Re: krijg Wireguard niet aan de gang met IPv6

To: Geert Stappers <stappers@stappers.nl>
Cc: debian-user-dutch@lists.debian.org
Subject: Re: krijg Wireguard niet aan de gang met IPv6
From: Gĳs Hillenius <gijs@hillenius.net>
Date: Sat, 18 Sep 2021 08:51:32 +0200
Message-id: <[🔎] 87czp6wf4b.fsf@hillenius.net>
In-reply-to: <[🔎] 20210917204510.cd7anxhi5lgjnetc@gpm.stappers.nl> (Geert Stappers's message of "Fri, 17 Sep 2021 22:45:10 +0200")
References: <[🔎] 877dffembd.fsf@hillenius.net> <[🔎] 75dea09c1e4a459664d843e6d5240d286cbebcaf.camel@zeewinde.xyz> <[🔎] 874kajcfjj.fsf@hillenius.net> <[🔎] 20210917204510.cd7anxhi5lgjnetc@gpm.stappers.nl>

[...] knip

>> 
>> Op IRC werd ik gewezen op een bug:
>> 
>> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=993716
>
> Package: bridge-utils
> Titel: IPv6 network bridge fails after upgrading Buster to Bullseye
>  
>> ik ben er nog niet helemaal zeker van of dat is wat me hier overkomt.
>
> Mijn inschatting is van niet.
>  
>
> In configuration van de client staat "ListenPort = 21841".
> Er is geen reden voor de client om te luisteren.

Ow! Da's alvast een ding! En ik maar braaf internethandleidingen volgen.

> Althans niet in de set-up die ik succesvol ingebruik heb.

huidige confs:  (ik laat de regels met comments weg).

client

,----
| [Interface]
| Address = 10.93.15.2/24, fdab:9205:cf78:f608::2/64
| PrivateKey = <snip>
| 
| [Peer]
| PublicKey = P3GrgaFCxj6gc6CnOUPo8vxBtKaOcKa7wa8LoL1oUl0=
| Endpoint = [2a01:4f8:200:546b::9e15:1]:51820
| AllowedIPs = 0.0.0.0/0, ::/0
| 
| PersistentKeepalive = 25
`----

server
,----
| [Interface]
| Address = 10.93.15.1/24, fdab:9205:cf78:f608::1/64
| PrivateKey = <snip>
| ListenPort = 51820
| 
| [Peer]
| PublicKey = nRwfI98C+AFDaLZuaF1i7YWrj7yQDHrQO07XvivGn2U=
| AllowedIPs = 10.93.15.2/32, fdab:9205:cf78:f608::2/128
`----



>
> De client configuratie regel
>   Endpoint = 2a01:4f8:200:546b::9e15:1:51820
> vind ik erg vreemd.

Helemaal mee eens! Ik was (gewoon) onder de indruk van software die al
die : uit elkaar wist te houden.

> Mijn (te korte??) websearch leverde
> geen voorbeeld op dat het zo zou kunnen werken.
>
> Een websearch op "IPv6 port syntax"
> ( https://duckduckgo.com/?q=IPv6+port+syntax )
> leert dat
>   Endpoint = [2a01:4f8:200:546b::9e15:1]:51820
> een grotere kans van slagen heeft.

Eveneens aangepast. Maar ik ben er nog niet.


> Hoe er rekening mee dat na die twee veranderingen
> het geheel nog niet compleet hoeft te zijn.
> In dat geval a.u.b. de bijgewerkte versie van beide configuraties laten
> zien, alleen de Private key verborgen, de Public keys wel laten zien. ook
> de output van `sudo wg` van beide kanten. De `wg` output in zijn geheel
> laten zien, want de private key wordt verborgen gehouden.
> Plus wat tekst hoe het kapot gaat danwel wat er zou moeten werken
> maar dat net niet doet.

Op de client dee ik net:


wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.93.15.2/24 dev wg0
[#] ip -6 address add fdab:9205:cf78:f608::2/64 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] wg set wg0 fwmark 51820
[#] ip -6 route add ::/0 dev wg0 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip6tables-restore -n
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n


en dan testen met ping
ping6 ping.xs4all.nl
PING ping.xs4all.nl(ping.xs4all.nl (2001:888:0:5::1)) 56 data bytes
^C
--- ping.xs4all.nl ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4077ms


ping4 ping.xs4all.nl
PING  (194.109.6.8) 56(84) bytes of data.
64 bytes from ping.xs4all.nl (194.109.6.8): icmp_seq=1 ttl=56 time=11.3 ms
64 bytes from ping.xs4all.nl (194.109.6.8): icmp_seq=2 ttl=56 time=11.3 ms


Nog steeds op de client:

/etc/wireguard# wg
interface: wg0
  public key: nRwfI98C+AFDaLZuaF1i7YWrj7yQDHrQO07XvivGn2U=
  private key: (hidden)
  listening port: 48540
  fwmark: 0xca6c

peer: <snip>
  endpoint: [2a01:4f8:200:546b::9e15:1]:51820
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 4 seconds ago
  transfer: 11.93 KiB received, 24.81 KiB sent
  persistent keepalive: every 25 seconds

Op de server:

wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.93.15.1/24 dev wg0
[#] ip -6 address add fdab:9205:cf78:f608::1/64 dev wg0
[#] ip link set mtu 1420 up dev wg0


Gek of niet? Di's veel korter dan op de client, niets over routes en sysctl


als root, de output van wg

interface: wg0
  public key: P3GrgaFCxj6gc6CnOUPo8vxBtKaOcKa7wa8LoL1oUl0=
  private key: (hidden)
  listening port: 51820

peer: <snip>
  endpoint: [2a02:a03f:6b2d:b400:5fb2:6d1d:1a9a:dc69]:48540
  allowed ips: 10.93.15.2/32, fdab:9205:cf78:f608::2/128
  latest handshake: 50 seconds ago
  transfer: 106.50 KiB received, 249.61 KiB sent

^^^ die received sent cijfers groeien als ik ping4 doe. Ze groeien OOK
als ik ping6 doe.

Reply to:

Follow-Ups:
- Re: krijg Wireguard niet aan de gang met IPv6
  - From: Geert Stappers <stappers@stappers.nl>

References:
- krijg Wireguard niet aan de gang met IPv6
  - From: Gĳs Hillenius <gijs@hillenius.net>
- Re: krijg Wireguard niet aan de gang met IPv6
  - From: Martijn van de Streek <martijn@zeewinde.xyz>
- Re: krijg Wireguard niet aan de gang met IPv6
  - From: Gĳs Hillenius <gijs@hillenius.net>
- Re: krijg Wireguard niet aan de gang met IPv6
  - From: Geert Stappers <stappers@stappers.nl>

Prev by Date: Re: krijg Wireguard niet aan de gang met IPv6
Next by Date: Re: UEFI + LEGACY op USB
Previous by thread: Re: krijg Wireguard niet aan de gang met IPv6
Next by thread: Re: krijg Wireguard niet aan de gang met IPv6
Index(es):
- Date
- Thread