WireGuard -> wg0 existiert bereits

[uan]

Ich bekomme es einfach nicht hin.

Ich möchte zwei Netzwerke, Privat und Laden, über nen WG-Tunnel verbinden, der zwischen zwei MiniPC aufgebaut werden soll. Die MiniPC sind zwei Fujitsu S720 mit nem GA217GX, 4GB Ram und 16GB SSD M.2. Das sollte zumindest von der HW ausreichen, zur Not kann man auch nachrüsten, wenns daran scheitern sollte.
Auf beiden ist Debian 12. Letzte Woche hatte ich WG-UI installiert, dachte mir aber, das das overkill ist, das geht auch von der Kommandozeile aus. Mich ein bißchen schlau gemacht und die Konfigfiles für wg0 zusammengebaut. Die sehen aus wie folgt:
Aufm WG Server (Netz laden) 192.168.0.0/24

Code: Alles auswählen

[Interface] 
PrivateKey = Privatekey ladenmaschine
Address = 10.0.0.1/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820

[Peer]
PublicKey = publickey heimmaschine
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25

Zuhause ist 192.168.178.0/24

Code: Alles auswählen

[Interface] 
PrivateKey = private zuhause
Address = 10.0.0.3/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] 
PublicKey = publicladen
Endpoint = meinedyndnsaddy:51820 
AllowedIPs = 10.0.0.0/24, 192.168.0.0/24
PersistentKeepalive = 25

Portforwarding und die statischen Routen sind eingerichtet.

Nachdem ich immer wieder beim uppen

Code: Alles auswählen

wg-quick up wg0

die Meldung bekam, das

Code: Alles auswählen

wg-quick: `wg0' already exists

hab ich aus heute aus lauter Verzweiflung im Laden komplett neu installiert, von debian über WG, dann läuft wenigstens das Konfigfile

Code: Alles auswählen

/etc/wireguard/wg0.conf

Zuhause dasselbe Spiel, das wg0 existiert. Kann das sein, dass der noch ne alte Konfiguration (vermutlich von WG-UI), was vorher lief, irgendwo im Bauch hat? Wie kann ich ihm mitteilen, das mein Konfigfile wg0.conf das einzig wahre ist?
Ich komme nicht weiter, hat vielleicht jemand eine Idee?
Muss ich daheim auch neu installieren?

[mat6937]

Nachdem ich immer wieder beim uppen

Code: Alles auswählen

wg-quick up wg0

die Meldung bekam, das

Code: Alles auswählen

wg-quick: `wg0' already exists

hab ich aus heute aus lauter Verzweiflung im Laden komplett neu installiert, von debian über WG, dann läuft wenigstens das Konfigfile

Code: Alles auswählen

/etc/wireguard/wg0.conf

Zuhause dasselbe Spiel, das wg0 existiert.

Wie sind die Ausgaben von:

Code: Alles auswählen

ip a
wg show
ps aux | grep -i wg

?

[uan]

Mach ich gerne, wird aber abend...

[uan]

fällt mir noch gerade so ein, gibt es bei WG so eine Möglichkeit, alle Konfigurationen zu entfernen und quasi einen jungfräulichen Zustand herzustellen? Weil mir scheint, als wären würden da noch Konfigurationsleichen störfeuern...

[mat6937]

fällt mir noch gerade so ein, gibt es bei WG so eine Möglichkeit, alle Konfigurationen zu entfernen und quasi einen jungfräulichen Zustand herzustellen?

Das ist davon abhängig, wie WG konfiguriert worden ist. Z. B. mache ich das manuell, mit systemd-networkd (wg*.network- und wg*.netdev-Dateien) und wenn man das bzw. diese Dateien wieder entfernen will, muss man das auch manuell machen.

[uan]

fällt mir noch gerade so ein, gibt es bei WG so eine Möglichkeit, alle Konfigurationen zu entfernen und quasi einen jungfräulichen Zustand herzustellen?

Das ist davon abhängig, wie WG konfiguriert worden ist. Z. B. mache ich das manuell, mit systemd-networkd (wg*.network- und wg*.netdev-Dateien) und wenn man das bzw. diese Dateien wieder entfernen will, muss man das auch manuell machen.

Gibt es da Dokumentation drüber?

[mat6937]

Gibt es da Dokumentation drüber?

Ja, z. B.: https://wiki.debian.org/WireGuard

https://wiki.debian.org/SimplePrivateTu ... hWireGuard
https://wiki.debian.org/FreedomBox/Manual/WireGuard

[uan]

So, meine Hausaufgaben

Code: Alles auswählen

ip a

macht

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 90:1b:0e:87:22:5a brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.91/24 brd 192.168.178.255 scope global dynamic noprefixroute enp1s0
       valid_lft 745584sec preferred_lft 745584sec
    inet6 fe80::921b:eff:fe87:225a/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
9: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.252.1.0/24 scope global wg0
       valid_lft forever preferred_lft forever

Code: Alles auswählen

wg show

zeigt

Code: Alles auswählen

interface: wg0
  public key: einen key den ich nicht kenne...
  private key: (hidden)
  listening port: 51820

und

Code: Alles auswählen

ps aux | grep -i wg

führt zu

Code: Alles auswählen

root         467  0.0  0.0   6932  3260 ?        Ss   Mai28   0:00 /bin/bash /etc/wireguard/start-wgui.sh
root        3621  0.0  0.0      0     0 ?        I<   11:26   0:00 [wg-crypt-wg0]
root        3976  0.0  0.0   6352  2236 pts/0    S+   17:36   0:00 grep -i wg

für mich bämmische Därfa

[mat6937]

Code: Alles auswählen

root         467  0.0  0.0   6932  3260 ?        Ss   Mai28   0:00 /bin/bash /etc/wireguard/start-wgui.sh

Befinden sich im Verzeichnis "/etc/wireguard" auch noch andere Scripte, mit denen Du WG konfiguriert hast?

Code: Alles auswählen

ls -la /etc/wireguard

?

[uan]

Code: Alles auswählen

ls -la /etc/wireguard

schmeisst

Code: Alles auswählen

insgesamt 28
drwx------   2 root root  4096 29. Mai 11:26 .
drwxr-xr-x 125 root root 12288 28. Mai 21:10 ..
-rw-------   1 root root    45 28. Mai 21:13 privatekey
-rw-------   1 root root    45 28. Mai 21:13 publickey
-rw-------   1 root root   333 29. Mai 11:26 wg0.conf

und in dem wg0.conf ist der Block von weiter oben.

deshalb fragte ich, ob da der wg0 noch irgenwo anders ne Konfig im Bauch hat...

[mat6937]

Code: Alles auswählen

insgesamt 28
drwx------   2 root root  4096 29. Mai 11:26 .
drwxr-xr-x 125 root root 12288 28. Mai 21:10 ..
-rw-------   1 root root    45 28. Mai 21:13 privatekey
-rw-------   1 root root    45 28. Mai 21:13 publickey
-rw-------   1 root root   333 29. Mai 11:26 wg0.conf

Wie sind die Ausgaben von:

Code: Alles auswählen

ls -la /etc/wireguard/start-wgui.sh
cat /etc/wireguard/start-wgui.sh

? ... oder hast Du das Script gelöscht?
Mach mal vor dem "wg-quick up wg0" ein "wg-quick down wg0".
Poste mal die Ausgabe von:

Code: Alles auswählen

systemctl list-units --all | grep -i wireguard

[debilian]

imho ist es so wirkungsvoller:

Code: Alles auswählen

systemctl list-units --all | grep -i wg

[mat6937]

imho ist es so wirkungsvoller:

Code: Alles auswählen

systemctl list-units --all | grep -i wg

OK, für die device-units/wg-Interfaces, ja. Mir geht es auch darum, ob seine Installations-/Konfigurationsscripte für wireguard, evtl. eine (benutzerdefinierte) service-unit "generiert" haben. Aber er kann ja beides benutzen.

[debilian]

alles gut, ich hatte mich die Tage nur selber verzettelt, da ich nach "wireguard" gegrept habe und nichts kam.
erst als ich kapiert habe, dass ich nach "wg" greppen muss - war alles da, was ich gesucht habe....

[uan]

Code: Alles auswählen

insgesamt 28
drwx------   2 root root  4096 29. Mai 11:26 .
drwxr-xr-x 125 root root 12288 28. Mai 21:10 ..
-rw-------   1 root root    45 28. Mai 21:13 privatekey
-rw-------   1 root root    45 28. Mai 21:13 publickey
-rw-------   1 root root   333 29. Mai 11:26 wg0.conf

Wie sind die Ausgaben von:

Code: Alles auswählen

ls -la /etc/wireguard/start-wgui.sh
cat /etc/wireguard/start-wgui.sh

? ... oder hast Du das Script gelöscht?
Mach mal vor dem "wg-quick up wg0" ein "wg-quick down wg0".
Poste mal die Ausgabe von:

Code: Alles auswählen

systemctl list-units --all | grep -i wireguard

--------------------------------------------------------------------------------------------------------------------------------------------------------

Code: Alles auswählen

ls -la /etc/wireguard/start-wgui.sh
cat /etc/wireguard/start-wgui.sh

Code: Alles auswählen

ls: Zugriff auf '/etc/wireguard/start-wgui.sh' nicht möglich: Datei oder Verzeichnis nicht gefunden

jepp, ich glaube, weil das /etc/wireguard nach der Deinstallation von WG noch da war, hatte ich das Verzeichnis manuell gelöscht, dann WG neu installiert (2x) und das ist der aktuelle Stand auf der Kiste.

Folgende Ausgaben...

Code: Alles auswählen

systemctl list-units --all | grep -i wg

zeigt

Code: Alles auswählen

  sys-devices-virtual-net-wg0.device                                                       loaded    active   plugged   /sys/devices/virtual/net/wg0
  sys-subsystem-net-devices-wg0.device                                                     loaded    active   plugged   /sys/subsystem/net/devices/wg0
  wgui.path                                                                                loaded    active   waiting   Watch /etc/wireguard/wg0.conf for changes
  wg-quick@wg0.service                                                                     loaded    active   exited    WireGuard via wg-quick(8) for wg0
  wgui-web.service                                                                         loaded    active   running   WireGuard UI
  wgui.service                                                                             loaded    inactive dead      Restart WireGuard
  system-wg\x2dquick.slice                                                                 loaded    active   active    Slice /system/wg-quick
  wg-quick.target                                                                          loaded    inactive dead      WireGuard Tunnels via wg-quick(8)

und

Code: Alles auswählen

systemctl list-units --all | grep -i wireguard

führt zu

Code: Alles auswählen

  wgui.path                                                                                loaded    active   waiting   Watch /etc/wireguard/wg0.conf for changes
  wg-quick@wg0.service                                                                     loaded    active   exited    WireGuard via wg-quick(8) for wg0
  wgui-web.service                                                                         loaded    active   running   WireGuard UI
  wgui.service                                                                             loaded    inactive dead      Restart WireGuard
  wg-quick.target                                                                          loaded    inactive dead      WireGuard Tunnels via wg-quick(8)

[uan]

Ich spiele echt mit dem Gedanken, den MiniPC nochmal neu aufzusetzen. Also komplett neu zu installieren, weil da vielleicht noch Gedöns von der WG-UI-Installation ist.

Vielleicht wäre das der konsequentere Weg, weil die beiden Kisten sollen ganz dediziert nur den Tunnel zwischen den beiden Netzwerken aufbauen und sicherstellen. Das ist ja in nem halben Stündchen passiert und übt ja nu auch ein bißchen. Danach sollte dann mit jungfräulichen Installationen das Vorhaben zumindest mal ohne irgendwelche Altlasten gehen.

Was mich dann noch zu einer weiteren Frage bringt (ich frage für nen Freund ): kann ich ein Site-to-Site VPN auch mit WG-UI aufsetzen?

[mat6937]

Code: Alles auswählen

  wgui.path                                                                                loaded    active   waiting   Watch /etc/wireguard/wg0.conf for changes
  wg-quick@wg0.service                                                                     loaded    active   exited    WireGuard via wg-quick(8) for wg0
  wgui-web.service                                                                         loaded    active   running   WireGuard UI
  wgui.service                                                                             loaded    inactive dead      Restart WireGuard
  wg-quick.target                                                                          loaded    inactive dead      WireGuard Tunnels via wg-quick(8)

Wer hat z. B. diese service-units:

Code: Alles auswählen

wgui-web.service                    
wgui.service

generiert/installiert? Wie sind die Ausgaben von:

Code: Alles auswählen

systemctl status wgui-web.service 
systemctl cat wgui-web.service
systemctl cat wgui.service

?

EDIT:

BTW: Um deine Frage zu beantworten, muss man WG-UI erst mal kennen bzw. wissen was das ist.

[uan]

Code: Alles auswählen

systemctl status wgui-web.service

Code: Alles auswählen

● wgui-web.service - WireGuard UI
     Loaded: loaded (/etc/systemd/system/wgui-web.service; enabled; preset: enabled)
     Active: active (running) since Tue 2024-05-28 08:38:37 CEST; 2 days ago
   Main PID: 467 (start-wgui.sh)
      Tasks: 6 (limit: 4222)
     Memory: 21.9M
        CPU: 21.646s
     CGroup: /system.slice/wgui-web.service
             ├─467 /bin/bash /etc/wireguard/start-wgui.sh
             └─475 ./wireguard-ui -bind-address 0.0.0.0:5000

Mai 28 08:38:37 debianf start-wgui.sh[475]: Git Repo        : https://github.com/ngoduykhanh/wireguard-ui
Mai 28 08:38:37 debianf start-wgui.sh[475]: Authentication        : true
Mai 28 08:38:37 debianf start-wgui.sh[475]: Bind address        : 0.0.0.0:5000
Mai 28 08:38:37 debianf start-wgui.sh[475]: Email from        :
Mai 28 08:38:37 debianf start-wgui.sh[475]: Email from name        : WireGuard UI
Mai 28 08:38:37 debianf start-wgui.sh[475]: Custom wg.conf        :
Mai 28 08:38:37 debianf start-wgui.sh[475]: Base path        : /
Mai 28 08:38:37 debianf start-wgui.sh[475]: Subnet ranges        :
Mai 28 08:38:37 debianf start-wgui.sh[475]: Valid subnet ranges:
Mai 28 08:38:37 debianf start-wgui.sh[475]: ⇨ http server started on [::]:5000

Das ist exakt dieses WireGuard-UI (Userinterface?), das ich vorher da drauf hatte. Also wenn ich das richtig verstanden hatte, kannst du da recht simpel Clients einbinden, der erzeugt dann beispielsweise für ein Smartphone gleich die Barcodes - Scannen, bumms drinne. Das ist schon simpel, aber für ein S2S dann vielleicht doch nicht das richtige.

Code: Alles auswählen

systemctl cat wgui-web.service

Code: Alles auswählen

# /etc/systemd/system/wgui-web.service
[Unit]
Description=WireGuard UI

[Service]
Type=simple
ExecStart=/etc/wireguard/start-wgui.sh

[Install]
WantedBy=multi-user.target

und

Code: Alles auswählen

systemctl cat wgui.service

Code: Alles auswählen

# /etc/systemd/system/wgui.service
[Unit]
Description=Restart WireGuard
After=network.target

[Service]
Type=oneshot
ExecStart=/bin/systemctl restart wg-quick@wg0.service

[Install]
RequiredBy=wgui.path

[mat6937]

Code: Alles auswählen

systemctl status wgui-web.service

Code: Alles auswählen

● wgui-web.service - WireGuard UI
     Loaded: loaded (/etc/systemd/system/wgui-web.service; enabled; preset: enabled)
     Active: active (running) since Tue 2024-05-28 08:38:37 CEST; 2 days ago
  

Das ist schon simpel, aber für ein S2S dann vielleicht doch nicht das richtige.

Code: Alles auswählen

systemctl cat wgui.service

Code: Alles auswählen

# /etc/systemd/system/wgui.service
[Unit]
Description=Restart WireGuard
After=network.target
[Service]
Type=oneshot
ExecStart=/bin/systemctl restart wg-quick@wg0.service
[Install]
RequiredBy=wgui.path

Du kannst diese units auch deaktivieren (evtl. maskieren):

Code: Alles auswählen

systemctl stop wgui.service wgui-web.service
systemctl disable wgui.service wgui-web.service
systemctl mask wgui.service wgui-web.service
systemctl status wgui.service wgui-web.service
wg-quick down wg0
reboot

[uan]

Das Ergebnis ist leider immer noch dasselbe.
ich hab das system neu installiert, jetzt lässt sich die Datei angeben, aber in route habe ich keine wg0.

Code: Alles auswählen

route

zeigt

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 enp1s0
192.168.178.0   0.0.0.0         255.255.255.0   U     100    0        0 enp1s0

Ich kapier es nicht. Muss ich den Dienst WireGuard noch irgendwie starten? Ich hab WG installiert, die Keys generiert, die wg0.conf erzeugt - nix...

Serverseitig habe ich in etc/wireguard/wg0.conf

Code: Alles auswählen

[Interface] 
PrivateKey = privatekey server
Address = 10.0.0.1/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820

[Peer]
PublicKey = publickey client
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25

auf Clientseite

Code: Alles auswählen

[Interface] 
PrivateKey = privatekey client
Address = 10.0.0.3/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] 
PublicKey = publickey server
Endpoint = dyndnsaddy:51820 
AllowedIPs = 10.0.0.0/24, 192.168.0.0/24
PersistentKeepalive = 25

[mat6937]

Das Ergebnis ist leider immer noch dasselbe.
ich hab das system neu installiert, jetzt lässt sich die Datei angeben, aber in route habe ich keine wg0.

Nein, das Ergebnis ist nicht dasselbe, denn jetzt hast Du (noch) kein wg0-Interface.
Führe mal:

Code: Alles auswählen

wg-quick up wg0

aus und poste danach die Ausgaben von:

Code: Alles auswählen

ip a
ip r
wg show

[uan]

Klar, mach ich.

Code: Alles auswählen

wg-quick up wg0

macht

Code: Alles auswählen

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.3/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 192.168.0.0/24 dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE
/usr/bin/wg-quick: line 295: iptables: command not found
[#] ip link delete dev wg0

Code: Alles auswählen

ip a

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 90:1b:0e:87:22:5a brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.91/24 brd 192.168.178.255 scope global dynamic noprefixroute enp1s0
       valid_lft 856168sec preferred_lft 856168sec
    inet6 fe80::921b:eff:fe87:225a/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

Code: Alles auswählen

ip r

Code: Alles auswählen

default via 192.168.178.1 dev enp1s0 proto dhcp src 192.168.178.91 metric 100
192.168.178.0/24 dev enp1s0 proto kernel scope link src 192.168.178.91 metric 100

Code: Alles auswählen

wg show

macht keine Ausgabe

[debilian]

wenn du einen Befehl ausführst, z.B. in deinem Fall "iptables"
dann muss das Programm "iptables" auch installiert sein.

Liest du eigentlich auch manchmal Anleitungen zu den Themen,
mit denen du dich befasst?

gruss

d.

[mat6937]

Code: Alles auswählen

/usr/bin/wg-quick: line 295: iptables: command not found

Code: Alles auswählen

apt policy iptables
which iptables

?

EDIT:

BTW: Wenn Du systemd-networkd benutzt und dort etwas konfigurierst, das iptables benutzen soll und iptables nicht installiert ist, wird iptables-legacy benutzt. Eigentlich sollte nftables benutzt werden, statt iptables-legacy, aber damit tun sich die devs von systemd anscheinend noch schwer.

[uan]

wenn du einen Befehl ausführst, z.B. in deinem Fall "iptables"
dann muss das Programm "iptables" auch installiert sein.

Liest du eigentlich auch manchmal Anleitungen zu den Themen,
mit denen du dich befasst?

gruss

d.

Ich danke Dir, Du hast natürlich recht. Ich gebe gerne zu, dass ich in meinem naiven Hirn dachte, so eine Anleitung auf YT wäre der Weisheit letzter Schluß, was es offensichtlich nicht war.
Nachdem ich iptables jetzt auf beiden Seiten nachinstalliert hab, sieht das alles schon anders aus.