Toon posts:

[WireGuard] afwijkende poorten, toch verbinding

Pagina: 1
Acties:

Vraag

donderdag 26 maart 2026 13:25

Acties:
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 17:30

EverLast2002

Topicstarter
situatie:
er draait een dedicated WireGuard server (poort 51820 UDP), ervoor een firewall/router met daarin WAN poort 51820 UDP naar intern LAN WG ip adres poort 51820 geforward.
Werkt prima allemaal, ook verbinden met een externe WireGuard vpn client gaat uitstekend.
Vanwege een wijziging in het netwerk op lokatie ben ik van poort 51820 naar 51888 gegaan m.b.t. WireGuard.
Ik heb zowel de vpn client aangepast naar het nieuwe poortnummer en de firewall poort,
echter de WG server draait nog op poort 51820 (was ik vergeten aan te passen).

Hoe kan het dat dit gewoon probleemloos werkt? Ik kan blijven verbinden zonder problemen.
Heeft dit te maken met Stateful Inspection oid?

Dus:
externe vpn client (51888) --> firewall (51888) --> WireGuard server (51820)

mijn verzameling A.I. afbeeldingen

Alle reacties

donderdag 26 maart 2026 20:30

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Mijn gok is dat je òf de WG server nog niet hebt gereset, òf dat je in de firewall alleen de sourcepoort hebt aangepast, en niet de destination port.

Stateful inspection lijkt me uitgesloten. Het verkeer is encrypted, en je kunt dus buiten de header de data niet lezen. En zelfs als de firewall op de een of andere manier zou weten dat het wireguard verkeer is, hoe moet hij dan weten waar het naartoe moet?

vrijdag 27 maart 2026 09:25

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 13:56

MasterL

Moderator Internet & Netwerken
Met gefoward neem ik aan dat je een NAT-DST port foward bedoeld?
Je kan prima een destination port (in jouw geval 51888) forwarden naar een interne port 51820, is dit niet gewoon wat je gedaan hebt?

vrijdag 27 maart 2026 12:44

Acties:
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 17:30

EverLast2002

Topicstarter
In de firewall (DrayTek, dit heet NAT > open ports) staat WAN poort 51888 "open" en verwijst door naar de WG server interrn op LAN poort 51820.
Daarom mijn verbazing dat dit met deze poort combo nog gewoon functioneert en dat ik kan blijven inloggen.

[ Voor 5% gewijzigd door EverLast2002 op 27-03-2026 12:55 ]

mijn verzameling A.I. afbeeldingen

vrijdag 27 maart 2026 14:53

Acties:
  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:38

Shinji

EverLast2002 schreef op vrijdag 27 maart 2026 @ 12:44:
In de firewall (DrayTek, dit heet NAT > open ports) staat WAN poort 51888 "open" en verwijst door naar de WG server interrn op LAN poort 51820.
Daarom mijn verbazing dat dit met deze poort combo nog gewoon functioneert en dat ik kan blijven inloggen.
Hoezo verbaast je dit dan? Je zegt hier in je draytek mee dat die poort 51888 op WAN moet doorzetten naar 51820 op LAN. De server luistert nog op 51820 dus dat gaat gewoon goed. Je doet nu gewoon port translation, naar de poort waar de service op draait.

vrijdag 27 maart 2026 15:00

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 13:56

MasterL

Moderator Internet & Netwerken
Dit is inderdaad precies wat je verwacht van deze instelling.

vrijdag 27 maart 2026 16:25

Acties:
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 17:30

EverLast2002

Topicstarter
Shinji schreef op vrijdag 27 maart 2026 @ 14:53:
[...]


Hoezo verbaast je dit dan? Je zegt hier in je draytek mee dat die poort 51888 op WAN moet doorzetten naar 51820 op LAN. De server luistert nog op 51820 dus dat gaat gewoon goed. Je doet nu gewoon port translation, naar de poort waar de service op draait.
Sorry, mijn fout. Ik zei het verkeerd.
Moest zijn : DrayTek WAN 51888 > DrayTek LAN 51888 > WireGuard server 51820
(en de WG vpn client had ik staan ook op poort 51888)

Kortom, alles staat op poort 51888, en de WireGuard server op poort 51820 (default).

[ Voor 7% gewijzigd door EverLast2002 op 27-03-2026 16:30 ]

mijn verzameling A.I. afbeeldingen

vrijdag 27 maart 2026 16:52

Acties:
  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:38

Shinji

Heb je de draytek al een schop gegeven?

vrijdag 27 maart 2026 17:17

Acties:
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 17:30

EverLast2002

Topicstarter
Shinji schreef op vrijdag 27 maart 2026 @ 16:52:
Heb je de draytek al een schop gegeven?
Ik snap je opmerking maar wat schiet ik daarmee op als de WG server op poort 51820 draait?
Dit is een dedicated WG server, weliswaar een virtual machine, maar op zichzelf staand.
Wanneer alles dat ervoor staat op poort 51888 is ingesteld, en de WG server als einddoel op 51820,
dan kan dit toch niet werken?
Afijn, ik heb inmiddels de configuratie correct ingesteld, maar was gewoon benieuwd hoe het daarvoor kon werken.

mijn verzameling A.I. afbeeldingen

vrijdag 27 maart 2026 17:53

Acties:
  • Shinji
  • Registratie: Februari 2002
  • Laatst online: 21:38

Shinji

EverLast2002 schreef op vrijdag 27 maart 2026 @ 17:17:
[...]


Ik snap je opmerking maar wat schiet ik daarmee op als de WG server op poort 51820 draait?
Dit is een dedicated WG server, weliswaar een virtual machine, maar op zichzelf staand.
Wanneer alles dat ervoor staat op poort 51888 is ingesteld, en de WG server als einddoel op 51820,
dan kan dit toch niet werken?
Afijn, ik heb inmiddels de configuratie correct ingesteld, maar was gewoon benieuwd hoe het daarvoor kon werken.
Omdat misschien iets in de Draytek was blijven hangen op de oude configuratie. Als je hem had herstart en daarna werkte het niet meer wist je dat het een issue in de draytek was. Dat schiet je er mee op, ontdekken waar het probleem zit/zat. Maar goed, als je dat niks interesseert ook prima, maar hoe je alles formuleerde leek het wel alsof je daar naar op zoek was.
Pagina: 1
Reageer