Router m Layer 3 FW einrichten - Kein Internet

Christian Dresel fff at chrisi01.de
Mo Sep 14 12:48:57 CEST 2020


Hallo Andreas

ich seh auf Anhieb einen Fehler:

On 13.09.20 21:52, Andreas wrote:
> Hallo,
> so wie es für mich ausschaut funktioniert mein/unser Tunnel.
> ich habe unten mal meine /etc/config/gateway eingefügt.
> vielleicht hilft es ja weiter.
> 
> Danke,
> Gruß Andreas
> 
> 
> Am 13.09.20 um 10:55 schrieb Christian Dresel:
>> Hallo Andreas
>>
>> nein keine Sorge du nervst nicht, wir sind ja da um zu helfen und Wissen
>> weiter zu vermitteln :)
>>
>> ich sehe mittlerweile auch eine Verbindung auf meiner Seite:
>>
>> interface: wg_AndKhof
>>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>   private key: (hidden)
>>   listening port: 31358
>>
>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>   endpoint: 85.212.100.191:34852
>>   allowed ips: 0.0.0.0/0, ::/0
>>   latest handshake: 34 seconds ago
>>   transfer: 646.79 MiB received, 659.10 MiB sent
>>
>> Die Sache mit dem wireguard scheint nun zu funktionieren. Der nächste
>> Schritt wäre nun, ob du alle Routen von mir erhälst und sie dein Router
>> auch installiert. Wir nutzen dazu die Routingtabelle fff =>
>>
>> ip ro sh tab fff
> ip ro sh tab fff
> default via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> 2.58.112.0/24 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> 10.0.0.0/8 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> 10.8.0.3 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> und dann geht es noch viel Zeile so weiter...
>> bzw.
>> ip -6 ro sh tab fff
> ip -6 ro sh tab fff
> default from 2a00:1aa0:ffff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a01:4f8:c17:5a7a::/64 via fe80::22:33:44:11 dev
> wg_TunnelAtF3 proto babel metric 1024 pref medium
> default from 2a04:5b81:1fff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a06:e881:340a::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a06:e881:340b::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a06:e881:6900::/44 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a0b:f4c0::/40 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> default from 2a0c:b642:1030::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
> proto babel metric 1024 pref medium
> 64:ff9b::/96 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel metric
> 1024 pref medium
> 2001:67c:2ebc::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel
> metric 1024 pref medium
> .........und so weiter....
>>
>> da sollten ein haufen routen installiert sein.
>>
>> Von dir sehe ich die routen bereits:
>>
>> root at fff-nue2-gw1:/home/christiand# ip -6 ro sh tab fff | grep wg_AndKhof
>> 2a0b:f4c0:fb::/48 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
>> babel metric 1024 onlink pref medium
>> fd43:5602:29bd:d1:: via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
>> babel metric 1024 onlink pref medium
>> fd43:5602:29bd:d1::/64 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof
>> proto babel metric 1024 onlink pref medium
>> root at fff-nue2-gw1:/home/christiand# ip ro sh tab fff | grep wg_AndKhof
>> 10.50.74.97 via 10.50.74.97 dev wg_AndKhof proto babel onlink
>>
>> daher gehe ich davon aus, das auch dies bei dir in Ordnung sein wird.
>>
>> wenn die auch da sind, muss man sich den Clientblock/VLAN Blöcke in der
>> config nochmal angucken. Das ganze wäre jetzt aber auf der Mailingliste
>> schon wieder besser aufgehoben ;)
> Hier nun mal die ganze
> /etc/config/gateway
> 
> config gateway 'meta'
> option config_version '1'
> 
> config gateway
> option name 'N-KraftshhsGW'
> 
> config vlan '1'
> option comment 'client'
> option ports '1 2 3 4'
> 
> config vlan '2'
> option comment 'wan'
> option ports '5'
> 
> config client
> option vlan '1'
> list ip6addr '2a0b:f4c0:fb::/48'#  public IPv6 Adresse des Gateways mit
> Subnetz Maske,

bei IPv6 werden generell an Clients immer /64 vergeben (genauer, hier
wird die Adresse des Routers konfiguriert, aus dem Subnetz werden dann
RA erzeugt die an die Clients weiter gegeben wird, das funktioniert nur
mit /64). Richtig wäre also:

2a0b:f4c0:fb::/64

das ist zwar technisch so korrekt und würde so auch funktionieren (nicht
wie bei IPv4 wo die allererste Adresse im Subnetz reserviert ist), ich
finde es aber dennoch immer schön, nicht die allererste Adresse an den
Router zu vergeben, demnach mache ich persönlich immer:

2a0b:f4c0:fb::1/64
(oder ein anderes Subnetz aus dem /48, das ist ganz dir überlassen, die
"gehört" das ganze /48 das du dir zerteilen kannst wie du willst)

das ist allerdings Geschmackssache ;) Nur /48 ist auf jeden Fall falsch
und musst du korrigeren.

Ich schau gleich mal ins Wiki, ob das dort evtl. undeutlich geschrieben
ist und bessere es, wenn nötig aus.

Ich weiß jetzt gerade nicht, was am Router passiert wenn dort ein /48
steht. Kann gut sein, das dies deinen Fehler schon behebt oder
vielleicht auch nicht. Ansonsten, wenn es nicht hilft, einfach weiter
nerven, dann suchen wir weiter ;)

Denk dran nach dem korrigieren configuregateway wieder laufen zu lassen

Gruß

Christian

> list ip6addr 'fd43:5602:29bd:d1::/64' # ULA IPv6 Adresse des Gateways
> mit Subnetz Maske
> list ipaddr '10.50.74.96/27' # IPv4 Adresse des Gateways mit Subnetz Maske
> option dhcp_start '10.50.74.100' # Startadresse vom DHCP
> option dhcp_limit '25'
> option chan2ghz '13'
> option essid 'GWKhhs.freifunk'
> 
> config dns #
> list server 'fd43:5602:29bd:ffff:a:a:a:a'
> list server 'fd43:5602:29bd:ffff::42'
> list server 'fd43:5602:29bd:ffff:a:a:a:a'
> list server '10.83.252.11'
> list server '10.83.252.0'
> 
> config wireguardpeer 'TunnelAtF3'
> option endpoint_host '81.95.4.186'
> option endpoint_port '31358'
> option persistent_keepalive '20'
> option remote_public_key '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
> option rxcost '4096'
> option mtu '1412'
> option local_private_key '******mein private Key*****'
>>
>> Gruß
>>
>> Christian
>>
>> On 10.09.20 22:17, Andreas wrote:
>>> Hallo Christian,
>>> so, hab mal wieder ne Stunde Zeit für den Router gefunden.
>>> 1. Bei mir war option local_private_key falsch
>>> ich habe es heute geändert, dann configuregateway -c   -t  -a
>>> Ergebnis: es läuft immer noch nicht.
>>>
>>> Ich hoff ich nerve dich mit meinem gebastel nicht zu sehr.
>>>
>>> bei einem wg kommt jetzt folgendes:
>>> root at N-KraftshhsGW:~# wg
>>> interface: wg_TunnelAtF3
>>>   public key: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>   private key: (hidden)
>>>   listening port: 34852
>>>   fwmark: 0xc8
>>>
>>> peer: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>   endpoint: 81.95.4.186:31358
>>>   allowed ips: ::/0, 0.0.0.0/0
>>>   latest handshake: 1 minute, 6 seconds ago
>>>   transfer: 79.15 MiB received, 77.65 MiB sent
>>>   persistent keepalive: every 20 seconds
>>>
>>> Thema Ports: wo stelle ich den listening port ein? musst Du diesen auf
>>> der Gegenseite eintragen?
>>> An meiner Fritzbox hab ich den Port 34852 frei gegeben - erfolglos.
>>> ping 81.95.4.186 läuft.
>>>
>>> in der /etc/config/gateway steht folgendes:
>>> config wireguardpeer 'TunnelAtF3'
>>>         option endpoint_host '81.95.4.186'
>>>         option endpoint_port '31358'
>>>         option persistent_keepalive '20'
>>>         option remote_public_key
>>> '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
>>>         option rxcost '4096'
>>>         option mtu '1412'
>>>         option local_private_key 'mein priv key aus wg genkey | tee
>>> privatekey | wg pubkey > publickey'
>>>
>>>
>>>
>>> Gruß
>>> Andreas
>>>
>>>
>>>
>>>
>>>
>>>
>>> Am 03.09.20 um 11:29 schrieb Christian Dresel:
>>>> Hi
>>>>
>>>> mal kurz auflösen:
>>>>
>>>> Ja er hat einen wireguard Tunnel zu fff-nue2-gw1. Wir haben uns schon
>>>> persönlich getroffen und ich hab ihm danach einen Tunnel eingerichtet.
>>>>
>>>> ===
>>>> interface: wg_AndKhof
>>>>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>>   private key: (hidden)
>>>>   listening port: 31358
>>>>
>>>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>>   allowed ips: 0.0.0.0/0, ::/0
>>>> ===
>>>>
>>>> Ich sehe aber auf nue2 Seite keine Verbindung. Den Fehler sollte man
>>>> also im Bereich des wireguard Tunnels suchen.
>>>>
>>>> - Hat der Router eine IP Adresse bzw. kommt er ins Internet (ifconfig,
>>>> meist eth0.2)
>>>> - Ist zum Internet irgendeine Firewall die irgendwas blockt?
>>>> - Kann der Router die Gegenstelle erreichen (ping IP_ADRESSE)?
>>>> - Sind die Keys/Port/ähnliches korrekt?
>>>>
>>>> Ich hab grad mal am Server ein tcpdump angeschmissen und ich sehe da
>>>> Pakete von dir auf dem richtigen Port rein kommen. Vermutlich wäre es
>>>> sinnvoll nochmal die Keys abzugleichen.
>>>>
>>>> Die Public-Keys die auf meiner Seite gelten, siehst du bei der oberen
>>>> Ausgabe. Hast du auch darauf geachtet mir deinen Publickey zu geben aber
>>>> selbst den Privatekey (der geheim bleiben sollte, den bitte nicht
>>>> schicken) einzutragen?
>>>>
>>>> Gruß
>>>>
>>>> Christian
>>>>
>>>> On 02.09.20 04:53, McUles wrote:
>>>>> Hallo Andreas,
>>>>>
>>>>> Sicher das du einen wireguard Tunnel hast?
>>>>>
>>>>> https://sub.f3netze.de ist eigentlich nur die Registrierungsseite für v6
>>>>> IPs.
>>>>>
>>>>> Du musst noch mit jemanden peeren damit dein L3 Router auch ins Netz
>>>>> kommt ;)
>>>>>
>>>>>
>>>>> Mit freifunklichen Grüßen,
>>>>>
>>>>> McUles
>>>>>
>>>>>
>>>>> Am 01.09.2020 um 22:57 schrieb Andreas:
>>>>>> Hallo,
>>>>>> ich habe versucht meinen TP-Link TL-WR1043N/ND v2 mit der neuen Layer
>>>>>> 3 Firmware ein zu richten. Vorweg: ich gehöre bestimmt nicht zu den
>>>>>> Experten, und kann sicherlich noch eine Menge lernen.
>>>>>>
>>>>>> Im Monitoring finde ich nun meinen Router nun unter:
>>>>>> https://monitoring.freifunk-franken.de/mac/30b5c23e8270
>>>>>> Einen Internetzugang über das WLAN dieses Routers bekomme ich
>>>>>> allerdings nicht. Was kann der Grund dafür sein?
>>>>>>
>>>>>> Die wireguard Bridge ins https://sub.f3netze.de/   scheint zu
>>>>>> funktionieren
>>>>>> Eine IP bekomme ich, wenn ich mich ins WLAN einwähle. Zugriff auf das
>>>>>> Admin-Portal des Routers geht auch. ping 8.8.8.8 Network is unrechable.
>>>>>>
>>>>>> Ich vermute den Fehler in /etc/config/gateway im Bereich client:
>>>>>> config client
>>>>>> option vlan '1'
>>>>>> list ip6addr '2a0b:f4c0:fb::/48'
>>>>>> list ip6addr 'fd43:5602:29bd:d1::/64'
>>>>>> list ipaddr '10.50.74.96/27'
>>>>>> option dhcp_start '10.50.74.100'
>>>>>> option dhcp_limit '25'
>>>>>> option chan2ghz '13'
>>>>>>                 option essid 'GWKhhs.freifunk'
>>>>>>
>>>>>> Danke für Eure Hilfe
>>>>>>
>>>>>>
>>>>>>
>>>>> --
>>>>> Gruß,
>>>>>
>>>>> McUles
>>>>>
> 


Mehr Informationen über die Mailingliste franken