Wireguard auf Debian 10 -> iptables/nftables Problem

[Avenger]

Hallo,
ich betreibe WG erfolgreich auf Debian9 und Raspian9.
Letzte Woche wollte ich auf Debian Buster umsteigen.
WG lässt sich problemlos installieren, nur ein Haken hat die Sache: Die iptables wurden durch nftables ersetzt.

Code: Alles auswählen

[Interface]
Address = 192.168.99.10/24
ListenPort = ***
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Auf jedem WG Server gibt es die o.g. PostUp Regel oder wie man das nennen mag, damit die Clienten über wg0 ins eth0 kommen können, ohne die Regel funktioniert es nicht.

Kann mir Jemand sagen wie man den "Rattenschwanz" als nftables Befehl übersetzt ?

Ich finde kein Tutorial wo WG mit nftables eingerichtet wird

MfG

[Profbunny]

Hi,

ich habe es letzte Woche auf meinem Raspi nach diesem Tut eingerichtet.
https://xdeb.org/post/2019/09/26/settin ... guard-vpn/

Vorher habe ich allen alten iptables Kram deinstalliert. Zum übersetzen einzelner Regeln kannst du iptables-translate benutzen.

Grüße

[MSfree]

Die iptables wurden durch nftables ersetzt.

Jein. iptables kann man auch unter Raspbian 10 weiterhin nutzen. iptables setzt selbst die Regeln in nftables-Regeln um.

OK, es schadet nichts, sich trotzdem mit nft zu beschäftigen, irgendwann ist nämlich wirklich Schluß mit iptables.

[Avenger]

die Seite hatte ich auch schon gefunden, jedoch sagt mir das alles nichts.

Kannst du mir nicht einfach deine WG-Config hier rein kopieren ?
Also nur die Regeln, keine Keys usw.

[GustavGans]

Hi,
stehe vor dem selben Problen.
Wie hast du das Problem gelöst?

[OrangeJuice]

Vielleicht hilft euch das hier: HowTo: Wechsel von iptables zu nftables

[GustavGans]

Vielleicht hilft euch das hier: HowTo: Wechsel von iptables zu nftables

Hi,
danke!
Leider klappt das bei mir nicht
Bin langsam echt gefrustet.

Das war die Ausgabe.

root@WireguardDeb:/etc/alternatives# iptables-restore-translate -f /etc/wireguard/iptables.txt > /etc/wireguard/nftables.txt
bash: iptables-restore-translate: Kommando nicht gefunden.
root@WireguardDeb:/etc/alternatives#

leider kann ich die ganzen iptables Programme nicht ausführen obwohl ich Sie eigentlich nachinstalliert habe.
Bin eben wirklich ein Anfänger was das angeht

[eggy]

"su" statt "su -" benutzt?

[Avenger]

Bisher auch noch keine Lösung gefunden. Echt komisch dass Niemand Wireguard auf Debian Buster nutzt.

[mat6937]

Echt komisch dass Niemand Wireguard auf Debian Buster nutzt.

Doch es gibt schon Leute die wWG mit Buster nutzen. Und das, entweder mit iptables oder mit nftables.
Betr. nftables siehe den Beitrag von Profbunny » 09.12.2019 08:07:35 , hier in diesem Thread:
https://xdeb.org/post/2019/09/26/settin ... guard-vpn/

[Avenger]

Danke, aber da versteh ich leider nichts von.

Wenn ich Debian Buster installiere, was mache ich dann in der Wireguard Config mit den Befehlen:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Bitte um Antwort und nicht um Links mit Erklärungen die ich nicht verstehe

Entweder iptables installieren oder nftables Befehl mit 2x Forward und 1x NAT/Masq

[eggy]

a) User postet Fehlermeldung
b) Anderer User stellt ja/nein Frage, die in wahrscheinlich 90% der Fälle zur Lösung führt (oder zumindest ausschließt, dass es an sowas einfachem liegt)
c) User ignoriert die Frage
d) User stellt Forderungen in welcher Form Antworten zu geben sind ("ich hab $url gelesen und die Teile $a, $b und $c verstanden, bei $d bin ich ausgestiegen, könnt ihr mir das mal eben kurz erklären?" wäre sinnvoller als "gebt mir keine links, ich will nicht selbst nachdenken". Sorry, auch wenn's wahrscheinlich nicht so gemeint war, aber so kommt das hier an)
e) Anderer User fragt sich was das soll und schreibt deswegen das hier

[mat6937]

Wenn ich Debian Buster installiere, was mache ich dann in der Wireguard Config mit den Befehlen:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Bitte um Antwort ...

Du brauchst diese Befehle (mit iptables) nicht in der Wireguard-Config, wenn Du nftables installiert hast und die erforderlichen forward- bzw. source-NAT-Regel(n) in der Config von nftables richtig eingetragen hast.
Der Link zeigt ja ein funktionierendes Beispiel, wie man nftables diesbezüglich konfigurieren kann.

[Avenger]

ich dreh langsam durch mit Buster.

Versuch Nr.1 heute morgen: 1. Wireguard installiert -> läuft mit Iptabels einwandfrei, Pi-hole -> lässt sich nicht installieren
VM gelöscht
Versuch Nr.2 heute morgen: 1. Pihole installiert, läuft einwandfrei, danach Wireguard installiert -> /usr/bin/wg-quick: line 290: iptables: command not found

[mat6937]

... /usr/bin/wg-quick: line 290: iptables: command not found

Wie ist die anonymisierte Ausgabe von:

Code: Alles auswählen

cat /etc/wireguard/wg0.conf

(oder gleichwertig)?

[Avenger]

sry, bin zu gefrustet, hab die VM wieder gelöscht.

Scheinbar geht beides nicht gleichzeitig (Pihole und Wireguard mit nftables)

[mat6937]

Scheinbar geht beides nicht gleichzeitig (Pihole und Wireguard mit nftables)

Warum soll das nicht möglich sein?

Es ist aber so, iptables ist in wg-quick (das ist ein Script) hard-codiert. Stellt sich die Frage, was passiert wenn iptables nicht vorhanden ist _und_ in keiner einzigen conf-Datei vorhanden ist bzw. gar nicht erwähnt wird? Bekommst Du dann auch diese Fehlermeldung?

EDIT:

Evtl. kannst Du WireGuard auch so konfigurieren, dass wg-quick nicht erforderlich ist bzw. ignoriert wird.

[MSfree]

Es ist aber so, iptables ist in wg-quick hard-codiert

In Zeile 129. Das beudeutet wohl, daß wg-quick ein Skript ist, das man einfach anpassen kann.

Im Übrigen, "command not found" geistert seit gefühlt 2 Jahren durch dieses Forum und hat schlicht mit der Methode zu tun, wie man sich zu root macht. Ich habe einfach keine Lust mehr, in jedem zweiten Thread zu erklären, daß es an der PATH Umgebungsvariable liegt.

[mat6937]

..., das man einfach anpassen kann.

Evtl. ja, aber ich denke, wenn es möglich ist, sollte man den WireGuard ohne wg-quick konfigurieren bzw. verwenden (... damit man mit WireGuard nicht von iptables abhängig ist).

EDIT:

Z. B. entweder mit der interfaces-Datei oder mit einem Script, das mit einer eigenen service-unit gestartet wird.

[Avenger]

wieso läuft es denn "out of the box" wenn Pi Hole nicht installiert ist ?
ich muss wohl bei Debian 9 bleiben. Für eure Links und Beschreibungen bin ich zu blöd.

[mat6937]

wieso läuft es denn "out of the box" wenn Pi Hole nicht installiert ist ?

Wenn das keine rhetorische Frage ist, musst Du uns die vollständige Konfiguration von WireGuard und die von PiHole zeigen .

[Avenger]

Wireguard:

Code: Alles auswählen

[Interface]
Address = 192.168.99.1/24
ListenPort = 51820
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.2/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.3/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.4/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.5/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.6/32, 192.168.74.0/24
Endpoint = ***
PersistentKeepalive = 25

/etc/dhcpcd.conf
...
slaac hwaddr (von mir)
...
interface eth0 (von Pi Hole)
static ip_address=192.168.168.5/24
static routers=192.168.168.1
static domain_name_servers=127.0.0.1


IPv4 Forwarding aktiv

fehlt noch was??

[mat6937]

Wireguard:

Code: Alles auswählen

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

/etc/dhcpcd.conf
...
slaac hwaddr (von mir)
...
interface eth0 (von Pi Hole)
static ip_address=192.168.168.5/24
static routers=192.168.168.1
static domain_name_servers=127.0.0.1

Hast Du jetzt iptables doch installiert?

Wie ist mit und ohne PiHole, die Ausgabe von:

Code: Alles auswählen

cat /etc/resolv.conf

? Hat der WireGuard in beiden Fällen (d. h. auch mit PiHole) Zugang zum DNS-Server, der in der /etc/resolv.conf eingetragen ist?

Teste mal (temporär) _mit_ PiHole und mit folgender (zusätzlicher) Zeile:

Code: Alles auswählen

DNS = 1.1.1.1,1.0.0.1

in der [Interface]-Section der config-Datei des WireGuard.

[Avenger]

Nein, hatte iptabels nie installiert !
Aber ohne Pi Hole hat er die Regeln "genommen" @Debian10 - und Wireguard hat auch funktioniert.

Die iptables stehen in jeder Wireguard Anleitung so, habe noch nie nftables Befehle gesehen.

Im Moment läuft es bestens mit Debian9, mal schauen wann ich noch mal Buster ausprobiere. Melde mich dann wieder.

[mat6937]

Nein, hatte iptabels nie installiert !
Aber ohne Pi Hole hat er die Regeln "genommen" @Debian10 - und Wireguard hat auch funktioniert.

Die iptables stehen in jeder Wireguard Anleitung so, habe noch nie nftables Befehle gesehen.

Ohne PiHole wird er diese Regeln, warum auch immer, denke ich ignoriert haben. Dass diese iptables-Regeln in jeder WireGuard-Anleitung stehen ist ja OK, d. h. aber nicht, dass diese Regeln auch zwingend in der config-Datei des WireGuard eingetragen werden müssen. Ich benutze auch WireGuard und lasse diese erforderlichen iptbales-Regeln (neben anderen Regeln) mit netfilter-persistent setzen. Und es muss auch nicht zwingend iptables sein, Alternativen sind auch OK. Man muss nur schauen wie man, mit dem hard-codierten iptables aus dem wg-quick-Script, klar kommt. Ich benutze z. B. auch FreeBSD mit Wireguard, und dort hat es iptables nie gegeben. Dieses OS hat z. B. 3 verschiedene Packet-Filter zur Auswahl, von denen man sich einen raus suchen und benutzen kann.

Jetzt geht es bei dir doch festzustellen, warum und wie WireGuard, ohne PiHole auf deinem Debian10 "funktioniert"?