[Anleitung] WireGuard mit WireGuard-UI auf Proxmox

Yogi 0

Moin,

ich habe alles nach der Anleitung durchgeführt, funktioniert prinzipiell auch, allerdings erhalte ich immer nach dem Connecten einen Handshake Error "Handshake for peer 1 (...) did not complete after 5 seconds".

Nachdem ich alles neu installiert, Keypairs neu generiert, und auch mit den MTU-Settings experimentiert habe, bin ich nun zur Lösung gekommen: Bei mir ist es so, dass sobald ich einen neuen Client angelegt habe, den kompletten Container in Proxmox ein mal neu starten muss, damit die Verbindung mit dem neuen Client zugelassen wird und kein Handshake Error erscheint.

Wird hier glaube ich nirgends erwähnt, vielleicht ist dass auch nur bei mir so? Und warum genau weiß ich auch nicht, wollte es aber auch nicht vorenthalten!

Grüße gehen raus,

Yogi

CrunkFX

@yogi-0 Im Client gibt es oben rechts den Button Apply config, der übernimmt diese Funktion. Scheinbar funktioniert dieser Service bei dir nicht. Was sagt:

systemctl status wgui

LG

Yogi 0

@crunkfx

Das könnte die Ursache sein, der Dienst failed:

Spoiler

root@wireguard:~# systemctl status wgui

• wgui.service - Restart WireGuard
  Loaded: loaded (/etc/systemd/system/wgui.service; enabled; vendor preset: enabled)
  Active: failed (Result: exit-code) since Tue 2022-01-04 08:42:05 CET; 1h 30min ago
  TriggeredBy: * wgui.path
  Process: 168 ExecStart=/usr/bin/systemctl restart wg-quick@wg0.service (code=exited, status=203/EXEC)
  Main PID: 168 (code=exited, status=203/EXEC)
  CPU: 792us

Jan 04 08:42:05 wireguard systemd[1]: Starting Restart WireGuard...
Jan 04 08:42:05 wireguard systemd[1]: wgui.service: Main process exited, code=exited, status=203/EXEC
Jan 04 08:42:05 wireguard systemd[1]: wgui.service: Failed with result 'exit-code'.
Jan 04 08:42:05 wireguard systemd[1]: Failed to start Restart WireGuard.

Noch eine zusätzliche Frage am Rande: Mit welchem Befehl lässt sich das admin Passwort vom WireguardUI admin/admin festlegen?

Vielen Dank für die Unterstützung!

CrunkFX

@yogi-0 Die Zugangsdaten können direkt mit dem Installer geändert werden, dazu nochmal den Befehl vom Installer starten und im Menü Anmeldedaten ändern auswählen.

Bei dir scheint WireGuard selbst ein Problem zu haben.
Was sagt:

wg

und

systemctl status wg-quick@wg0.service

Yogi 0

@crunkfx

wg sagt:

wg

root@wireguard:~# wg
interface: wg0
 public key: WjGWQEQ9X5W605f7[...]
 private key: (hidden)
 listening port: 51820

peer: 13qKqAxtImgf4E8CGZL[...]
 preshared key: (hidden)
 endpoint: 83.133.188.206:49665
 allowed ips: 10.252.1.3/32
 latest handshake: 1 minute, 46 seconds ago
 transfer: 1.94 MiB received, 6.22 MiB sent

peer: 3j3RByaYzLRUpZnKe1[...]
 preshared key: (hidden)
 endpoint: 83.133.188.206:45362
 allowed ips: 10.252.1.1/32
 latest handshake: 2 minutes, 7 seconds ago
 transfer: 2.08 MiB received, 9.92 MiB sent

peer: EsAGlMxNVNdSs1JEZ[...]
 preshared key: (hidden)
 allowed ips: 10.252.1.2/32

systemctl sagt:

systemctl status wg-quick@wg0.service

root@wireguard:~# systemctl status wg-quick@wg0.service
* wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
    Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; vendor preset: enabled)
   Drop-In: /etc/systemd/system/wg-quick@wg0.service.d
            `-boringtun.conf
    Active: active (exited) since Tue 2022-01-04 08:42:06 CET; 1h 50min ago
      Docs: man:wg-quick(8)
            man:wg(8)
            https://www.wireguard.com/
            https://www.wireguard.com/quickstart/
            https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
            https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
   Process: 189 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=0/SUCCESS)
  Main PID: 189 (code=exited, status=0/SUCCESS)
       CPU: 23ms

Jan 04 08:42:06 wireguard systemd[1]: Starting WireGuard via wg-quick(8) for wg0...
Jan 04 08:42:06 wireguard wg-quick[189]: [#] ip link add wg0 type wireguard
Jan 04 08:42:06 wireguard wg-quick[189]: [#] wg setconf wg0 /dev/fd/63
Jan 04 08:42:06 wireguard wg-quick[189]: [#] ip -4 address add 10.252.1.0/24 dev wg0
Jan 04 08:42:06 wireguard wg-quick[189]: [#] ip link set mtu 1450 up dev wg0
Jan 04 08:42:06 wireguard wg-quick[189]: [#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Jan 04 08:42:06 wireguard systemd[1]: Finished WireGuard via wg-quick(8) for wg0.

CrunkFX

@yogi-0 Kannst du bitte einmal im Menü vom UI auf Apply Config klicken und danach den Output von:

systemctl status wgui

hier einstellen.

Danke

Yogi 0

@crunkfx

Hier die Ausgabe, nachdem auf Apply Config geklickt wurde:

Spoiler

root@wireguard:~# systemctl status wgui
* wgui.service - Restart WireGuard
    Loaded: loaded (/etc/systemd/system/wgui.service; enabled; vendor preset: enabled)
    Active: failed (Result: exit-code) since Tue 2022-01-04 11:09:45 CET; 6s ago
TriggeredBy: * wgui.path
   Process: 5792 ExecStart=/usr/bin/systemctl restart wg-quick@wg0.service (code=exited, status=203/EXEC)
  Main PID: 5792 (code=exited, status=203/EXEC)
       CPU: 511us

Jan 04 11:09:45 wireguard systemd[1]: Starting Restart WireGuard...
Jan 04 11:09:45 wireguard systemd[1]: wgui.service: Main process exited, code=exited, status=203/EXEC
Jan 04 11:09:45 wireguard systemd[1]: wgui.service: Failed with result 'exit-code'.
Jan 04 11:09:45 wireguard systemd[1]: Failed to start Restart WireGuard.

CrunkFX

@yogi-0 Was zeigt:

ls /bin

Yogi 0

@crunkfx

bin zeigt folgende Inhalte:

Spoiler

root@wireguard:~# ls /bin
bash          cat            domainname  gzip        lsmod       networkctl     ntfstruncate  rm         systemctl                       true             zegrep
bunzip2       chgrp          dumpkeys    hostname    mkdir       nisdomainname  ntfsusermap   rmdir      systemd                         udevadm          zfgrep
busybox       chmod          echo        ip          mknod       ntfs-3g        ntfswipe      rnano      systemd-ask-password            ulockmgr_server  zforce
bzcat         chown          ed          journalctl  mktemp      ntfs-3g.probe  openvt        run-parts  systemd-escape                  umount           zgrep
bzcmp         chvt           egrep       kbd_mode    more        ntfscat        pidof         sed        systemd-hwdb                    uname            zless
bzdiff        cp             false       kill        mount       ntfscluster    ping          setfont    systemd-inhibit                 uncompress       zmore
bzegrep       cpio           fgconsole   kmod        mountpoint  ntfscmp        ping4         setupcon   systemd-machine-id-setup        unicode_start    znew
bzexe         dash           fgrep       ln          mt          ntfsfallocate  ping6         sh         systemd-notify                  vdir
bzfgrep       date           findmnt     loadkeys    mt-gnu      ntfsfix        plymouth      sleep      systemd-sysusers                wdctl
bzgrep        dd             fuser       login       mv          ntfsinfo       ps            ss         systemd-tmpfiles                which
bzip2         df             fusermount  loginctl    nano        ntfsls         pwd           static-sh  systemd-tty-ask-password-agent  ypdomainname
bzip2recover  dir            grep        lowntfs-3g  nc          ntfsmove       rbash         stty       tar                             zcat
bzless        dmesg          gunzip      ls          nc.openbsd  ntfsrecover    readlink      su         tempfile                        zcmp
bzmore        dnsdomainname  gzexe       lsblk       netcat      ntfssecaudit   red           sync       touch                           zdiff

CrunkFX

@yogi-0 Kannst du bitte einmal folgendes ausführen :

wget https://raw.githubusercontent.com/KleSecGmbH/ioBroker/main/wireguard/wgui-bin.service -O /etc/systemd/system/wgui.service

und anschließend

systemctl daemon-reload
systemctl stop wgui
systemctl start wgui
systemctl status wgui

Yogi 0

@crunkfx

Okay ich habe den Dienst jetzt neu geladen und anschließend nochmal den Status ausgegeben, scheint jetzt zumindest vernünftig zu starten:

root@wireguard:~# systemctl status wgui
* wgui.service - Restart WireGuard
     Loaded: loaded (/etc/systemd/system/wgui.service; enabled; vendor preset: enabled)
     Active: inactive (dead) since Tue 2022-01-04 12:03:46 CET; 6min ago
TriggeredBy: * wgui.path
    Process: 7665 ExecStart=/bin/systemctl restart wg-quick@wg0.service (code=exited, status=0/SUCCESS)
   Main PID: 7665 (code=exited, status=0/SUCCESS)
        CPU: 1ms

Jan 04 12:03:45 wireguard systemd[1]: Starting Restart WireGuard...
Jan 04 12:03:46 wireguard systemd[1]: wgui.service: Succeeded.
Jan 04 12:03:46 wireguard systemd[1]: Finished Restart WireGuard.

Habe nochmal in der WireguardUI auf Apply Config geklickt, ich glaube da tut sich nach wie vor nichts, denn eigentlich müsste der Server ja neustarten, aber ich kann nach dem Klick in der UI unmittelbar weiter navigieren... ?

CrunkFX

@yogi-0 Nein, der Server muss nicht Neustarten, nur der WireGuard Dienst um die neue Konfiguration anzunehmen. Du kannst das testen indem du einen neuen Client im UI anlegst und dieser direkt nach dem Klick auf Aplly Config funktioniert.

Yogi 0

@crunkfx

leider funktioniert der Neustart des Dienstes über den Apply Config Button immer noch nicht, die VPN Verbindung schmeißt wieder den Handshake Error

2022-01-04 12:18:00.964: [TUN] [test] Handshake for peer 1 ([...]:51820) did not complete after 5 seconds, retrying (try 2)

Nachdem manuellen Neustart über systemctl stop/start wgui funktioniert der Client entsprechend dann. Woran könnte es noch liegen, dass der Button den Befehl nicht vernünftig an den Container weiterleiten kann?

nerg

@crunkfx Thema Container-recyceln: sollte ich denn nicht den docker Kram etc runter werfen? Welche apt Pakete wären das?

CrunkFX

@yogi-0 Entschuldige bitte die verspätete Rückmeldung, es scheint hierbei ein Problem mit dem systemctl Dienst zu geben. Je nach Distribution befindet sich dieser in /usr/bin/systemctl oder /bin/systemctl . Bei dir sind beide vorhanden, weshalb mein Skript etwas verwirrt zu sein schien. Ich habe nun geupdated, allerdings erfordert es eine Neuinstallation von Wireguard und Wireguard UI.

Ansonsten nach einer Änderung

systemctl restart wgui

CrunkFX

@nerg Je nachdem ob du noch mehrere Docker Container laufen hast, reicht es den Wireguard UI Container zu entfernen:

docker rm wgui

Möchtest du Docker und ALLES was dazu gehört entfernen (Genieß das mit Vorsicht wenn du nicht sicher bist ob noch mehr auf Docker läuft!):

sudo apt-get purge -y docker.io docker-compose
sudo apt-get autoremove -y --purge docker.io docker-compose
sudo rm -rf /var/lib/docker /etc/docker
sudo rm /etc/apparmor.d/docker
sudo groupdel docker
sudo rm -rf /var/run/docker.sock
sudo rm /usr/local/bin/docker-compose

MartyBr

@crunkfx Ich hatte gestern die 1.20 auf einem neuen System installiert. Ich möchte jetzt ungern die 1.21 installieren. Was hat sich denn genau geändert? Kann ich ein Patch einspielen oder eine Datei austauschen?

CrunkFX

@martybr Wenn bei dir alles so funktioniert wie es soll, ist es nicht nötig 1.2.1 zu installieren.

MartyBr

@crunkfx

simi

@crunkfx Herzlichen Dank für das Skript - ich habe es gerade in einem Ubuntu 20.04 LTS-LXC installiert und hatte zunächst ebenfalls das Problem, dass ich nach dem Anlegen eines Clients trotz "Apply Config" neustarten musste, bevor der Client connecten konnte. Mit den "Nacharbeiten" aus diesem Post (und einem Reboot), kann der neue Client jetzt wie gewünscht nach dem "Apply Config" direkt connecten.

Dann werde ich mal meinen priviligierten OpenVPN-Container abschalten... Wenn ich bedenke, was das für ein Gefrickel war, bevor OpenVPN auch über meine VLANs hinweg funktioniert hat, kann ich Dir gar nicht genug danken

Edit: Und auf Port 80 läuft es auch super