Microsoft Edge Browser Die Verbindung wurde zurückgesetzt

Guten Morgen liebe Community,

um auf einige Dienste meines Homelabs zugreifen zu können, habe ich einen Wireguard Tunnel zwischen einem VPS Server (Hetzner) und meinem Homelab installiert und verbunden.
Auf dem VPS Server wird mittels Nginx Proxy Server und einzelner Subdomains auf die Dienste im Homelab verwiesen.
Das funktioniert wunderbar mit Desktop PCs, Laptops und Smartphones auch außerhalb meines Netzwerkes.

Doch auf der Arbeit (Firmennetzwerk) zeigt mir der Microsoft Edge Browser:

Hmmm...diese Seite ist leider nicht erreichbarDie Verbindung wurde zurückgesetzt.
Versuchen Sie Folgendes:

Die Verbindung wird überprüft…
Proxy und Firewall überprüfen
ERR_CONNECTION_RESET

Da man in der Firma bekanntlich nicht viel an den Interneteinstellungen ändern kann, ist meine Frage, ob man eventuell Serverseitig etwas ändern kann, um die strengen Richtlinien innerhalb der Firma zufrieden zu stellen?

Für Hinweise bin ich sehr dankbar, ebenso wie für eure Unterstützung.

Viele Grüße
Mirco

Könnte es ein, dass dort ein Proxy o.ä. im Einsatz ist, der die Verbindung einfach blockiert?! Siehst du zu dem Zeitpunkt des Versuchs auf deinem Server bzw. Service im Logfile Zugriffe?

Vielen lieben Dank für den Hinweis @336522430 die Zugriffe werde ich mir heute Abend mal anschauen.

Auf meinem Hetzner Server ist ein NGINX Proxy installiert, für die Portweitergaben.
Innerhalb der Firma kann ich das nicht sagen, ob ein Proxy zwischengeschaltet ist.

Wäre es für mich besser, anstatt dem NGINX auf Traefik zu setzen?

@336522430 meinte den Proxy in der Firma - ich kenne ne Menge Firmen, die einen sehr strengen Proxy haben und viele Seiten blocken.

Auch dir vielen Dank für deine Antwort.

Das habe ich mir schon gedacht.

Interessant ist, wenn ich in meinem heimischen Netzwerk bin und mit einem VPN Tunnel auf das Firmennetzwerk zugreife, funktioniert das aufrufen der Dienste. Nur im Firmennetzwerk eben nicht.

Ich habe nun auch mal versucht, einen Cloudflare Tunnel zu nutzen:
Mit HTTP erhalte ich die Fehlermeldung => Grund: Die URL fällt in die Kategorie** newly-registered-domain
Mit HTTPS erhalte ich weiterhin die bekannt Fehlermeldung.

Ist eine Proxy ohne SSL-Interception. Daher kommt auch bei HTTPS keine Fehlermeldung des Proxy sondern vom Browser.

Vielen Dank für deinen Hinweis.
Welche Möglichkeiten habe ich zur Behebung dieses Problems?

Eigentlich ist die Hauptdomain, damit danna uch die Supdomains, mit Strato SSL geschützt. Der Proxy Reserve Manager mit Let´s Encrypt.

Domain wechseln oder mit deiner IT des AG sprechen. Letzteres wird sich wohl schwierig gestalten…

Ist es eigentlich egal, wer der Wireguard Server und wer der Wireguard Client ist?

Aktuell ist VPS Server von Hetzner der WG Server und das Homelab der WG Client.
Ich würde gerne noch einen weiteren VPS Server mit ins System nehmen, um eine weitere Domain zu testen.
Daher müsste ich wohl das Homelab als WG Server laufen lassen und die beiden VPs Server als WG Clients, ist das richtig?

Richtig - dabei geht es nur um die Konfig.
WG ist es egal wer Server oder Client ist

Eigentlich ja, aber Server sollte immer die Seite mit der festen IP sein.

Den würde ich als WG-Client fahren, der seine Verbindung zum bisherigen WG-Server aufbaut.

Ich habe das selbst so noch nicht getestet, aber theoretisch müsste es gehen, wenn man die „AllowedIPs“ entsprechend richtig setzt.

Das heisst aber das du ins Homelab erst über den Hetzner musst - Bandbreite ist da sicher nicht das Problem aber evt die Laufzeit

Ich bin selbst nicht bei Hetzner, aber ich denke das die RTT innerhalb des RZ nur ein Bruchteil dessen sein dürfte, was das Internet Deutschland (Neuland) aufweist.

Der Vorteile meines Vorschlages wäre auch sicherheitsrelevant. Bei mehreren VPS würde ich einen als WG-Server definieren und alle anderen als WG-Clients zu diesem verbinden. Somit haben die VPS, die nur WG-Client sind, keine Ports Richtung Internet öffnen.

Aber davon mal abgesehen, und das ist das Schöne an Wireguard, es ist egal wer Server und wer Client ist. Du kannst (theoretisch) sogar eine Server-Server-Verbindung konfigurieren.

Und wenn man die Sache mal weiterspinnt, käme man sogar auf die verrückte Idee einer Dreiecksverbindung. Hier steigt gerade mein Gehirn aus, denn ich habe heute noch nicht gefrühstückt

Das bedeutet, ich gehe nicht direkt vom 2. VPS Server ins Homelab sondern über den 1. VPS Server?

WG Server ist der 1. VPS Server

### 1. VPS Server als WG Server
[Interface]
PrivateKey = XXXX
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820

### HOMELAB
[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.2/24, 192.0.0.0/24 (Homelab Netzwerk)
PersistentKeepalive = 25

### 2. VPS SERVER
[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.3/24, 194.0.0.0/24 (Netzwerk 2. VPS Server)
PersistentKeepalive = 25

Client 1 ist das Homelab => Wireguard auf Proxmox

[Interface]
Address = 10.0.0.2/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o vmbr0 -j MASQUERADE
ListenPort = 51820
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.0/24
Endpoint = 49.0.0.0:51820 (IP Adresse 1. VPS Server)
PersistentKeepalive = 25

Client 2 auf dem 2. VPS Server

[Interface]
Address = 10.0.0.3/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.0/24
Endpoint = 49.0.0.0:51820 (IP Adresse vom 1. VPS Server
PersistentKeepalive = 25

So sollten dann doch alle Clients und der Server konfiguriert werden, oder?

Ist ein sehr guter Hinweis, vielen Dank dafür.
So muss es beim VPS Server bleiben, dank DS Lite

Fast, da fehlen bei Client 1 und Client 2 (2. VPS) noch weitere „AllowedIPs“, wenn du auch deren Netzwerk nach dem WG erreichen möchtest.

AllowedIPs sind als Routen zu verstehen.

Ein Ping von 10.0.0.2 nach 10.0.0.3 und umgekehrt würde funktionieren, aber nicht zwischen 192.0.0.0/24 und 194.0.0.0/24, da die Routen (AllowedIPs) bei den Clients fehlen.

Client 1 (Homelab):

AllowedIPs = 10.0.0.0/24, 194.0.0.0/24 (Netzwerk 2. VPS Server)

Client 2 (2. VPS):

AllowedIPs = 10.0.0.0/24, 192.0.0.0/24 (Homelab Netzwerk)

Beim WG-Server die IPs der Clients mit /32 Präfix:

### HOMELAB
[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.2/32, 192.0.0.0/24 (Homelab Netzwerk)
PersistentKeepalive = 25

### 2. VPS SERVER
[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.3/32, 194.0.0.0/24 (Netzwerk 2. VPS Server)
PersistentKeepalive = 25

Was ich noch bemängeln würde sind die beiden IP-Ranges für Homelab und 2. VPS. Sind das öffentlich zugängliche Netze (mit öffentlichen IPs), dann habe ich nichts gesagt. Aber wenn das nur LANs sind, sollte man hierfür auch private IP-Adressen (RFC 1918) benutzen, keine öffentlichen.

Vielen Dank @Lonaril

der 2. VPS Server hat eine öffentliche und feste IPV4 Adresse.
Das Homelab hingegen ist das Netzwerk der Fritzbox und hat keine öffentliche IP Adresse (DS Lite Anschluss).

Das heißt, die IP Adresse des Homelabs NUC auf dem Proxmox läuft?

Internet -----(WAN)----- Fritzbox -----(LAN)----- NUC (Proxmox)

Im LAN sollten stets nur private IPs gemäß RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) genutzt werden. Der IP-Block 192.0.0.0/24 ist dafür nicht gedacht.
Bei DS-Lite sollte man zudem auch darauf achten, ob nicht auch der Provider eine dieser dafür nutzt statt den für CGNAT aus RFC 6598 vorgesehenen 100.64.0.0/10 Block.

Herzlichen Dank für die Unterstützung.
Ich habe es nun hinbekommen, dass alle drei Instanzen miteinander kommunizieren können