jail und Wireguard

[pom]

Hallo,

ich habe auf dem Host Wireguard zu 2 Netzwerken (1.0 und 8.0) eingerichtet (wg0). Ich kann vom Host auch die Rechner in diesen Netzen erreichen.
6.1 ist meine Fritzbox. 6.99 der Host.

netstat -rn
Routing tables

Internet:
Destination Gateway Flags Netif Expire
default 192.168.6.1 UGS igb0
127.0.0.1 link#5 UH lo0
192.168.1.0/24 link#9 US wg0
192.168.6.0/24 link#1 U igb0
192.168.6.1 link#9 UHS lo0
192.168.6.92 link#1 UH lo0
192.168.6.93 link#1 UH lo0
192.168.6.94 link#1 UH lo0
192.168.6.95 link#1 UH lo0
192.168.6.96 link#1 UH lo0
192.168.6.99 link#1 UHS lo0
192.168.8.0/24 link#9 US wg0

wenn wireguard läuft kann ich aber aus den jails (92 - 96 ) keine Hosts mehr im Internet erreichen. Stoppe ich Wireguard geht das wie bisher problemlos.

Woran kann das liegen?

 

[morromett]

wenn wireguard läuft kann ich aber aus den jails (92 - 96 ) keine Hosts mehr im Internet erreichen. Stoppe ich Wireguard geht das wie bisher problemlos.

Woran kann das liegen?

Was hast Du in der WG-config, bei den AllowedIPs eingetragen?

 

[pom]

192.168.8.0/24, 192.168.1.0/24

 

[morromett]

192.168.8.0/24, 192.168.1.0/24

Teste mal temporär mit:

AllowedIPs = 0.0.0.0/0

 

[midnight]

AllowedIPs = 0.0.0.0/0

Das bedeutet doch, dass der gesamte Traffic ueber Wireguard geleitet wird, oder?

192.168.8.0/24, 192.168.1.0/24

Das bedeutet, dass der Traffic in diese Netze ueber Wireguard geleitet wird. Aller anderer Traffic sollte daher an Wireguard vorbei ins Hostsystem funktionieren.

Wie wird Wireguard denn auf dem Hostsystem in die jeweiligen Jails gerouted? Ueber pf? Evtl. fehlt hier einfach die entsprechende Regel.

 

[morromett]

Das bedeutet doch, dass der gesamte Traffic ueber Wireguard geleitet wird, oder?

Ja und ich wusste, dass jetzt so ein Hinweis kommt. ;-)

Ich habe ja auch geschrieben "temporär" (d. h. zum testen und nicht für den produktiven Einsatz) ... und das auch nur weil der TE u. a. auch:

... wenn wireguard läuft kann ich aber aus den jails (92 - 96 ) keine Hosts mehr im Internet erreichen. ...

geschrieben hat.

 

[pom]

Wenn ich AllowedIPs = 0.0.0.0/0 setzte geht gar nichts mehr. Auch auf dem Host nicht.

Jemand noch eine Idee wieso auf dem Host ja alles passt. Aber die Jails nicht ins Netz kommen?

 

[pom]

In der jail kommt bei netstat folgendes:

netstat -r
Routing tables

Internet:
Destination Gateway Flags Netif Expire
mail link#1 UH lo0

 

[morromett]

In der jail kommt bei netstat folgendes:

netstat -r
Routing tables

Internet:
Destination Gateway Flags Netif Expire
mail link#1 UH lo0

Wie ist ohne und mit aktivem WireGuard, in der jail die Ausgabe von:

netstat -4nr

?

 

[Andy_m4]

netstat -rn

Wäre übrigens super, wenn Du Ausgaben von Programmen formatieren würdest. So lässt es sich nur unnötig schwer lesen.

Die Routing-Tabelle sieht soweit normal aus.

wenn wireguard läuft kann ich aber aus den jails (92 - 96 ) keine Hosts mehr im Internet erreichen.

Was bedeutet denn "kein Host mehr erreichen" konkret? Welchen Befehl führst Du aus und was schlägt fehlt bzw. wie ist die entsprechende Fehlermeldung?
Und was ist die Ausgabe von ifconfig (auf dem Host) ?
Sind irgendwelche Firewalls/Paketfilter wie beispielsweise pf oder ipfw aktiv? Und wenn ja, wie sieht da der Regelsatz aus (pfctl -sr all bzw. ipfw list auf dem Host) ?

 

[pom]

Was bedeutet denn "kein Host mehr erreichen" konkret?

D.h. z.B. "pkg upgrade" funktioniert in der jail nicht mehr weil die package server mehr erreichbar sind.

pkg upgrade Updating FreeBSD repository catalogue... pkg: http://pkg.freebsd.org/FreeBSD:13:amd64/quarterly/meta.txz: No address record

Ich habe kein pf laufen. Bin hinter einer Fritz!Box.

ifconfig mit aktivem wireguard sieht so aus:

igb0: flags=8963<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4a520b9<RXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b4
    inet 192.168.6.99 netmask 0xffffff00 broadcast 192.168.6.255
    inet 192.168.6.95 netmask 0xffffffff broadcast 192.168.6.95
    inet 192.168.6.96 netmask 0xffffffff broadcast 192.168.6.96
    inet 192.168.6.94 netmask 0xffffffff broadcast 192.168.6.94
    inet 192.168.6.93 netmask 0xffffffff broadcast 192.168.6.93
    inet 192.168.6.92 netmask 0xffffffff broadcast 192.168.6.92
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb1: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b5
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb2: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b6
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb3: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b7
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
    inet6 ::1 prefixlen 128
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
    inet 127.0.0.1 netmask 0xff000000
    groups: lo
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    ether 58:9c:fc:10:ff:d1
    id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
    maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
    root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
    member: tap1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 8 priority 128 path cost 2000000
    member: tap0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 7 priority 128 path cost 2000000
    member: igb0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 1 priority 128 path cost 2000000
    groups: bridge
    nd6 options=9<PERFORMNUD,IFDISABLED>
tap0: flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=80000<LINKSTATE>
    ether 58:9c:fc:10:ff:b7
    groups: tap
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
tap1: flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=80000<LINKSTATE>
    ether 58:9c:fc:10:dc:05
    groups: tap
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
wg0: flags=80c1<UP,RUNNING,NOARP,MULTICAST> metric 0 mtu 1420
    options=80000<LINKSTATE>
    inet 192.168.6.1 netmask 0xffffff00
    groups: wg
    nd6 options=109<PERFORMNUD,IFDISABLED,NO_DAD>

Und ohne wireguard:

ifconfig
igb0: flags=8963<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4a520b9<RXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b4
    inet 192.168.6.99 netmask 0xffffff00 broadcast 192.168.6.255
    inet 192.168.6.95 netmask 0xffffffff broadcast 192.168.6.95
    inet 192.168.6.96 netmask 0xffffffff broadcast 192.168.6.96
    inet 192.168.6.94 netmask 0xffffffff broadcast 192.168.6.94
    inet 192.168.6.93 netmask 0xffffffff broadcast 192.168.6.93
    inet 192.168.6.92 netmask 0xffffffff broadcast 192.168.6.92
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb1: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b5
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb2: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b6
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb3: flags=8822<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4e527bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6,NOMAP>
    ether d4:5d:64:3e:f6:b7
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
    inet6 ::1 prefixlen 128
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
    inet 127.0.0.1 netmask 0xff000000
    groups: lo
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    ether 58:9c:fc:10:ff:d1
    id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
    maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
    root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
    member: tap1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 8 priority 128 path cost 2000000
    member: tap0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 7 priority 128 path cost 2000000
    member: igb0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 port 1 priority 128 path cost 2000000
    groups: bridge
    nd6 options=9<PERFORMNUD,IFDISABLED>
tap0: flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=80000<LINKSTATE>
    ether 58:9c:fc:10:ff:b7
    groups: tap
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
tap1: flags=8902<BROADCAST,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=80000<LINKSTATE>
    ether 58:9c:fc:10:dc:05
    groups: tap
    media: Ethernet autoselect
    status: no carrier
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

 

[Andy_m4]

pkg: http://pkg.freebsd.org/FreeBSD:13:amd64/quarterly/meta.txz: No address record

Das kann auch einfach daran liegen, das er keine Namensauflösung (DNS) machen kann. Wobei ich jetzt auch nicht davon ausgehen würde, das das lediglich ein DNS-Konfig.Problem ist.

ifconfig mit aktivem wireguard

Ist das eigentlich Absicht, das wg0 die Adresse 192.168.6.1/0xffffff00 hat?
Immerhin war 192.168.6.1 laut Posting #1 in der Routing-Tabelle noch Dein default-Gateway, welches igb0 zugeordnet war.

 

[pom]

Ist das eigentlich Absicht, das wg0 die Adresse 192.168.6.1/0xffffff00 hat?

Das wars, ich hab die Adresse von wg0 von 192.168.6.1 auf 192.168.6.2 geändert. Damit geht alles wie gewünscht!