Wireguard VPN steht, aber komme am Peer nicht vorbei

Hallo zusammen,

ich habe einen CloudServer und in meinem internen Netz einen (testweise) einen Raspberry Pi zu dem ich die VPN Verbindung aufbaue. Die Verbindung steht soweit. Ich kann vom Client aus den CloudServer anpingen (10.0.0.1). Umgekeht geht das auch (10.0.0.2). Ich kann auch die interne IP Adresse aus dem lokalen Netz anpingen (192.168.1.101). Allerdings bekomme ich keinen Zugriff auf den Rest des Subnetzes. Es ist mir ein Rätsel warum.

Eigentlich will ich den Traffic vom VPN Client nur forwarden auf meinen internen RPM. Leider klappt das nicht. Ich weiß nicht was ich falsch mache.

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.53:80
sudo iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.53 --dport 80 -j SNAT --to-source 192.168.1.101

Das scheint nur leider keine Auswirkung zu haben. Nach der Eingabe bekomme ich folgendes (sudo iptables -L):

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ich wäre super dankbar über jeden Tipp.

Wireguard Client:

Wireguward Server:

Hast du denn auf dem PI auch das Routing in der /etc/sysctl.conf aktiviert?

net.ipv4.ip_forward=1
1 Like

Wäre auch mein Rat gewesen.

Ja das habe ich gemacht.

Ich habs grade nochmals gecheckt. Ich hab versehentlich die falsche Zeile aktiviert. Unfassbar, was mich diese Zeile Lebenszeit gekostet hat! Vielen Dank für euren Tipp!

Was ist denn best practice? Ich würde jetzt eher in der wireguard.conf die PostUp und PostDown nutzen um die iptables regeln festzulegen. Andere machen das direkt in den iptables. Was sagt ihr?

Also ich nutze für Wireguard sowieso kein zusätzliches Device. Schließlich kann das meine Firewall (pfsense) auch. Nun hat zwar nicht jede/r eine dedizierte Firewall, aber nahezu alle halbwegs aktuellen Router können doch auch Wireguard. Wenn man nun nicht ausgerechnet einen Router vom Provider hat, der das nicht kann, sehe ich keinen Grund dafür eine Pi zusätzlich ins Netz zu hängen. Und wenn ich so einen einen Router vom Provider hätte, würd’ ich den zurückgeben und einen eigene kaufen, der kann was ich brauche oder eben besser gleich eine richtige Firewall wie pf- oder OPNsense nehmen.

Deine beiden IPTables-Regeln machen aber für mich auch keinen Sinn. Zumindest die untere nicht.
Die brauchst du durch das Masquerade auf dem Client nicht mehr