[gelöst] wireguard DNS hinter Tunnel verwenden

[joe2017]

Guten Morgen zusammen,

ich habe ein kleines Problem und bin mir nicht sicher, wo ich den Fehler mach.

Ich habe einen wireguard Server und verbinde mich mit einem Client. Bis hier hin alles gut.
Der Wireguard Server hat eine public IP und im Client ist diese in der config (Endpoint = publicIP) eingetragen.
Jetzt möchte ich den gesamten DNS und Internet Verkehr auch über das Ziel Netz laufen lassen.

Wenn ich in der wirguard config den DNS aus meinem Zielnetz (DNS = IPAdress) eintrage, werden mir Adressen meiner eigenen lokalen Webserver des Zielnetzes aufgelöst, aber keine Internet Adressen (Bsp. google.de) mehr. Weshalb werden die Adressen der eigenen Webserver aufgelöst aber der rest nicht? Ist das ein routing Problem? Oder woran könnte das liegen?

192.168.1.0 (Client Netz)
192.168.18.0 (WIreguard Netz)
172.16.0.0 (WIreguard NAT)
192.168.2.0 (Ziel Netz)

DIe hier angegebenen Adressen sind nicht die richtigen Netze, aber ich wollte das als Erklärung auflisten.

Mein Client (192.168.1.1) verbindet sich über Wireguard (Netz 192.168.18.0) in mein Ziel Netz (192.168.2.0). Hierbei wird die Adresse des Clients via NAT in das Netz 172.16.0.1 umgewandelt.
In meinem Client habe ich jetzt den DNS Server (172.16.2.100) aus meinem Zielnetz angegeben.
Mein Webserver aus dem Zielnetz (192.168.2.111) wird auch mit FQDN (https://domain.de/site) aufgelöst.

Wenn ich jetzt google.de oder eine andere Adresse eingebe, werden diese nicht mehr aufgelöst?

Woran könnte das liegen?

Vielen Dank

[joe2017]

Ich vermut aktuell, dass es nicht einmal ein Problem der DNS AUflösung ist, sondern ein Gateway Problem.

Mein Client hat zu beginn den Gateway seines privaten Routers (192.168.1.250).
Jetzt wird der Tunnel aufgebaut und die DNS Anfrage geht durch den Tunnel und löst die Adresse auf.
Da ich für meinen internen Webserver (192.168.2.111) kein Internet benötige, wird die Webseite angezeigt.
Wenn ich google anfrage benötige ich einen Gateway ins Internet. Wahrscheinlich wird mir die IP sogar aufgelöst. Jedoch hat mein Client vielleicht keine Route ins Internet.
Wie muss ich diese Regel konfigurieren? An welcher Stelle?

[MSfree]

Wahrscheinlich wird mir die IP sogar aufgelöst.

Das könntest du mit

Code: Alles auswählen

nslookup google.de

aus dem Paket bind9-dnsutils selbst überprüfen.

[joe2017]

Ich habe folgenden Link gefunden.
https://www.hosting.de/helpdesk/anleitu ... ard_server

Jedoch funktioniert anschließend beides nicht mehr.

[MSfree]

Ich habe folgenden Link gefunden.
https://www.hosting.de/helpdesk/anleitu ... ard_server

Anleitungen, die mit

Code: Alles auswählen

Führen Sie bitte die folgenden Befehle aus, um Wireguard unter Debian zu installieren:

echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list

beginnen, kannst du unbesehen in die Tonne kloppen.

Das sind Beschreibungen, die einem ganz sicher das System zerbröseln.

[joe2017]

Mir ging es nicht um die Installation von Wireguard.
Ich hab mir nur die Sektion mit dem Gateway angesehen. (Internetzugang für die Clients über den VPN-Tunnel und NAT mit dem Server als Gateway)

[joe2017]

mit nslookup wird übrigens die IP aufgelöst.
Wahrscheinlich hat der Client nur keine Ahnung wie er die Adresse erreichen soll.

[joe2017]

wenn ich an meinem WIreguard ein masquerade im postrouting eintrage funktionieren die externen anfragen (google.de) aber die internen Anfragen nicht mehr.
Kann man ein Masquerade eintragen was nur für externe und nicht für interne Adressen genutzt wird?

Ich muss vor dem masquerade mein internes netz ausschließen.
Also wenn ich eine interne adresse anspreche darf kein masquerade statfinden.

[mat6937]

Jedoch hat mein Client vielleicht keine Route ins Internet.

Wenn Du dir nicht sicher bist, kannst Du das auf dem Client testen, mit z. B.:

Code: Alles auswählen

ip r g 1.1.1.1
nc -zv 1.1.1.1 53

(oder gleichwertig).

[joe2017]

Ich bin ja schon ein Schritt weiter.
Bitte meine letzte Antwort lesen.

[joe2017]

Also mit folgender Regel mach ich ein masquerade für das IP Netz .

Code: Alles auswählen

ip saddr 192.0.2.0/24 masquerade

Ich suche jedoch eine Regel welche diesen Berich nicht maskiert.

besser gesagt suche ich nach einer Regel welche kein masquerade bei einem ip daddr 192.0.2.0/24 macht.

[MSfree]

Also mit folgender Regel mach ich ein masquerade für das IP Netz .

Warum willst du denn überhaupt mit Masquerading arbeiten?

Ich habe mich zwar mit Wireguard noch nicht umfassend beschäftigt, aber ein geroutetes VPN braucht kein Masquerading. Zumindest kann man ein VPN mit OpenVPN als geroutetes VPN einrichten. Wenn Wireguard das nciht ohne Masquerading kann, würde ich es nicht verwenden wollen.

[mat6937]

Kann man ein Masquerade eintragen was nur für externe und nicht für interne Adressen genutzt wird?

Masquerade (source-nat) kann man gezielt nur für das gewünschte output-Interface, konfigurieren.
Wie sind die Ausgaben von:

Code: Alles auswählen

iptables -nvx -L -t nat
sysctl net.ipv4.conf.all.src_valid_mark
sysctl net.ipv4.conf.all.accept_source_route
sysctl net.ipv4.conf.all.rp_filter

(all evtl. auch durch das Interface ersetzen)?
Für die source-IP/-net kann man auch die Negation, in der Regel benutzen.

[joe2017]

das Interface wäre ja in der Regel das gleiche.
Aber ein negativ hört sich sehr gut an. Wie mache ich das? Also in der nftable Regel?

[mat6937]

Aber ein negativ hört sich sehr gut an. Wie mache ich das? Also in der nftable Regel?

Mit " !=". Z. B.:

Code: Alles auswählen

iifname "wlan0" ip saddr != 192.168.178.0/24 ct state invalid,new,untracked counter packets 109 bytes 11212 reject

[joe2017]

Hi mat6937,

vielen Dank für die Info. Das hat bestens funktioniert.