S2S VPN connection steht, aber ich kann vereinzelte Seiten nicht aufrufen

Hallo Forum,
Ich betreibe eine Site2Site WG-Verbindung.
WG Server auf Site A läuft auf einer Proxmox VM (kein LXC).
WG Server auf Site B läuft auf dem DDWRT router.
Site B liegt hinter einem CGNAT, sodass die Verbindung von dieser Seite aufgebaut wird mit keepalive 25s.

Ich kann die Server (weiterer Proxmox mit VMs) hinter Site B pingnen und auf den Proxmox per Browser connecten.

Mein Problem:
Auf dem PVE Site B laufen mehrere VMs. ZBsp: Docker Container mit (Mosquitto, Zigbee2MQTT) als auch eine dedizierte VM mit HomeAssistant (HA). Alle Server sind erreichbar (ping)
Zigbee2MQTT kann ich auch über den Browser erreichen, aber HomeAssistant nicht. … endless loading.

Das komische ist, wenn ich mit einem anderen Rechner (Laptop) mich an Site A mit VPN verbinde, dann funktioniert die HA site. D.h. ich sitze im lokalen LAN von Site A und verbinde mich per WG auf Site A und dann sehe ich HA auf Site B.
Noch komischer ist, dass nach einem WireGuard Site A server reboot, kurzzeitig die Verbindung zum HA funktionierte und dann nach ca. 10min einfach „abgestorben ist“.

Wo genau fange ich an zu debuggen? Hat jemand eine Idee?

UPDATE - I -
Habe die MTU auf 1412 heruntergesetzt und dies scheint das Problem gelöst zu haben.

Scheinbar stehst du auf krumme Zahlen :slight_smile:
Wie auch immer, MSS einstellen nicht vergessen, die ist viel wichtiger als die MTU.

Wenn Du mit krummen Zahlen meine 1412 Einstellung meinst, dann habe ich diese einfach per copy/paste von Dennis Video von vor 2 Jahren genommen. Es scheint zu funktionieren. Habe seither keine Probleme mit der WG Verbindung.

Bezgl. MSS … ich gehe davon aus dass Du die Maximum Segment Size beziehst. Wo genau kann ich das Einstellen?

Ich weiß ja nicht was auf der VM läuft, ich gehe mal von Linux aus.
Dann mit iptables:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss <MTU-40 bytes>

oder für IPv6

ip6tables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss <MTU -60 bytes>

Auf dem OpenWRT sollte es ähnlich funktionieren, ist ja auch ein Linux.

@albix
Die 1412 ist keine krumme Zahl, sondern ergibt sich aus dem Overhead den es bei TCP gibt und ist das Ergebnis einer mathematisch korrekten Berechnung und daher z.B. TCP-basierte Zugriffe wie ssh (TCP-Port 22) unmöglich macht, wenn die MTU in einem Netz mit IPv6-Trafic größer als 1412 wählt. Die minimale MTU sollte nicht unter 1280 liegen.

Siehe: WireGuard MTU Size 1412 - Best Practices IPv4/IPv6 - MTU Berechnen

Da Standort B definitiv hinter einem CGNAT ist, ich aber nicht weiss ob übergreifend IPV6 verwendet wird, habe ich mein MTU auf 1412 angepasst und seither funktioniert die WG-Site2Site Verbindung ohne Probleme.

Gibt es eine Möglichkeit zu prüfen ob man bei CGNAT über IPV6 ins Internet geht?

Bei CGNAT gehst nicht über IPv6, das ist IPv4 NAT mit dem 100.64/10 Prefix (dein Router sollte eine IP aus diesem Bereich haben).
v6 ist nativ, da solltest du eine GUA haben.
Das mit der MTU ist schon richtig, aber PMTUD selten funktioniert ist es nicht verkehrt zusätzlich die MSS einzustellen damit Verbindungen immer funktionieren.

Routerseitig habe ich eine 192. IP-Adresse.
Diese Site ist in Ost-Europa. Es sich um einen lokalen und relativ kleinen, privaten I-Inet Anbieter. Die Leitung geht zwar über Fiber, ist aber relativ langsam.

Meine ursprüngliche Annahme war, dass der Anbieter den I-Net Zugang über v6 macht, jedoch seine Kunden über ein v4 Netz bedient. Kenne mich aber hierbei überhaupt nicht aus.

Anyway, … mit der MTU auf 1412 läuft alles stabil und zuverlässig. Hatte seit der Umstellung keinen drop.

Danke euch allen für den tollen Support.