Router m Layer 3 FW einrichten - Kein Internet

Andreas pitzz at gmx.de
So Sep 13 21:52:14 CEST 2020


Hallo,
so wie es für mich ausschaut funktioniert mein/unser Tunnel.
ich habe unten mal meine /etc/config/gateway eingefügt.
vielleicht hilft es ja weiter.

Danke,
Gruß Andreas


Am 13.09.20 um 10:55 schrieb Christian Dresel:
> Hallo Andreas
>
> nein keine Sorge du nervst nicht, wir sind ja da um zu helfen und Wissen
> weiter zu vermitteln :)
>
> ich sehe mittlerweile auch eine Verbindung auf meiner Seite:
>
> interface: wg_AndKhof
>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>   private key: (hidden)
>   listening port: 31358
>
> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>   endpoint: 85.212.100.191:34852
>   allowed ips: 0.0.0.0/0, ::/0
>   latest handshake: 34 seconds ago
>   transfer: 646.79 MiB received, 659.10 MiB sent
>
> Die Sache mit dem wireguard scheint nun zu funktionieren. Der nächste
> Schritt wäre nun, ob du alle Routen von mir erhälst und sie dein Router
> auch installiert. Wir nutzen dazu die Routingtabelle fff =>
>
> ip ro sh tab fff
ip ro sh tab fff
default via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
2.58.112.0/24 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
10.0.0.0/8 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
10.8.0.3 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
und dann geht es noch viel Zeile so weiter...
> bzw.
> ip -6 ro sh tab fff
ip -6 ro sh tab fff
default from 2a00:1aa0:ffff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a01:4f8:c17:5a7a::/64 via fe80::22:33:44:11 dev
wg_TunnelAtF3 proto babel metric 1024 pref medium
default from 2a04:5b81:1fff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a06:e881:340a::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a06:e881:340b::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a06:e881:6900::/44 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a0b:f4c0::/40 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
default from 2a0c:b642:1030::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
proto babel metric 1024 pref medium
64:ff9b::/96 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel metric
1024 pref medium
2001:67c:2ebc::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel
metric 1024 pref medium
.........und so weiter....
>
> da sollten ein haufen routen installiert sein.
>
> Von dir sehe ich die routen bereits:
>
> root at fff-nue2-gw1:/home/christiand# ip -6 ro sh tab fff | grep wg_AndKhof
> 2a0b:f4c0:fb::/48 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
> babel metric 1024 onlink pref medium
> fd43:5602:29bd:d1:: via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
> babel metric 1024 onlink pref medium
> fd43:5602:29bd:d1::/64 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof
> proto babel metric 1024 onlink pref medium
> root at fff-nue2-gw1:/home/christiand# ip ro sh tab fff | grep wg_AndKhof
> 10.50.74.97 via 10.50.74.97 dev wg_AndKhof proto babel onlink
>
> daher gehe ich davon aus, das auch dies bei dir in Ordnung sein wird.
>
> wenn die auch da sind, muss man sich den Clientblock/VLAN Blöcke in der
> config nochmal angucken. Das ganze wäre jetzt aber auf der Mailingliste
> schon wieder besser aufgehoben ;)
Hier nun mal die ganze
/etc/config/gateway

config gateway 'meta'
option config_version '1'

config gateway
option name 'N-KraftshhsGW'

config vlan '1'
option comment 'client'
option ports '1 2 3 4'

config vlan '2'
option comment 'wan'
option ports '5'

config client
option vlan '1'
list ip6addr '2a0b:f4c0:fb::/48'#  public IPv6 Adresse des Gateways mit
Subnetz Maske,
list ip6addr 'fd43:5602:29bd:d1::/64' # ULA IPv6 Adresse des Gateways
mit Subnetz Maske
list ipaddr '10.50.74.96/27' # IPv4 Adresse des Gateways mit Subnetz Maske
option dhcp_start '10.50.74.100' # Startadresse vom DHCP
option dhcp_limit '25'
option chan2ghz '13'
option essid 'GWKhhs.freifunk'

config dns #
list server 'fd43:5602:29bd:ffff:a:a:a:a'
list server 'fd43:5602:29bd:ffff::42'
list server 'fd43:5602:29bd:ffff:a:a:a:a'
list server '10.83.252.11'
list server '10.83.252.0'

config wireguardpeer 'TunnelAtF3'
option endpoint_host '81.95.4.186'
option endpoint_port '31358'
option persistent_keepalive '20'
option remote_public_key '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
option rxcost '4096'
option mtu '1412'
option local_private_key '******mein private Key*****'
>
> Gruß
>
> Christian
>
> On 10.09.20 22:17, Andreas wrote:
>> Hallo Christian,
>> so, hab mal wieder ne Stunde Zeit für den Router gefunden.
>> 1. Bei mir war option local_private_key falsch
>> ich habe es heute geändert, dann configuregateway -c   -t  -a
>> Ergebnis: es läuft immer noch nicht.
>>
>> Ich hoff ich nerve dich mit meinem gebastel nicht zu sehr.
>>
>> bei einem wg kommt jetzt folgendes:
>> root at N-KraftshhsGW:~# wg
>> interface: wg_TunnelAtF3
>>   public key: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>   private key: (hidden)
>>   listening port: 34852
>>   fwmark: 0xc8
>>
>> peer: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>   endpoint: 81.95.4.186:31358
>>   allowed ips: ::/0, 0.0.0.0/0
>>   latest handshake: 1 minute, 6 seconds ago
>>   transfer: 79.15 MiB received, 77.65 MiB sent
>>   persistent keepalive: every 20 seconds
>>
>> Thema Ports: wo stelle ich den listening port ein? musst Du diesen auf
>> der Gegenseite eintragen?
>> An meiner Fritzbox hab ich den Port 34852 frei gegeben - erfolglos.
>> ping 81.95.4.186 läuft.
>>
>> in der /etc/config/gateway steht folgendes:
>> config wireguardpeer 'TunnelAtF3'
>>         option endpoint_host '81.95.4.186'
>>         option endpoint_port '31358'
>>         option persistent_keepalive '20'
>>         option remote_public_key
>> '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
>>         option rxcost '4096'
>>         option mtu '1412'
>>         option local_private_key 'mein priv key aus wg genkey | tee
>> privatekey | wg pubkey > publickey'
>>
>>
>>
>> Gruß
>> Andreas
>>
>>
>>
>>
>>
>>
>> Am 03.09.20 um 11:29 schrieb Christian Dresel:
>>> Hi
>>>
>>> mal kurz auflösen:
>>>
>>> Ja er hat einen wireguard Tunnel zu fff-nue2-gw1. Wir haben uns schon
>>> persönlich getroffen und ich hab ihm danach einen Tunnel eingerichtet.
>>>
>>> ===
>>> interface: wg_AndKhof
>>>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>   private key: (hidden)
>>>   listening port: 31358
>>>
>>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>   allowed ips: 0.0.0.0/0, ::/0
>>> ===
>>>
>>> Ich sehe aber auf nue2 Seite keine Verbindung. Den Fehler sollte man
>>> also im Bereich des wireguard Tunnels suchen.
>>>
>>> - Hat der Router eine IP Adresse bzw. kommt er ins Internet (ifconfig,
>>> meist eth0.2)
>>> - Ist zum Internet irgendeine Firewall die irgendwas blockt?
>>> - Kann der Router die Gegenstelle erreichen (ping IP_ADRESSE)?
>>> - Sind die Keys/Port/ähnliches korrekt?
>>>
>>> Ich hab grad mal am Server ein tcpdump angeschmissen und ich sehe da
>>> Pakete von dir auf dem richtigen Port rein kommen. Vermutlich wäre es
>>> sinnvoll nochmal die Keys abzugleichen.
>>>
>>> Die Public-Keys die auf meiner Seite gelten, siehst du bei der oberen
>>> Ausgabe. Hast du auch darauf geachtet mir deinen Publickey zu geben aber
>>> selbst den Privatekey (der geheim bleiben sollte, den bitte nicht
>>> schicken) einzutragen?
>>>
>>> Gruß
>>>
>>> Christian
>>>
>>> On 02.09.20 04:53, McUles wrote:
>>>> Hallo Andreas,
>>>>
>>>> Sicher das du einen wireguard Tunnel hast?
>>>>
>>>> https://sub.f3netze.de ist eigentlich nur die Registrierungsseite für v6
>>>> IPs.
>>>>
>>>> Du musst noch mit jemanden peeren damit dein L3 Router auch ins Netz
>>>> kommt ;)
>>>>
>>>>
>>>> Mit freifunklichen Grüßen,
>>>>
>>>> McUles
>>>>
>>>>
>>>> Am 01.09.2020 um 22:57 schrieb Andreas:
>>>>> Hallo,
>>>>> ich habe versucht meinen TP-Link TL-WR1043N/ND v2 mit der neuen Layer
>>>>> 3 Firmware ein zu richten. Vorweg: ich gehöre bestimmt nicht zu den
>>>>> Experten, und kann sicherlich noch eine Menge lernen.
>>>>>
>>>>> Im Monitoring finde ich nun meinen Router nun unter:
>>>>> https://monitoring.freifunk-franken.de/mac/30b5c23e8270
>>>>> Einen Internetzugang über das WLAN dieses Routers bekomme ich
>>>>> allerdings nicht. Was kann der Grund dafür sein?
>>>>>
>>>>> Die wireguard Bridge ins https://sub.f3netze.de/   scheint zu
>>>>> funktionieren
>>>>> Eine IP bekomme ich, wenn ich mich ins WLAN einwähle. Zugriff auf das
>>>>> Admin-Portal des Routers geht auch. ping 8.8.8.8 Network is unrechable.
>>>>>
>>>>> Ich vermute den Fehler in /etc/config/gateway im Bereich client:
>>>>> config client
>>>>> option vlan '1'
>>>>> list ip6addr '2a0b:f4c0:fb::/48'
>>>>> list ip6addr 'fd43:5602:29bd:d1::/64'
>>>>> list ipaddr '10.50.74.96/27'
>>>>> option dhcp_start '10.50.74.100'
>>>>> option dhcp_limit '25'
>>>>> option chan2ghz '13'
>>>>>                 option essid 'GWKhhs.freifunk'
>>>>>
>>>>> Danke für Eure Hilfe
>>>>>
>>>>>
>>>>>
>>>> --
>>>> Gruß,
>>>>
>>>> McUles
>>>>



Mehr Informationen über die Mailingliste franken