Fehlersuche: Keine Browserverbindung über Wireguard?
-
Hi
habe bei mir 2 Netze über Wireguard verbunden und kann von Clients in den Netzen auf Clients in den anderen Netzen schauen etc etc. Darüber schaue ich auch von einem Windows Rechner auf einen IOBroker im anderen Netz. Hat alles über Monate einwandfrei funktioniert.
Heute Morgen stellte ich fest, dass diese Verbindung im Firefox oder Chrome nicht funktioniert und läd. SSH-Verbindungen vom gleichen Windows Client auf z.B. den IOBroker funktionieren problemlos.
Nun bin ich nach ein paar erfolglosen versuchen, wie Reboots und Updates etwas Ideenlos was ich noch probieren kann und woran es liegt?
- Ein einzelnes Problem (Änderung) in zB Firefox kann es doch nicht sein, da Chrome auch nicht funktioniert.
- Da SSH über Putty funktioniert, sollte die wireguard-Verbindung inkl. Routingtabellen etc auch ok sein.
- Eine neue Wireguard-Client-Verbindung über das Smartphone funktioniert 100%, also muß es doch an dem Windows Client liegen, oder?
Habt ihr eine Idee?
Besten Dank!
-
Hi, wuerde erstmal testen, ob es am DNS liegt, wird das richtig aufgeloest in beide Richtungen?
IP Address geht wohl, wie ich das raus lese.. -
@ilovegym
Danke, ich suche mal wie ich das testen kann.Bisher habe ich nur im Browser mit IP-Adressen gearbeitet (FritzBox oder IOBroker) die ich darüber anspreche und die jetzt nicht mehr funktionieren.
Denke, so arbeitet auch die lokal auf dem Windows Client angelegte Routing-Regel. Alles was an 192.168.7.x geht schickt er zum lokalen Wireguard-Client (192.168.0.178).
Simple ping kommandos über das CMD gehen erfolgreich durch.
-
Achso, also wenn du per IP Addresse nicht drauf kommst, stimmt was mit dem Routing nicht, das hat mit DNS nix zu tun.
Irgendwo n Gateway nicht richtig eingetragen? Firewall ?
-
danke, mmh mal die firewall checken.
die lokale routingtabelle sieht für mich noch unverändert ok aus:
-
@dieter_p ja hinzu siehts gut aus, in die andere Richtung auch alles ok?
Firewall checken, ansonsten mal Wireguard anwerfen und den traffic sniffen, da siehste ja dann, was mit den Pakets los is..
-
@ilovegym said in Fehlersuche: Keine Browserverbindung über Wireguard?:
@dieter_p ja hinzu siehts gut aus, in die andere Richtung auch alles ok?
Gerade per Handy getestet, ja aus dem 192.168.7.x Netz mit Wireguard-Server komme ich auf den IOBroker im 192.168.0.x Netz. Also diese Richtung funktioniert.
Es treten also nur Probleme auf sobald ein Browser auf dem einen W10 Client ins Spiel kommt.
Bei der Firewall konnte ich bisher nichts finden. Eine temporäre Deaktivierung brachte leider nichts.
-
Steh leider noch vor einem Rätsel warum alle Browser seit heute nicht funktionieren.
Rein auf IP Ebene ping/traceroute sieht für mich i.o. aus:
Der Ping läuft bis zum Wireguard-Client über den Tunnel und dann zum Client im anderen Netzwerk.
Die Firewall (Kaspersky Internet Security auch mal deinstalliert) ohne Veränderung.
Sämtliche Browser (auch Portable) funktionieren nicht.
Was mich jedoch zusätzlich wundert, auf dem Windows 10 Client habe ich auch einen OpenVPN Client als Backup installiert. Der Server ist identisch zum Wireguard-Server. Stelle ich dort eine Verbindung her, funktioniert die Verbindung, aber im Browser gleiches Ergebnis. Somit 2 Tunnel aber 1 Ergebnis. Hier muß doch was am Windows Client nicht stimmen?
Heute wurde mir W10 22H2 angeboten. Mal installiert und auch Viren und Spybot-Check laufen lassen, aber ohne Erfolg.
Was kann ich tun bevor ich aufgebe und den Rechner platt machen muß?
-
@dieter_p Dann ist das irgenwo in den Windows-Internet-Settings, wo man einstellen kann, dass er auch eine getaktete Verbindung benutzen darf.. ?? Oder so.. Zone / Home / Oeffentlich.. ??
Denke nicht, dass es an deiner Wireguard / Firewall liegt.. da hat Windoofs was verstellt..
-
@ilovegym
Thx, springe da gerade durch aber sehe keine Änderung zu meinem "Standard". Komisch ist ja das Standard surfen im Netz im Browser funktioniert. -
@dieter_p dann schau mal, ob du rausfinden kannst, ob alle Daten vom Browser direkt ins Netz gehen oder alle direkt ueber die vpn.. ? denke da liegt irgendwo der Hund begraben..
Hatte vor jahren auch mal sowas.. da wurde alles direkt geroutet und das vpn nicht fuer den browser genutzt..
weiss aber nicht mehr, was das genau war, war auch aufm Android Tablet, so far I know..Edit: Websocket.. ? Proxy am laufen.. ?? PiHole.. ??
-
Danke. Werde langsam Wahnsinnig damit. Habe heute den Windows 10 Rechner neu installiert und das Ergebnis ist 100% identisch.
"Einfache" Ping Befehle an Clients im anderen Netz oder auch traceroute zeigt mir, dass der Wireguard Tunnel funktioniert. Im Wireguard Status kann ich dann auch sehen wie den Send/Receive Zähler bzgl. Datenverkehr wächst.
Nur Im Browser klappt per direkter Eingabe einer IP kein Zugriff auf zB FritzBox,IOBroker oder ESP8266 Oberflächen. Es kommt mir zwar so vor als ob er etwas läd, da nicht sofort eine Zeitüberschreitung angezeigt wird und einmal wurde der Tab im Browser sogar mit dem Titel "Admin" gefüllt als ich die IObroker Idmin Oberfläche (xxxxxxx:8081) angewählt hab. Aber mehr passiert nicht.
Hab nun aus lauter Elend angefangen die nftables auf dem Wireguard-Client gegen iptables zu tauschen um die Routingtabelle sehen zu können, aber wirklich wissen was ich da tu oder zielgerichtet finde ich das nicht mehr
Am Win10 Rechner ein traceroute nach zB ebay/google zeigt mir dass dies bis zum lokalen Router geht und dann ins Netz (nicht über den Tunnel).
-
@dieter_p hmm das ist so schwer zu sagen, hast du die richtigen Subnetze configuriert und Subnetmasks eingetragen?
Ich denke nicht, dass es dann an Windows liegt.. ist wohl eher ein Routing oder sowas..Ping sendet ja nur n icmp und sagt, da ist irgendwas.. das stimmt dann zwar die route aber es kann trotzdem ein Port, Vlan, oder sowas noch umgeleitet sein.. gerade wenn es nur im browser ist.. da geht ja alles ueber Port 80..
Die Sache ist ja, es hat ja mal alles funktioniert.. also muss irgendwas anders geworden sein.. und wenn es das Windows nicht ist.. dann muss ja beim Netzwerk irgenwas nicht stimmen..
Wenn du an den Anschluss des Windows-Rechners n Linuxrechner anschliesst, geht das dann?
Welche Ports funktionieren? SSH / VNC / RDP ? Ueber IP auch nicht ?Welche IP / Subnetmask hast du denn welchem Netzwerk zugeordnet? Nicht, dass du dir da n Ei gelegt hast.. ??
-
@dieter_p sagte in Fehlersuche: Keine Browserverbindung über Wireguard?:
Am Win10 Rechner ein traceroute nach zB ebay/google zeigt mir dass dies bis zum lokalen Router geht und dann ins Netz (nicht über den Tunnel).
Ah, dann ist klar, der routet alles raus und dein Router routet nicht ins VPN.. oder der Windows Rechner routet nicht uebers VPN.. wo ist denn das VPN aktiv.. im Router oder im Windows ?
-
Den Datenverkehr würde ich auch so erwarten. Ich habe einen "dummen" Vodafone-Kabelrouter damit geht nix. Dahinter im Netz läuft ein Debain Rechner mit IOBroker und Wireguard-Client. Das ist der Start/Endpunkt des Tunnels. Die Netze jeweils dahinter routen die entsprechnden Subnetze dann über den Tunnel.
traceroute ich nach ebay.de dann geht der Traffic direkt über den Vodafone Router ohne Tunnel (10.0.1.x))
traceroute ich eine IP des anderen Netzes, dann geht es über den Tunnel, also alles ok.
so mal grob zur übersicht:
-
Du hast also einmal ein Subnet 192.168.0.1/ ?? 24?? und einmal bei dem WindowsRechner 192.168.7.1/?? 24 ?? oder welche Maske nutzt du? 255.255.255.0 ist /24.. kann ja daran liegen... stell beim Windows Rechner mal ein /16 ein.. also 255.255.0.0 ist keine Gefahr, das System sollte wie gehabt weiter laufen, aber die Chance dass du den Fehler eingrenzen kannst, ist da..
-
Danke, leider ohne Veränderung.
Die Kreise sind die beiden Netzwerke 192.168.7.x/24 und 192.168.0.x/24
Die FrizBox(192.168.7.1) routet Anfragen an 192.168.0.0/24 zum Wirgeguard-Server (192.168.7.100) über den Tunnel 10.0.1.1 zum Wireguard-Client 10.0.1.2(192.168.0.178) bis zum Client z.B. W10-Client 192.168.0.129
In andere Richtung habe ich keinen festen Router sondern setze das Routing fix auf jedem Client um (da doofer Vodafone Router das nicht kann).
Eine Anfrage an 192.168.7x/24 am Client 192.168.0.129 wird an den Wireguard-Client (192.168.0.178) geroutet. Der schickt es über den Tunnel und und dort geht es dann an den Client.
Was mich halt wundert/nervt dass das Monate einwandfrei funktioniert und jetzt nur im Browser diese Probleme auftauchen.
Da es per Ping/Traceroute und SSH per Putty einwandfrei funktioniert. Auf den Port 80 kann ich es auch nicht eingrenzen, da der IObroker Admin ja im Browser auf Port 8081 angefragt wird. -
Danke für Deine Unterstützung!
Habe den entscheidenden Hinweis bekommen. Im Status-Info der Tunnelverbindung wird auch die MTU für das Interface auf Server und Clientseite ausgegeben. Diese wurde automatisch mit 1420 konfiguriert.
Eine manuelle Konfiguration auf 1392 behob den Fehler und alles läuft wiederFür eine Tiefe Erklärung fehlt mir leider das Wissen, aber MTU und Wireguard konnte ich auch diverse Infos im Netz finden zum nachlesen, wenn es mal jemand braucht.
-
@dieter_p na da haben wir wieder was dazu gelernt
