2 Wireguards & Routing - Wie sauber konfigurieren?

m-electronics · 3. März 2025 um 20:48

Das sollte jetzt so schon funktionieren. Aber das zu testen, wird ja schwer, da ja dein Handy (hoffentlich) IPv6 hat und das dann ja bevorzugt wird.

Xiaolong · 3. März 2025 um 20:52

Also ich habe eine Domain, die schon seit einiger Zeit per A-Record auf die IP verweist, dazu habe ich noch eine Subdomain.

Also meineDomain.de und flarum.meineDomain.de
Ich kriege bei beiden keinen Ping zurück. Auf dem VPS selber geht’s

xiao@IONOS-VPS:~$ ping meineDomain.de
PING meineDomain.de (87.106.167.247) 56(84) bytes of data.
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=1 ttl=64 time=0.017 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=2 ttl=64 time=0.024 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=3 ttl=64 time=0.023 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=4 ttl=64 time=0.039 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=5 ttl=64 time=0.039 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=6 ttl=64 time=0.046 ms
^C
--- meineDomain.de ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5136ms
rtt min/avg/max/mdev = 0.017/0.031/0.046/0.010 ms
xiao@IONOS-VPS:~$ ping flarum.meineDomain.de
PING flarum.meineDomain.de (87.106.167.247) 56(84) bytes of data.
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=1 ttl=64 time=0.023 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=2 ttl=64 time=0.026 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=3 ttl=64 time=0.028 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=4 ttl=64 time=0.040 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=5 ttl=64 time=0.048 ms
64 bytes from ip87-106-167-247.pbiaas.com (87.106.167.247): icmp_seq=6 ttl=64 time=0.048 ms
^C
--- flarum.meineDomain.de ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5103ms
rtt min/avg/max/mdev = 0.023/0.035/0.048/0.010 ms
xiao@IONOS-VPS:~$ ping irgendwas.meineDomain.de
ping: irgendwas.meineDomain.de: No address associated with hostname

Mache ich das Selbe von z.B. meinem Rechner aus, kriege ich keinen Ping zurück

m-electronics · 3. März 2025 um 20:53

Ne, Ping sollst du ja auch nicht zurückkriegen. Das haben wir ja weder irgendwohin weitergeleitet noch anders konfiguriert. Obwohl wir haben es auch nicht geblockt…

Xiaolong · 3. März 2025 um 20:56

rufe ich http://irgendwas.meineDomain.de auf, dann erhalte ich instant(!) ein:

DNS_PROBE_FINISHED_NXDOMAIN

Nehme ich die Domain selber, bzw. flarum.meineDomain.de, welche ja bei Strato angelegt sind, dann rödelt er lange, aber gibt

ERR_CONNECTION_TIMED_OUT

Also irgendwas passiert da

m-electronics · 3. März 2025 um 20:57

Achso, ja moment… Da fehlt ja noch das SNAT / Masquerade…

chain postrouting {
		type nat hook postrouting priority 100;

	}

Das noch in die table nat mit rein…
Und dann in die WG-Config wg1:
PostUp = nft 'add rule inet nat postrouting oif wg1 masquerade'

m-electronics · 3. März 2025 um 21:01

Und im LXC zu hause auch noch:
PostUp = iptables -t nat -A POSTROUTING -o \<lxc-lan-interface\> -j MASQUERADE

(In den WG1-LXC in die WG-Config)

Bin aber auch für heute erstmal wieder weg. Aber das sollte es gewesen sein
nftables wiki

Xiaolong · 3. März 2025 um 21:09

Danke schonmal dafür, aber noch nicht

Bei der Hauptdomain kommt:
ERR_EMPTY_RESPONSE

Und die Subdomain lädt und lädt und lädt… aber ohne Antwort… Ich denke, das wird aber an der config vom Nginx liegen?

m-electronics · 3. März 2025 um 21:09

Das machen wir morgen, weiß ich nicht genau…
Wieder so 19:30?

Xiaolong · 3. März 2025 um 21:10

Ja, gerne

Gute Nacht!

Edit: zumindest für flarum.meineDomain.de kann ich tatsächlich ein SSL Zertifikat anlegen. Im Browser gibt’s halt ein ERR_TIMED_OUT

m-electronics · 4. März 2025 um 18:38

Moin, bist da?

Blub blub

Xiaolong · 4. März 2025 um 18:40

Ja, bla bla bla für 20 Zeichen

m-electronics · 4. März 2025 um 18:40

Kannst du noch mal die Config von dem WG1 bei dir im LXC zeigen?

Xiaolong · 4. März 2025 um 18:42

[Interface]
Address = 10.20.0.2/32
PrivateKey = <Key>

PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <Key>
PresharedKey = <Key>
AllowedIPs = 10.20.0.0/24
Endpoint = 87.106.167.247:62001
PersistentKeepalive = 25

Grundsätzlich dürfte da aber nichts falsch sein, da ich ohne Probleme ein SSL Zertifikat erstellen kann.

m-electronics · 4. März 2025 um 18:43

Achso, da ist schon MASQUERADE drin, dann müsste es eigentlich auch gehen. Dann mal die Config des NPM? Oder was du als Reverse-proxy verwendest?

Xiaolong · 4. März 2025 um 18:46

Ja ist ein Nginx Proxy Manager

Bin als root eingeloggt, kriege aber keinen Zugriff…

root@Nginx:~# docker exec -it nginx-proxy-manager-app-1 /bin/sh
# /etc/nginx/nginx.conf
/bin/sh: 1: /etc/nginx/nginx.conf: Permission denied

m-electronics · 4. März 2025 um 18:47

Nein, die WebUI aufmachen

Xiaolong · 4. März 2025 um 18:50

*indieEckeKriech*…

m-electronics · 4. März 2025 um 18:50

Ist da denn noch gar nichts an Seiten eingerichtet?

Xiaolong · 4. März 2025 um 18:51

Ich habe nur flarum.meineDomain.de bei den Proxy Hosts angegeben.

m-electronics · 4. März 2025 um 18:51

Und die geht auch nicht? Vielleicht der Host hintendran down?