Router m Layer 3 FW einrichten - Kein Internet

Andreas pitzz at gmx.de
Mo Sep 14 23:12:39 CEST 2020


ich bekomme immer noch kein Netz an meinem Layer-3 TL-WR1043ND-V2.
Ein ping 8.8.8.8 wirft: "connect: Network is unreachable"
Den Fehler in list ip6addr hab ich behoben.
Um Irgendwelche blöden Effekte in den Kommentaren aus zu schließen habe
ich alle Kommentare in der /etc/config/gateway gelöscht.
Das configuregateway -t wirft ein "uci: Entry not found" aus.

was habe ich übersehen? Bzw. was kann ich noch testen?

Gruß
Andreas


Am 14.09.20 um 12:48 schrieb Christian Dresel:
> Hallo Andreas
>
> ich seh auf Anhieb einen Fehler:
>
> On 13.09.20 21:52, Andreas wrote:
>> Hallo,
>> so wie es für mich ausschaut funktioniert mein/unser Tunnel.
>> ich habe unten mal meine /etc/config/gateway eingefügt.
>> vielleicht hilft es ja weiter.
>>
>> Danke,
>> Gruß Andreas
>>
>>
>> Am 13.09.20 um 10:55 schrieb Christian Dresel:
>>> Hallo Andreas
>>>
>>> nein keine Sorge du nervst nicht, wir sind ja da um zu helfen und Wissen
>>> weiter zu vermitteln :)
>>>
>>> ich sehe mittlerweile auch eine Verbindung auf meiner Seite:
>>>
>>> interface: wg_AndKhof
>>>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>   private key: (hidden)
>>>   listening port: 31358
>>>
>>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>   endpoint: 85.212.100.191:34852
>>>   allowed ips: 0.0.0.0/0, ::/0
>>>   latest handshake: 34 seconds ago
>>>   transfer: 646.79 MiB received, 659.10 MiB sent
>>>
>>> Die Sache mit dem wireguard scheint nun zu funktionieren. Der nächste
>>> Schritt wäre nun, ob du alle Routen von mir erhälst und sie dein Router
>>> auch installiert. Wir nutzen dazu die Routingtabelle fff =>
>>>
>>> ip ro sh tab fff
>> ip ro sh tab fff
>> default via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
>> 2.58.112.0/24 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
>> 10.0.0.0/8 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
>> 10.8.0.3 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
>> und dann geht es noch viel Zeile so weiter...
>>> bzw.
>>> ip -6 ro sh tab fff
>> ip -6 ro sh tab fff
>> default from 2a00:1aa0:ffff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a01:4f8:c17:5a7a::/64 via fe80::22:33:44:11 dev
>> wg_TunnelAtF3 proto babel metric 1024 pref medium
>> default from 2a04:5b81:1fff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a06:e881:340a::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a06:e881:340b::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a06:e881:6900::/44 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a0b:f4c0::/40 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> default from 2a0c:b642:1030::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3
>> proto babel metric 1024 pref medium
>> 64:ff9b::/96 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel metric
>> 1024 pref medium
>> 2001:67c:2ebc::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel
>> metric 1024 pref medium
>> .........und so weiter....
>>> da sollten ein haufen routen installiert sein.
>>>
>>> Von dir sehe ich die routen bereits:
>>>
>>> root at fff-nue2-gw1:/home/christiand# ip -6 ro sh tab fff | grep wg_AndKhof
>>> 2a0b:f4c0:fb::/48 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
>>> babel metric 1024 onlink pref medium
>>> fd43:5602:29bd:d1:: via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
>>> babel metric 1024 onlink pref medium
>>> fd43:5602:29bd:d1::/64 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof
>>> proto babel metric 1024 onlink pref medium
>>> root at fff-nue2-gw1:/home/christiand# ip ro sh tab fff | grep wg_AndKhof
>>> 10.50.74.97 via 10.50.74.97 dev wg_AndKhof proto babel onlink
>>>
>>> daher gehe ich davon aus, das auch dies bei dir in Ordnung sein wird.
>>>
>>> wenn die auch da sind, muss man sich den Clientblock/VLAN Blöcke in der
>>> config nochmal angucken. Das ganze wäre jetzt aber auf der Mailingliste
>>> schon wieder besser aufgehoben ;)
>> Hier nun mal die ganze
>> /etc/config/gateway
>>
>> config gateway 'meta'
>> option config_version '1'
>>
>> config gateway
>> option name 'N-KraftshhsGW'
>>
>> config vlan '1'
>> option comment 'client'
>> option ports '1 2 3 4'
>>
>> config vlan '2'
>> option comment 'wan'
>> option ports '5'
>>
>> config client
>> option vlan '1'
>> list ip6addr '2a0b:f4c0:fb::/48'#  public IPv6 Adresse des Gateways mit
>> Subnetz Maske,
> bei IPv6 werden generell an Clients immer /64 vergeben (genauer, hier
> wird die Adresse des Routers konfiguriert, aus dem Subnetz werden dann
> RA erzeugt die an die Clients weiter gegeben wird, das funktioniert nur
> mit /64). Richtig wäre also:
>
> 2a0b:f4c0:fb::/64
>
> das ist zwar technisch so korrekt und würde so auch funktionieren (nicht
> wie bei IPv4 wo die allererste Adresse im Subnetz reserviert ist), ich
> finde es aber dennoch immer schön, nicht die allererste Adresse an den
> Router zu vergeben, demnach mache ich persönlich immer:
>
> 2a0b:f4c0:fb::1/64
> (oder ein anderes Subnetz aus dem /48, das ist ganz dir überlassen, die
> "gehört" das ganze /48 das du dir zerteilen kannst wie du willst)
>
> das ist allerdings Geschmackssache ;) Nur /48 ist auf jeden Fall falsch
> und musst du korrigeren.
>
> Ich schau gleich mal ins Wiki, ob das dort evtl. undeutlich geschrieben
> ist und bessere es, wenn nötig aus.
>
> Ich weiß jetzt gerade nicht, was am Router passiert wenn dort ein /48
> steht. Kann gut sein, das dies deinen Fehler schon behebt oder
> vielleicht auch nicht. Ansonsten, wenn es nicht hilft, einfach weiter
> nerven, dann suchen wir weiter ;)
>
> Denk dran nach dem korrigieren configuregateway wieder laufen zu lassen
>
> Gruß
>
> Christian
>
>> list ip6addr 'fd43:5602:29bd:d1::/64' # ULA IPv6 Adresse des Gateways
>> mit Subnetz Maske
>> list ipaddr '10.50.74.96/27' # IPv4 Adresse des Gateways mit Subnetz Maske
>> option dhcp_start '10.50.74.100' # Startadresse vom DHCP
>> option dhcp_limit '25'
>> option chan2ghz '13'
>> option essid 'GWKhhs.freifunk'
>>
>> config dns #
>> list server 'fd43:5602:29bd:ffff:a:a:a:a'
>> list server 'fd43:5602:29bd:ffff::42'
>> list server 'fd43:5602:29bd:ffff:a:a:a:a'
>> list server '10.83.252.11'
>> list server '10.83.252.0'
>>
>> config wireguardpeer 'TunnelAtF3'
>> option endpoint_host '81.95.4.186'
>> option endpoint_port '31358'
>> option persistent_keepalive '20'
>> option remote_public_key '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
>> option rxcost '4096'
>> option mtu '1412'
>> option local_private_key '******mein private Key*****'
>>> Gruß
>>>
>>> Christian
>>>
>>> On 10.09.20 22:17, Andreas wrote:
>>>> Hallo Christian,
>>>> so, hab mal wieder ne Stunde Zeit für den Router gefunden.
>>>> 1. Bei mir war option local_private_key falsch
>>>> ich habe es heute geändert, dann configuregateway -c   -t  -a
>>>> Ergebnis: es läuft immer noch nicht.
>>>>
>>>> Ich hoff ich nerve dich mit meinem gebastel nicht zu sehr.
>>>>
>>>> bei einem wg kommt jetzt folgendes:
>>>> root at N-KraftshhsGW:~# wg
>>>> interface: wg_TunnelAtF3
>>>>   public key: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>>   private key: (hidden)
>>>>   listening port: 34852
>>>>   fwmark: 0xc8
>>>>
>>>> peer: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>>   endpoint: 81.95.4.186:31358
>>>>   allowed ips: ::/0, 0.0.0.0/0
>>>>   latest handshake: 1 minute, 6 seconds ago
>>>>   transfer: 79.15 MiB received, 77.65 MiB sent
>>>>   persistent keepalive: every 20 seconds
>>>>
>>>> Thema Ports: wo stelle ich den listening port ein? musst Du diesen auf
>>>> der Gegenseite eintragen?
>>>> An meiner Fritzbox hab ich den Port 34852 frei gegeben - erfolglos.
>>>> ping 81.95.4.186 läuft.
>>>>
>>>> in der /etc/config/gateway steht folgendes:
>>>> config wireguardpeer 'TunnelAtF3'
>>>>         option endpoint_host '81.95.4.186'
>>>>         option endpoint_port '31358'
>>>>         option persistent_keepalive '20'
>>>>         option remote_public_key
>>>> '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
>>>>         option rxcost '4096'
>>>>         option mtu '1412'
>>>>         option local_private_key 'mein priv key aus wg genkey | tee
>>>> privatekey | wg pubkey > publickey'
>>>>
>>>>
>>>>
>>>> Gruß
>>>> Andreas
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> Am 03.09.20 um 11:29 schrieb Christian Dresel:
>>>>> Hi
>>>>>
>>>>> mal kurz auflösen:
>>>>>
>>>>> Ja er hat einen wireguard Tunnel zu fff-nue2-gw1. Wir haben uns schon
>>>>> persönlich getroffen und ich hab ihm danach einen Tunnel eingerichtet.
>>>>>
>>>>> ===
>>>>> interface: wg_AndKhof
>>>>>   public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
>>>>>   private key: (hidden)
>>>>>   listening port: 31358
>>>>>
>>>>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
>>>>>   allowed ips: 0.0.0.0/0, ::/0
>>>>> ===
>>>>>
>>>>> Ich sehe aber auf nue2 Seite keine Verbindung. Den Fehler sollte man
>>>>> also im Bereich des wireguard Tunnels suchen.
>>>>>
>>>>> - Hat der Router eine IP Adresse bzw. kommt er ins Internet (ifconfig,
>>>>> meist eth0.2)
>>>>> - Ist zum Internet irgendeine Firewall die irgendwas blockt?
>>>>> - Kann der Router die Gegenstelle erreichen (ping IP_ADRESSE)?
>>>>> - Sind die Keys/Port/ähnliches korrekt?
>>>>>
>>>>> Ich hab grad mal am Server ein tcpdump angeschmissen und ich sehe da
>>>>> Pakete von dir auf dem richtigen Port rein kommen. Vermutlich wäre es
>>>>> sinnvoll nochmal die Keys abzugleichen.
>>>>>
>>>>> Die Public-Keys die auf meiner Seite gelten, siehst du bei der oberen
>>>>> Ausgabe. Hast du auch darauf geachtet mir deinen Publickey zu geben aber
>>>>> selbst den Privatekey (der geheim bleiben sollte, den bitte nicht
>>>>> schicken) einzutragen?
>>>>>
>>>>> Gruß
>>>>>
>>>>> Christian
>>>>>
>>>>> On 02.09.20 04:53, McUles wrote:
>>>>>> Hallo Andreas,
>>>>>>
>>>>>> Sicher das du einen wireguard Tunnel hast?
>>>>>>
>>>>>> https://sub.f3netze.de ist eigentlich nur die Registrierungsseite für v6
>>>>>> IPs.
>>>>>>
>>>>>> Du musst noch mit jemanden peeren damit dein L3 Router auch ins Netz
>>>>>> kommt ;)
>>>>>>
>>>>>>
>>>>>> Mit freifunklichen Grüßen,
>>>>>>
>>>>>> McUles
>>>>>>
>>>>>>
>>>>>> Am 01.09.2020 um 22:57 schrieb Andreas:
>>>>>>> Hallo,
>>>>>>> ich habe versucht meinen TP-Link TL-WR1043N/ND v2 mit der neuen Layer
>>>>>>> 3 Firmware ein zu richten. Vorweg: ich gehöre bestimmt nicht zu den
>>>>>>> Experten, und kann sicherlich noch eine Menge lernen.
>>>>>>>
>>>>>>> Im Monitoring finde ich nun meinen Router nun unter:
>>>>>>> https://monitoring.freifunk-franken.de/mac/30b5c23e8270
>>>>>>> Einen Internetzugang über das WLAN dieses Routers bekomme ich
>>>>>>> allerdings nicht. Was kann der Grund dafür sein?
>>>>>>>
>>>>>>> Die wireguard Bridge ins https://sub.f3netze.de/   scheint zu
>>>>>>> funktionieren
>>>>>>> Eine IP bekomme ich, wenn ich mich ins WLAN einwähle. Zugriff auf das
>>>>>>> Admin-Portal des Routers geht auch. ping 8.8.8.8 Network is unrechable.
>>>>>>>
>>>>>>> Ich vermute den Fehler in /etc/config/gateway im Bereich client:
>>>>>>> config client
>>>>>>> option vlan '1'
>>>>>>> list ip6addr '2a0b:f4c0:fb::/48'
>>>>>>> list ip6addr 'fd43:5602:29bd:d1::/64'
>>>>>>> list ipaddr '10.50.74.96/27'
>>>>>>> option dhcp_start '10.50.74.100'
>>>>>>> option dhcp_limit '25'
>>>>>>> option chan2ghz '13'
>>>>>>>                 option essid 'GWKhhs.freifunk'
>>>>>>>
>>>>>>> Danke für Eure Hilfe
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> --
>>>>>> Gruß,
>>>>>>
>>>>>> McUles
>>>>>>



Mehr Informationen über die Mailingliste franken