Wireguard 想愚弄我 – RAGEMODE 开启！ 故障排除

37 comments

1. Das ist die Regierung 🤣 die will doch keine Verschlüsslung mehr

2. Interessanterweise scheint Debian11 nicht nur hier Probleme zu machen: Wir setzen Kubernetes-RKE von Rancher ein… eine Woche auf Debian11 versucht…, Ubuntu20 / Debian10 kein Problem. Ja, irgendwas mit nftables iptables-Legacy. Hatte dann auch keinen Bock mehr zu suchen…., frohes Fest, Grüße aus Köln!

3. Welcome to my world 🙁

4. Ich würde mal die 1:1 gleiche CONFIG auf einer älteren DEBIAN Version testen wenn es dort geht und mit der neuen nicht dann ist es ein BUG.

5. Warum sind jetzt die docker-training Videos wieder offline??!!!!

6. Hi, erstmal vielen Dank für die coolen Videos. Gibt es eine Möglichkeit vaultwarden abzusichern? Soweit ich das verstehe, habe ich ja mit einem selbstgehosteten vaultwarden server die "Gefahr", dass jeder der die Adresse kennt sich auch einen account machen könnte!? Oder ist das falsch?

7. Wireguard baut einen Verbindung auf sobalt Daten über den Tunnel gehen. Daher ist der erste Ping auch langsamer. Alternativ wird mit keepalive direkt eine Verbindung aufgebaut und aufrecht gehalten.

8. WireGuard loggt nichts. Das musst du erst aktivieren.

9. Ich frage mal doof, ich schau öfters deine stream auch live. Aber warum steht in der wireguard config auf der Server Seite eine Netz id und keine IP wie auf dem Client?

10. Du kannst in wireguard die logs einschalten, dann bekommst du mehr Details die dir helfen könnten

11. Kommt die Lösung auch in einem video und nicht nur im Live-Stream? Kann nämlich leider morgen nicht am Livestream teilnehmen bin auf dem Festland "arbeiten"

12. Hab auch so ne lustige Sache mit WireGuard, alles läuft außer wenn ich mit VOIP intern oder extern raustelefonieren will, aber kann angerufen werden intern/extern. 😀
    Mit OpenVPN klappt alles ohne Probleme. Hab das Gefühl irgendwie mag Wireguard VOIP im Nat nicht so.

13. nftables, ipv4.forward, systemctl vielleicht OneShot (lieber restart als start)? Mit den AllowedIPs würde ich auch aufpassen (routing). Aus der ferne schwer zu sagen. Gib mir ne Shell und ich stell dir das erstmal nach systemd-networkd um 😉

14. Meine ersten Lösungsvorschläge beziehen sich mal auf Informationssammelung.
    -Ist der Port offen auf der Kiste. (netstat -tulpn)
    -Mal die logs anschauen /var/log/syslog oder journalctl -xe
    -Einen tcpdump laufen lassen und währenddessen Pakete über andere Dienste schicken lassen, netcat z.B.
    -Schauen ob vielleicht firewalld ausversehen installiert wurde
    Ich hoffe eines der genannten Punkte hilft weiter.

15. Mein Ansatz wäre mal in die Logs zu gucken und dann die Fehlermeldungen zu Googeln, und wenn man nichts findet selber mal ein Bug auf zu machen. Würde mich aber auch nicht wundern wenn es mit LXC zu tun hat.
    Man hat schon Pferde kotzen sehen, und das vor der Apotheke.

    Ach Übrigens den Netzwerk Traffic mitschneiden, wenn dir systemd sagt das er den Dienst nicht starten kann, halte ich nicht für sonderlich schlau idee. Aber trotzdem gute Videos.

16. "WireGuard" baut den VPN-Tunnel erst auf, wenn Traffic erzeugt wird, der über den WireGuard-Tunnel zu routen ist. Vorher findet kein Handshake statt, der Tunnel wird dann also nicht aufgebaut. Wenn man zum Beispiel die IP-Adresse der WireGuard-Schnittstelle der Gegenseite anpingt, dann sollte der WireGuard-Tunnel aufgebaut (Handshake) und der Traffic über den Tunnel übertragen werden.

    Wenn deine WireGuard-Configs fehlerhaft wären, dann wäre beim Parsen der Config-Dateien bereits Fehler aufgetreten und deshalb gar keine WireGuard-Schnittstellen erzeugt worden. Bei einer fehlerhaften Config wird also bereits beim Ausführen des Befehls" wg-quick wg0 up" (für die 1. WireGuard-Schnittstelle) ein Fehler ausgespuckt.

17. aus der doku:
    NAT and Firewall Traversal Persistence
    By default, WireGuard tries to be as silent as possible when not being used; it is not a chatty protocol. For the most part, it only transmits data when a peer wishes to send packets. When it's not being asked to send packets, it stops sending packets until it is asked again. In the majority of configurations, this works well. However, when a peer is behind NAT or a firewall, it might wish to be able to receive incoming packets even when it is not sending any packets. Because NAT and stateful firewalls keep track of "connections", if a peer behind NAT or a firewall wishes to receive incoming packets, he must keep the NAT/firewall mapping valid, by periodically sending keepalive packets. This is called persistent keepalives. When this option is enabled, a keepalive packet is sent to the server endpoint once every interval seconds. A sensible interval that works with a wide variety of firewalls is 25 seconds. Setting it to 0 turns the feature off, which is the default, since most users will not need this, and it makes WireGuard slightly more chatty. This feature may be specified by adding the PersistentKeepalive = field to a peer in the configuration file, or setting persistent-keepalive at the command line. If you don't need this feature, don't enable it. But if you're behind NAT or a firewall and you want to receive incoming connections long after network traffic has gone silent, this option will keep the "connection" open in the eyes of NAT.

18. Morgen ist Livestream!!!

19. Ich bin auf meinem pine64 auf dem kernel 5.10.60-sunxi64 aber bei mir läuft das sowieso ohne Kernel-Unterstützung das hat noch nie funktioniert auf dem pine64. Aber es läuft zumindest

20. Danke, fühle mich genau so behindert …

21. Also ich meine bei mir läuft es mit 5.10.x

22. Mir kommt das gerade irgendwie bekannt vor. Allerdings war ich nicht so schlau nen TCPdump anzuwerfen.
    Debian WG Server auf ESXi free 6.7 und Android + Win 10 Clients. Es hat nach der Einrichtung einmal funktioniert und dann nie wieder. Nachdem ich mir damit ein Wochenende versaut hatte, hab ich mein OpenVPN wieder hoch gefahren. Das wollte ich eigentlich bezüglich der besseren Performance durch WG ersetzen.

23. Schalte mal die IP Weiterleitung im Kernel an. Würde ja mehr schreiben, aber scheinbar werden meine Kommentare immer sofort gelöscht..

24. Was sagt den das log? dmesg -wT | grep wireguard Ehrlich gesagt hatte ich aber die Tage ähnliche Probleme hab es nur auf mein unvermögen geschoben beides Debian 11 (eventuell lag es gar nicht an mir?) Lieber Dennis ich konnte soeben den Problem nachstellen wenn ich auf einer Debian 11 Maschine via wg show nachgucke ist alles top der Port wird aber nicht geöffnet! lsof -i :51820 liefert mir nix zurück

25. Was ist den mit dem Haken Firewall bei Proxmox auf den Container? Ist der vielleicht an?

26. 5:57 epic simulation

27. Hm, meine Kommentare verschwinden immer, ggf. wegen "gefährlicher" Konfigurationsdaten. Hast Du das tun-Device in den Container-Konfigurationen drin?

28. gleiche problem hier, allerdings mit ubuntu 20.04er image für nen LXC… kriege seit neuestem keine verbindung mehr hin, auch TCPdump zeigt nix mehr an…. beim kumpel exakt gleiche deployment… funktioniert

29. Sind das Container aufm Proxmox Host? Dann müssen noch Einstellungen auf dem Host geändert werden.

30. Setz in der Sender-Konfig mal die MTU auf 1387

31. vielleicht mal ein Ping von einer VM zur anderen ? Super Content übrigens 😎

32. Mit einer VM geht es. Mit einer CT nicht ….

33. Hast du mal versucht ein älteres Release von Wireguard zu verwenden?

    Falls das Problem bleibt, könntest du bspw. eine andere Linux-Distribution in Verbindung mit versch. Wireguard-Releases testen. So könntest du wenigstens herausfinden, ob es an der Linux-Distri oder an der Wireguard Version liegt.

34. Uih uih uih ähnliches hatte ich auch mal unter Proxmox…
    Lag aber daran das ich was an den iptables am proxmox host umgestellt hatte und vergass wieder rückgängig zu machen ^^

    Lösungvorschläge:
    – Schon mal mit iptrace die verbindung in beiden richtung gecheckt?
    – Falls Proxmox verwedet wird, mal in den Firewall settings gucken ob da irgendwas geblockt wurde / wird
    – Ist IPv4 Nating aktiviert?
    – müsste in der wg0 conf vom verbinder nicht noch der eintrag: "PersistentKeepalive = 25" hinzugefügt werden?

    lg

35. Schicke doch Mal Traffic auf die Verbindung, ich meine zu erinnern, dass die Verbindung erst aufgebaut wird, wenn auch ein Paket rüber will. Weiter ändere das /32 des getunnelten Verkehrs auf /24 und prüfe dann Mal die jeweiligen Routing Tabellen. Evtl wird mit dem Netz eine andere Route bevorzugt anstatt sie in den Tunnel zu senden (niedrigere metric).

36. ich glaube das die netzwerk intsllation auch putt ist. irgend was will nicht mehr oder hat noch nie richtig funktioniert. ich hab auch mal eine neue linux intallation gemach und mein admin hate keine rechte ist der beste bug ever wenn man keine rchte auf dem system hat. wo nur neu instaliren oder tiefes eingraifen um sich die rechte wieder zu beschafen hilft. beide wege sind etwa gleich lang. neu instalieren ist meiner meinung immer der bessere weg. weil man nicht weis was noch kaputt gegangen ist und linux mit falschen rechten ist da ein grüpel system. wei immer nur die helfte das macht was es so und die andere helfe streikt und sagt nein ich will nicht mehr.

37. Cooles Video, bin sehr auf die Lösung gespannt 😄

Comments are closed.