[Fli4l_dev] WireGuard VPN
Harvey
hw234 at gmx.de
Sa Okt 30 14:05:24 CEST 2021
Wirklich keiner eine Idee? Nutzt denn irgendjemand erfolgreich WireGuard?
Gruß
Harvey
Am 27.10.21 um 11:59 schrieb Harvey:
> Hallo zusammen,
>
> weil openvpn mit Linux seit dem networkmanager-openvpn Plugin Version
> 1.8.14 nicht mehr mit fli4l laufen will, dachte ich mir, jetzt sei der
> Zeitpunkt gekommen, auf Wireguard umzusatteln.
>
> Der Gedanke war, erst mal openvpn laufen zu lassen und einen einfachen
> wireguard-Zugang für ein Android-Handy zusätzlich zu erstellen, um erste
> Tests zu fahren. Das sollte ja mit dem im Web-IF des fli4l bei wireguard
> angezeigten QR-Code relativ einfach funktionieren (dachte ich...)
>
> Ich habe jetzt einen Tag lang versucht, voran zu kommen. Leider scheine
> ich einfach zu doof zu sein :(
>
> Vielleicht kann mir ja jemand ein wenig auf die Sprünge helfen...
>
> Basis ist ein fli4l 4.0.0-r60533 (x86_64), IP4-only (Netz des fli4l
> 192.168.3.0/24)
>
> Hier die vpn.txt:
>
> OPT_WIREGUARD='yes'
>
> WIREGUARD[] {
> NAME='RoadWarriors'
> LOCAL_IP4='10.10.0.1/24'
> PRIVATE_KEY='private-key-fli4l'
> PUBLIC_KEY='public-key-fli4l'
> LISTEN_PORT='50002'
> LOCAL_HOST='my.dyndns.de'
>
> PEER[] {
> NAME='oneplus8'
> LOCAL_IP4='10.10.0.2/32'
> PRIVATE_KEY='private-key-peer'
> PUBLIC_KEY='public-key-peer'
> }
> }
>
> Zusätzliche Einträge in Paketfilter base.txt:
> (alle Regeln der jeweiligen Chain)
>
> PF_INPUT[1]='IP_NET_1 ACCEPT'
> PF_INPUT[2]='tmpl:samba DROP NOLOG'
> {
> COMMENT='no samba traffic allowed'
> }
> PF_INPUT[3]='prot:udp 50002 ACCEPT'
> {
> COMMENT='allow wireguard port 1'
> }
> PF_INPUT[4]='10.10.0.1/24 ACCEPT'
> {
> COMMENT='allow wireguard access to router'
> }
>
>
> und
>
>
> PF_FORWARD[]='tmpl:samba DROP'
> PF_FORWARD[]='192.168.0.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD[]='10.10.0.1/24 ACCEPT BIDIRECTIONAL'{
> COMMENT='WireGuard allow anywhere'
> }
> PF_FORWARD[]='IP_NET_1 ACCEPT'
>
> Die Keys habe ich auf der Kommandozeile (Linux) jeweils mit
> 'wg genkey > privatekey' und 'wg pubkey < privatekey > publickey'
> erzeugt, die sollten also stimmen, 'my.dyndns.de' (hier im Posting als
> Platzhalter) ist aus dem Internet erreichbar und fungiert erfolgreich
> als Endpunkt für die OpenVPN Tunnel.
>
> Auf dem Android-Handy habe ich die Wireguard-App installiert und lese
> den QR-Code aus dem Web-IF des fli4 (erfolgreich) ein.
>
>
> Bootlog des fli4l:
>
> [rc700.wireguard] setting up wireguard vpn...
> Wed Oct 27 2021 11:48:43 wireguard configuration starting...
> Wed Oct 27 2021 11:48:43 loading wireguard kernel module...
> Wed Oct 27 2021 11:48:43 creating wireguard server config
> directory /etc/wireguard
> Wed Oct 27 2021 11:48:43 preparing WireGuard firewall rules...
> Wed Oct 27 2021 11:48:43 /etc/rc: /etc/rc.d/rc700.wireguard:
> line 13: fw_add_chain6: not found
> Wed Oct 27 2021 11:48:43 /etc/rc: /etc/rc.d/rc700.wireguard:
> line 13: fw_prepend_rule6: not found
> Wed Oct 27 2021 11:48:43 creating wireguard config 1...
> Wed Oct 27 2021 11:48:43 creating wireguard peer config
> directory /etc/wireguard/peers/wg0
> Wed Oct 27 2021 11:48:43 configuring WireGuard server RoadWarriors
> Wed Oct 27 2021 11:48:43 peerIP sanitized 10.10.0.0/24...
> Wed Oct 27 2021 11:48:43 Private Key given for peer
> WIREGUARD_1_PEER_1_NAME='oneplus8', deriving Public Key
> Wed Oct 27 2021 11:48:43 Creating WireGuard peer config oneplus8
> Wed Oct 27 2021 11:48:43 QRCode created for peer oneplus8
> Wed Oct 27 2021 11:48:43 Setting up wireguard interface wg0...
> Wed Oct 27 2021 11:48:44 no ipv6 address given for wg0
> Wed Oct 27 2021 11:48:44 Enable firewall access for WireGuard
> config RoadWarriors...
> Wed Oct 27 2021 11:48:44 /etc/rc: /etc/rc.d/rc700.wireguard:
> line 13: fw_append_rule6: not found
> Wed Oct 27 2021 11:48:44 WireGuard interface wg0 created
>
> Der Zugang wird auf dem Handy per QR-Code erstellt und das funktioniert
> klaglos. Danach versuche ich die Verbindung zu starten, aber es tut sich
> gar nichts. Das Protokoll auf dem Hand sagt nur immer wieder:
> 'continously drops frames:4' und das Web-IF des fli4l bleibt bei
> 'offline'...
>
> Schluchz. Jemand eine Idee?
>
> Gruß
> Harvey
Mehr Informationen über die Mailingliste Fli4l_dev