Wireguard portforwarding und NAT auf Sophos UTM einrichten

Percy

@david-g said in Wireguard portforwarding und NAT auf Sophos UTM einrichten:

Hast du in der UTM den Port 51820 nach außen freigegeben? Und wie versuchst du von außen zuzugreifen, über deine öffentliche IP?

David G.

@percy

Ich habe nach meinen Wissensstand den entsprechenden Port (habe einen anderen vergeben) freigegeben.

Zugriff über eine feste öffentliche IP v4.

Ein NAT werde ich ja nicht brauchen oder?

Dolomiti

@david-g
Hallo,
den Port hast du dann auch in der Client & Server-Config eingetragen? Ich meine mich auch noch dunkel erinnern zu können, dass ich damals auf meinem Wiregard-Server-LXC etwas an den iptables gemacht habe.

Zusatz: Sehe gerade, dass der Port in den Config-Dateien vom Install-Skript automatisch eingetragen wird, falls du da auch die 7777 eingegeben hast.

David G.

@dolomiti

Ja, hab die 7777 auch dort eingetragen.
Hier die Generierte config die ich aus dem QR Code bekommen habe:

Dolomiti

@david-g
So sieht meine Config auch aus. Sollte also passen. Welches Protokoll hast du bei Sophos weitergeleitet? Kenne mich mit Sophos nicht aus, deshalb kann ich das deinem Screenshot nicht ersehen.
Wireguard funktioniert nur über UDP.

David G.

@dolomiti

Ja, hab udp weitergeleitet.

Dolomiti

@david-g
Kannst du dem irgendwie mit Wireshark auf die Schliche kommen, also den Traffic bis zum Sophos und vom Sophos bis zum Wireshark mitschneiden. Evtl. bekommt man darüber raus wo es klemmt.

David G.

@dolomiti

Da habe ich so garkeine Ahnung von...

Dolomiti

@david-g
Du musst nur deine Spuren gut verwischen

Dann habe ich auch keine anderen Ideen mehr.

Percy

Alternativ ein anderes Wireguard setup testen. Ich nutze z.B. wg-easy

David G.

@percy

Meine vm läuft auf VMware esxi.
Da kann ich keine Docker Conteiner erstellen.

EDIT
Müsste bei dem 7777 nicht auch Listen stehen? Oder steht das nur bei einer aktiven Verbindung da?

wireguard@wireguard:~$ netstat -tulpen
(Es konnten nicht alle Prozesse identifiziert werden; Informationen über
nicht-eigene Processe werden nicht angezeigt; Root kann sie anzeigen.)
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          12632      -
tcp6       0      0 :::22                   :::*                    LISTEN      0          12634      -
udp        0      0 0.0.0.0:7777            0.0.0.0:*                           0          2458       -
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          12482      -
udp6       0      0 :::7777                 :::*                                0          2459       -
wireguard@wireguard:~$

Dolomiti

@david-g
Sieht bei mir genau so aus. Egal ob ich ne Verbindung vom Handy per VPN habe oder nicht.
Hab mal in anderen Proxmox-LXC´s geschaut, steht überall nur bei TCP listen drin.
Zitat Ubuntu-Wiki:

State	Status der Verbindung. UDP ist ein statusloses Protokoll, deswegen ist diese Spalte bei UDP-Sockets leer.

OliverIO

@david-g

wie kommen die Päckchen zum sophos?
hängt der direkt am internet?
ist davor noch ein Modem oder anderer Netzterminator?

David G.

@oliverio

Noch ein DSL Modem.
Das ist aber als reines Modem konfiguriert und lässt alles durch. Schaue ich mir morgen aber nochmal an.