2 aparte Wireguard servers, zelfde poort, werkt niet - Netwerken

Vraag

donderdag 27 juli 2023 21:44

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Mijn vraag

Ik heb in mijn netwerk thuis 2 Wireguard instanties draaien,
fysiek op 2 verschillende servers.
Ik heb ze identiek gemaakt, zodat in geval van stroomstoring
ik altijd van buitenshuis kan inloggen op 1 van beide servers.
Identiek = zelfde vpn profielen, zelfde poortnummers, zelfde regels in de firewall.

Probleem:
wanneer ik Wireguard server #1 uitzet en ik maak verbinding met Wireguard #2,
dan krijg ik wel een vpn verbinding maar kom niet op mijn interne netwerk.
Ik ben erachter gekomen dat wanneer ik in mijn firewall (OPNsense) beide poorten actief heb staan,
ik problemen heb. Zet ik 1 poort dicht in de firewall dan werkt alles prima.
Ziet er ongeveer zo uit :
allow poort 51820 in UDP > wireguard #1
allow poort 51820 in UDP > wireguard #2

Staan beide regels actief, dan kom ik niet op mijn interne netwerk.
Schakel ik 1 van beide regels uit dan werkt alles goed.
Ik heb wel meer dezelfde poortnummers van verschillende servers actief in mijn firewall zonder problemen.
Waarom geeft Wireguard deze problemen?

Relevante software en hardware die ik gebruik
Wireguard
Debian 11

Wat ik al gevonden of geprobeerd heb
Google

Beste antwoord (via EverLast2002 op 28-07-2023 12:45)

donderdag 27 juli 2023 22:14

remco_k

een cassettebandje was genoeg

[Mad Max] schreef op donderdag 27 juli 2023 @ 21:48:
51821 voor server 1
51821 voor server 2

Euhm, dat kan ook niet. Je zal dit wel hebben bedoeld:
51820 voor server 1
51821 voor server 2

Wat TS wil kan IMO niet op 2x dezelfde poort.

Alles kan stuk.

Alle reacties

donderdag 27 juli 2023 21:48

Acties:

0 Henk 'm!

[Mad Max]

En de modem/router blijft wel online bij stroomstoring?
En twee dezelfde poortnummers op hetzelfde (externe) ip adres is voor zover ik weet niet mogelijk.
Dan kom je in dingen als load balancers terecht, Heb je weer redundantieproblemen erbij.

Als je met twee Wireguard servers wil werken, zal je toch echt met 2 poortnummers moeten werken.
51821 voor server 1
51821 voor server 2

Dit is uiteraard een voorbeeld. Rest van de configuratie moet uiteraard ook kloppen.

donderdag 27 juli 2023 21:56

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Bedankt voor je snelle reactie.
Ik ben er ook achter gekomen dat Wireguard #1 altijd werkt met inloggen,
ook als WG#2 draait en ik heb de zelfde poorten openstaan.
Als ik WG#1 uitzet en op WG#2 inlog dan werkt het opeens niet.

Wat ik al zei, ik heb bepaalde poorten openstaan (443) op hetzelfde externe adres en dat werkt prima.

Helemaal foolproof is het niet, het modem kan inderdaad ook uitvallen.
Maar ik heb een paar mini servers draaien waarvan er 1 een keer een uitval had (kapotte voeding).

[ Voor 20% gewijzigd door EverLast2002 op 27-07-2023 21:58 ]

donderdag 27 juli 2023 22:14

Acties:

Beste antwoord ✓
+2 Henk 'm!

remco_k

een cassettebandje was genoeg

[Mad Max] schreef op donderdag 27 juli 2023 @ 21:48:
51821 voor server 1
51821 voor server 2

Euhm, dat kan ook niet. Je zal dit wel hebben bedoeld:
51820 voor server 1
51821 voor server 2

Wat TS wil kan IMO niet op 2x dezelfde poort.

Alles kan stuk.

donderdag 27 juli 2023 22:44

Acties:

+1 Henk 'm!

[Mad Max]

remco_k schreef op donderdag 27 juli 2023 @ 22:14:
[...]

Euhm, dat kan ook niet. Je zal dit wel hebben bedoeld:
51820 voor server 1
51821 voor server 2

Wat TS wil kan IMO niet op 2x dezelfde poort.

Correct, gebeurd me nou nooit dit soort typefouten. En dan hier...

vrijdag 28 juli 2023 11:19

Acties:

0 Henk 'm!

MasterL

Moderator Internet & Netwerken

Hoe zit het dan met de interne routing? Ik neem aan dat je 1 firewall/gateway heb draaien toch (OPNsense?).
Maar je geeft ook aan de instances identiek zijn, nu is jouw config mij een compleet raadsel maar als ik dit zou moeten opzetten zou ik in ieder geval een uniek subnet per Wireguard instance maken.

bijvoorbeeld static route:
192.168.1.0/24 > route naar WG1
192.168.2.0/24 > route naar WG2

vrijdag 28 juli 2023 12:20

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

MasterL schreef op vrijdag 28 juli 2023 @ 11:19:
Hoe zit het dan met de interne routing? Ik neem aan dat je 1 firewall/gateway heb draaien toch (OPNsense?).
Maar je geeft ook aan de instances identiek zijn, nu is jouw config mij een compleet raadsel maar als ik dit zou moeten opzetten zou ik in ieder geval een uniek subnet per Wireguard instance maken.

bijvoorbeeld static route:
192.168.1.0/24 > route naar WG1
192.168.2.0/24 > route naar WG2

Bedankt, ik ga dit eens proberen.
In feite draaien beide WG servers identiek, dwz wel elk met een eigen uniek ip adres (intern).
Maar het subnet waarop ik "binnenkom" is hetzelfde, wellicht zit daar de fout.
edit: ik heb nu poort 51820 en 51821 geconfigureerd.

[ Voor 3% gewijzigd door EverLast2002 op 28-07-2023 12:27 ]

vrijdag 28 juli 2023 12:48

Acties:

+2 Henk 'm!

Ben(V)

Je probleem komt heel simpel door het feit dat je de verkeerde termen gebruikt.
Het is "port forwarden" en niet "port openen"

Je forward data die op een bepaalde port binnenkomt naar een ipadres (of eigenlijk naar een macadres).
En uiteraard kun je dat niet naar twee verschillende adressen doen, dus pakt in dit geval je router gewoon de eerste die hij tegenkomt en de andere negeert hij.
Een betere firmware in je router zou niet toe laten om een bepaalde port te forwarden naar twee verschillende adressen

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 28 juli 2023 12:52

Acties:

+1 Henk 'm!

McKaamos

Master of the Edit-button

Ben(V) schreef op vrijdag 28 juli 2023 @ 12:48:
Je probleem komt heel simpel door het feit dat je de verkeerde termen gebruikt.
Het is "port forwarden" en niet "port openen"

Je forward data die op een bepaalde port binnenkomt naar een ipadres (of eigenlijk naar een macadres).
En uiteraard kun je dat niet naar twee verschillende adressen doen, dus pakt in dit geval je router gewoon de eerste die hij tegenkomt en de andere negeert hij.
Een betere firmware in je router zou niet toe laten om een bepaalde port te forwarden naar twee verschillende adressen

Exact.

Maar wat ik begrijp is dat TS een soort high-availability/failover setupje wil.
Je zou er een HAProxy of Nginx proxy voor kunnen zetten die dat voor je regelt.

Dan wordt t een port forward van OpnSense naar de proxy, en dan vanaf de proxy naar beide WG machines.

Iemand een Tina2 in de aanbieding?

vrijdag 28 juli 2023 12:53

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Ben(V) schreef op vrijdag 28 juli 2023 @ 12:48:
Je probleem komt heel simpel door het feit dat je de verkeerde termen gebruikt.
Het is "port forwarden" en niet "port openen"

Je forward data die op een bepaalde port binnenkomt naar een ipadres (of eigenlijk naar een macadres).
En uiteraard kun je dat niet naar twee verschillende adressen doen, dus pakt in dit geval je router gewoon de eerste die hij tegenkomt en de andere negeert hij.
Een betere firmware in je router zou niet toe laten om een bepaalde port te forwarden naar twee verschillende adressen

Bedankt voor je uitleg.
Ik snap nog steeds niet als ik WG1 uitzet (poweroff) waarom ik dan wel kan verbinden met WG2 (vpn verbinding komt tot stand) en vervolgens kan ik niet op mijn interne netwerk komen.

vrijdag 28 juli 2023 13:02

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

EverLast2002 schreef op vrijdag 28 juli 2023 @ 12:53:
[...]

Bedankt voor je uitleg.
Ik snap nog steeds niet als ik WG1 uitzet (poweroff) waarom ik dan wel kan verbinden met WG2 (vpn verbinding komt tot stand) en vervolgens kan ik niet op mijn interne netwerk komen.

Hoe heb je ze identiek gemaakt?
Clone gemaakt van de machine? of heb je twee installaties gedaan en daarbij exact dezelfde stappen genomen?

Ben helaas nog geen expert in wireguard, maar meestal staat er in de config van VPN software dat ze een binding aan een bepaald IP adres hebben. (zodattie weet "dit is mijn LAN interface") Als je op WG2 in de config het bind IP van WG1 zet, dan gaat t uiteraard nooit werken. Daar moet t IP van WG2 staan.

Edit: waarom t wel werkt met die twee regels... ik gok dat OpnSense een fall-through lijst gebruikt en bij een destination unreachable gewoon de volgende regel pakt. Effectief doet dat dan wel failover.
Blijkbaar werkt dat dan wel, maar heel netjes uit managablility aspect is het niet. WOrdt t een beetje onduidelijk van, en eigenlijk wil je dan ergens iets van een dergelijke failover config aanmaken, waar je dan je portforward naartoe verwijst. Dat houdt t configtechnisch transparant.

[ Voor 25% gewijzigd door McKaamos op 28-07-2023 13:18 ]

Iemand een Tina2 in de aanbieding?

vrijdag 28 juli 2023 14:20

Acties:

0 Henk 'm!

Ben(V)

EverLast2002 schreef op vrijdag 28 juli 2023 @ 12:53:
[...]

Bedankt voor je uitleg.
Ik snap nog steeds niet als ik WG1 uitzet (poweroff) waarom ik dan wel kan verbinden met WG2 (vpn verbinding komt tot stand) en vervolgens kan ik niet op mijn interne netwerk komen.

Als je dingen doet die niet kunnen dan kan je ook niet verwachten dat er iets logisch uitkomt.
Op deze manier kun je nooit bereiken wat je wilt.

Zoals @McKaamos al zei heb je iets dat die HA functionaliteit voor je regelt zodat je na een adres kunt forwarden.
Je router kan dat niet, dan zou hij failover functionaliteit aan boord moeten hebben.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 28 juli 2023 14:23

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

Ben(V) schreef op vrijdag 28 juli 2023 @ 14:20:
[...]

Als je dingen doet die niet kunnen dan kan je ook niet verwachten dat er iets logisch uitkomt.
Op deze manier kun je nooit bereiken wat je wilt.

Zoals @McKaamos al zei heb je iets dat die HA functionaliteit voor je regelt zodat je na een adres kunt forwarden.
Je router kan dat niet, dan zou hij failover functionaliteit aan boord moeten hebben.

Z'n router lijkt OpnSense te zijn. En die kan een heleboel, waar onder dingetjes met HA. Heb t zelf ook sinds kort. Nog geen tijd gehad om in HA functionaliteit te duiken, maar ik zou er niet van staan te kijken dattie gewoon round-robin doet of fallthrough bij een dubbele verwijzing in de NAT table.

Iemand een Tina2 in de aanbieding?

vrijdag 28 juli 2023 14:25

Acties:

0 Henk 'm!

Paradox

ik heb 2 zelf 2 rules.. eentje met
[peer]
AllowedIPs = 0.0.0.0/0, ::/0

dan routeer ik al het verkeer over die tunnel,

en voor 2 andere heb ik dit staan, dan routeer ik alleen verkeer voor dat netwerk over de tunnel

[peer]
public
preshared etc...
AllowedIPs = 192.168.1.0/24

(en dan nog een 192.168.2.0/24

vrijdag 28 juli 2023 16:36

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Paradox schreef op vrijdag 28 juli 2023 @ 14:25:
ik heb 2 zelf 2 rules.. eentje met
[peer]
AllowedIPs = 0.0.0.0/0, ::/0

dan routeer ik al het verkeer over die tunnel,

en voor 2 andere heb ik dit staan, dan routeer ik alleen verkeer voor dat netwerk over de tunnel

[peer]
public
preshared etc...
AllowedIPs = 192.168.1.0/24

(en dan nog een 192.168.2.0/24

Ik snap het. Je hebt met die laatste twee subnetten een split tunnel gemaakt.

vrijdag 28 juli 2023 16:39

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

McKaamos schreef op vrijdag 28 juli 2023 @ 13:02:
[...]
of heb je twee installaties gedaan en daarbij exact dezelfde stappen genomen?

Dat dus. Twee schone installaties met elk hun eigen ip adres en ik heb alleen de wireguard profiles overgezet van WG1 naar WG2 (pivpn -bk).

vrijdag 28 juli 2023 16:41

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Ben(V) schreef op vrijdag 28 juli 2023 @ 14:20:
[...]

Als je dingen doet die niet kunnen dan kan je ook niet verwachten dat er iets logisch uitkomt.
Op deze manier kun je nooit bereiken wat je wilt.

Zoals @McKaamos al zei heb je iets dat die HA functionaliteit voor je regelt zodat je na een adres kunt forwarden.
Je router kan dat niet, dan zou hij failover functionaliteit aan boord moeten hebben.

Ik snap je opmerking helemaal.
Wat ik bedoelde te zeggen is, waarom werkt WG2 niet zoals het moet, zelfs als WG1 uitstaat en de NAT WG1 regel disabled is..
De firewall is inderdaad OPNsense.

vrijdag 28 juli 2023 16:45

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

EverLast2002 schreef op vrijdag 28 juli 2023 @ 16:39:
[...]

Dat dus. Twee schone installaties met elk hun eigen ip adres en ik heb alleen de wireguard profiles overgezet van WG1 naar WG2 (pivpn -bk).

Ok, profiel overzetten, dan heb je in de config waarschijnlijk een onjuist bind adres staan.

Iemand een Tina2 in de aanbieding?

vrijdag 28 juli 2023 16:46

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

McKaamos schreef op vrijdag 28 juli 2023 @ 16:45:
[...]

Ok, profiel overzetten, dan heb je in de config waarschijnlijk een onjuist bind adres staan.

Dat heb ik allemaal dubbel gecontroleerd en veranderd naar de juiste adressen.

vrijdag 28 juli 2023 16:48

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Ik zou NGINX kunnen gaan draaien, maar dat staat dan op 1 server actief?
Als die server uitvalt heb ik nog geen vpn toegang.

vrijdag 28 juli 2023 17:13

Acties:

+1 Henk 'm!

EverLast2002

Topicstarter

Oke, ik heb het als volgt gedaan:
WG1 en WG2 servers beide actief, elk op een eigen poort (forward), 51820 en 51821.

Op mijn foon en laptop in de vpn client software heb ik 2 profielen gemaakt,
een "gewone" (poort 51820) en een "backup" (poort 51821).
Zo kan ik makkelijk schakelen en hoef ik geen poortnummer handmatig te wijzigen.

Bedankt iedereen voor het meedenken en voor alle handige info !

Pagina: 1

Reageer