4l'      # dyndns name of local fli4l
 >      KEEP_ALIVE='25'
 >      DEFAULT_ALLOWED_IPS[]='IP_NET_2'
 >      PUSH_DNS[]='192.168.1.100'        # DNS server to provide to peers
PUSH_DNS[] hat bei mir keinen Effekt, die Doku sagt dazu:

Achtung: WireGuard unterstützt kein Push von Netzwerkparametern beim 
Verbindungsaufbau. Die DNS-Server werden in der Peer-Config, die im 
Webinterface als QR-Code und Download verfügbar ist, hinterlegt.

 >
 >      PEER[] {
 >          NAME='CS-Buero'
 >          LOCAL_IP4='192.168.0.202/24'
 >          PUBLIC_KEY='Der öffentliche Schlüssel der Gegenstelle'
 >          PRIVATE_KEY='Der private Schlüssel oder leer'
 >          PRESHARED_KEY='Der letzte Schlüssel'
 >          REMOTE_HOST='fritzquark.myfritz.net'Die Namensauflösung 
funktioniert bei mir während des Aufbaus des Tunnels nicht. Ich bekomme 
die Fehlermeldung, dass die Adresse nicht gefunden wurde. Ein späterer 
ping auf die selbe Adresse direkt auf dem Router funktioniert dann sehr 
wohl. Da ich an beiden Enden hinter Kabelnetzen hänge, konnte ich mit 
der quasi 'permanenten' IP dann doch einen Tunnel aufbauen. Hier tappe 
ich noch im Dunkeln, woher das kommt.
ToDo: Vielleicht schaue ich mir ja mal DNS_REDIRECT[] aus dns_dhcp an.

 >          REMOTE_PORT='56794'
 >          ROUTE_TO[]='192.168.0.0/24'
 >          ALLOWED_IPS[]='IP_NET_2'
 >      }
 > }

In jedem Fall bin ich jetzt schon mal viel weiter als vorher. Mich würde 
interessieren wie die Ausgabe von 'ip route' direkt auf deinem fli4l 
Router aussieht. Wenn ich das bei mir auch dem Router mache, dann sieht 
das so aus:
vitualix 4.0.0-r60807M # ip route
default via 192.168.181.1 dev eth2
10.13.0.0/24 dev wg0 proto kernel scope link src 10.13.0.1
192.168.2.0/24 dev wg1 scope link
192.168.57.0/24 dev eth0 proto kernel scope link src 192.168.57.253
192.168.57.0/24 dev wg1 proto kernel scope link src 192.168.57.100
192.168.178.0/24 dev wg1 scope link
192.168.181.0/24 dev eth2 proto dhcp scope link src 192.168.181.41 
metric 1004

Der geneigte Leser sieht die doppelte Route für 192.168.57.0/24... Das 
macht mich stutzig.

Zur Erklärung:

LAN1: 192.168.2.0/24 <---> LAN2: 192.168.57.0/24
Router LAN1: 192.168.2.254 <---> Router LAN2: 192.168.57.253 (der obige 
'virtualix')
Beide fli4l-Router hängen als exposed hosts hinter Fritzboxen:
Fritzbox LAN1: 192.168.178.1		Fritzbox LAN2: 192.168.181.1
10.13.0.0/24 ist das Transportnetz für die Roadwarriors via wg0.
Device wg1 ist der Site2Site Tunnel.

Vielleicht hat ja jemand noch ein paar Ideen?

Gruß
Harvey