NEWS
Tester für WireGuard Adapter gesucht
-
@grizzelbee Alles gut
Ich vermute seit der v1.4.0 hab ich das Problem
Komisch ist das der login via Putty klappt aber via Adapter nicht. im Debug steht auch nicht dazu -
Hallo,
ich habe eine Frage zur Konfiguration.
Wenn ich unter PUBLIC-KEY-ÜBERSETZUNGEN etwas hinzufüge bleibt der Adapter gelb.
Im Log finde ich aber nicht wirklich was.
Selbiges wenn ich WIREGUARD CONFIG FILES ausfülle.
Trotz gelben Adapter werden laut log Daten abgerufen, was allerdings nicht stimmt.
wireguard.0 2022-11-01 13:35:25.843 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-01 13:35:25.843 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-01 13:34:55.843 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-01 13:34:55.843 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-01 13:34:25.844 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-01 13:34:25.843 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-01 13:33:55.844 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-01 13:33:55.843 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-01 13:33:25.843 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-01 13:33:25.842 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33]
-
@david-g sagte in Tester für WireGuard Adapter gesucht:
ich habe eine Frage zur Konfiguration.
Wenn ich unter PUBLIC-KEY-ÜBERSETZUNGEN etwas hinzufüge bleibt der Adapter gelb.Hallo David,
also ... die Sache ist nicht ganz trivial ...
Um den Adapter zum Laufen zu bringen, brauchst Du nur die Basis-Konfig. Der Rest ist optional und nur für Komfortfunktionen interessant. Aber dröseln wir das mal auf:
Wenn die Basis Konfig okay ist (und danach sieht es lt. Log bei dir aus) wird der Adapter frühestens nachdem er den ersten Poll-Intervall geschafft hat (default 2 Minuten) grün - vorher bleibt der gelb. Der wird aber auch nur dann grün, wenn er überhaupt mindestens ein aktives WireGuard Interface findet. Ohne das bleibt er auch gelb. Also gibt es grundsätzlich schon mal zwei gewollte Situationen in denen der Adapter gelb sein darf:- Noch kein Pollintervall abgeschlossen
- Kein aktives WireGuard interface gefunden.
Fall 1 scheint bei Dir kein Ding zu sein - ich sehe mehrere Poll-Versuche.
- Was ist mit Fall 2?
- Was passiert, wenn Du dich mit dem Monitoring-User interaktiv anmeldest und das Kommando
sudo wg show all dump
absetzt? - Hast Du die sudoers Datei wie in der readme beschrieben angepasst?
Ich kenne allerdings auch einen User, der den Adapter tatsächlich nicht ans Laufen bekommen hat. Da bekam der Adapter von dem LXC-Container in dem WireGuard läuft keine Daten zurück geliefert. Das hat wohl etwas mit Linux-pseudo-terminals zu tun. Das Thema haben wir leider nicht geknackt. Bei anderen Usern mit LXC-Containern läuft er aber durchaus. Das ist also kein generelles LXC Thema.
Public-Key-Übersetzungen:
Die dienen nur dazu einen verständlichen Namen an die Peers zu bekommen - weil die public Keys etwas unhandlich und schwer zu merken sind:
Ohne die Übersetzung siehst Du halt nur die public Keys - das ist alles. Mehr passiert nicht. Die Funktion als solche wird nicht beeinträchtigt.
Wireguard Konfig Files (eins pro WG-Interface)
Die wiederum werden nur gebraucht, wenn man den
Restore all suspended peers
Button nutzen möchte - man also mehrere Peers suspendiert hat und alle gleichzeitig wieder aktivieren will. -
Ich habe das Admin-interface in der 1.4.0 auf jsonConfig umgestellt - das erzwingt leider das das Passwort und der Benutzername neu eingeben werden müssen - da sollte es eigentlich auch einen Hinweisdialog zu geben.
Ich erneuere also meine Bitte:
Gib mal im Adamin der Monitoring-User und dessen Passwort neu ein - ich bin ganz zuversichtlich das es dann wieder läuft. -
Danke für die ausführliche Antwort.
Gehe jetzt mal alles genau durch.
Wenn ich im Adapter nur das einstelle:
läuft alles und der Adapter wird grün.Wenn ich die config files ausfülle bleibt er gelb.
Wenn ich mit den Namen übersetzen lassen möchte kopiere ich mir den öffentlichen key aus dem Datenpunkt des clients.
Sobald ich diesen eingebe bleibt der Adapter gelb.root@pi:/etc/wireguard# dir configs keys wg0.conf
(bin nur root um die Dateien zu sehen).
Das kommt, wenn ich den dump in der Konsole Abfrage:
pi@pi:~ $ sudo wg show all dump /etc/sudoers:28:4: syntax error <pi> ALL=NOPASSWD:/usr/bin/wg show all dump ^ /etc/sudoers:29:10: syntax error <iobroker> ALL=NOPASSWD:/usr/bin/wg show all dump ^ wg0 xxxxxxxxxx 51820 off wg0 xxxxxxxxxx 84.171.74.123:36311 10.189.255.2/32 1667380952 7527016 106836416 off wg0 xxxxxxxx 87.177.22.167:47148 10.189.255.3/32 1667330049 1013028 7267524 off pi@pi:~ $
Das ist meine sudoers:
# # This file MUST be edited with the 'visudo' command as root. GNU nano 5.4 /etc/sudoers.tmp # # Please consider adding local content in /etc/sudoers.d/ instead ># directly modifying this file. # # See the man page for details on how to write a sudoers file. # Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/s> # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL:ALL) ALL # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL # See sudoers(5) for more information on "@include" directives: @includedir /etc/sudoers.d <pi> ALL=NOPASSWD:/usr/bin/wg show all dump <iobroker> ALL=NOPASSWD:/usr/bin/wg show all dump ^G Help ^O Write Out ^W Where Is ^K Cut ^T Execute ^X Exit ^R Read File ^\ Replace ^U Paste ^J Justify
Edit:
Seitdem ich die sudoers angepasst habe, bleibt der Adapter immer gelb.EDIT 2:
Im dump hab ich einen Fehler in der sudoers gesehen. Den hab ich behoben. -
Okay, wir kommen der Sache näher.
Dein erstes (und vielleicht einziges) Problem ist die sudoers Datei (aber greifen wir den Dingen nicht vor):
Zeile 26 und 27:
Der Benutzername darf nicht in<>
. Da kommt nur der "nackte" Name hin. So wieroot
in Zeile 18.Also:
pi ALL=NOPASSWD:/usr/bin/wg show all dump iobroker ALL=NOPASSWD:/usr/bin/wg show all dump
Das erlaubt den Usern
pi
undiobroker
das Kommando abzusetzen ohne ein Passwort eingeben zu müssen.
Wenn Du einen der User in der Konfig des Adapters nutzt ist das okay so; ansonsten müsste da der für das Monitoring genutzte User rein.Hier beschwert sich Linux auch über die falschen Zeichen in der sudoers Datei:
pi@pi:~ $ sudo wg show all dump /etc/sudoers:28:4: syntax error <pi> ALL=NOPASSWD:/usr/bin/wg show all dump ^ /etc/sudoers:29:10: syntax error <iobroker> ALL=NOPASSWD:/usr/bin/wg show all dump
EDIT 2:
Im dump hab ich einen Fehler in der sudoers gesehen. Den hab ich behoben.Und? Läuft es jetzt? Oder was hat sich geändert (oder eben auch nicht)?
-
Hallo,
habe die Zeilen in der sudoers nochmal komplett gelöscht und das System neugestartet.
Im Adapter habe ich nur die erste Seite ausgefüllt wie bisher.
Aber der Adapter bleibt nochoch gelb.
Scheint sich aber zu verbinden.
wireguard.0 2022-11-02 11:25:58.104 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-02 11:25:58.103 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-02 11:24:58.109 debug Executing command [sudo wg show all dump] on host 192.168.99.33. wireguard.0 2022-11-02 11:24:58.104 debug Retrieving WireGuard status of host [iobroker] on address [192.168.99.33] wireguard.0 2022-11-02 11:23:58.103 info Started 60 seconds monitoring interval for host [iobroker] wireguard.0 2022-11-02 11:23:58.095 info There is 1 wireguard host to monitor.
Edit
Hab im Adapter jetzt das sudo deaktiviert. Jetzt ist er grün.
Komisch, hatte ich vorher auch an, ohne sudoers.Jetzt schalte ich nochmal nach und nach alles zu.
-
@david-g sagte in Tester für WireGuard Adapter gesucht:
Komisch, hatte ich vorher auch an, ohne sudoers.
Hmmm. Kann eigentlich nicht.
Die Nutzung von sudo erfordert entsprechende Einträge in der sudoers Datei.
Will sagen: Wenn dein Monitoring User (ohne root Rechte!!)fischkopp
heißt, dann brauchst du auch eine sudoers Zeile:fischkopp ALL=NOPASSWD:/usr/bin/wg show all dump
Wenn dein Monitoring user eh root Rechte hat, brauchst Du kein sudo. Bei dem ganzen Spiel geht es ja nur darum, dass der Adapter kein passwort senden kann, wenn es abgefragt wird; deshalb der Trick über sudoers und NOPASSWD.
-
Irgendwie stimmt bei mir was nicht.
Wollte nochmal ganz von vorne anfangen.
Hab sogar den Adapter komplett gelöscht und neu eingerichtet.Jetzt macht er garnichts mehr.
Vermutlich, weil er den Nutuernamen immer irgendwie überschreibt.
Müsste eigentlich pi sein. -
Irgendwie stimmt bei mir was nicht.
Ich stimme dir zu. Da ist irgendetwas quer. Und mir schwant auch schon was ...
Wenn ich das richtig sehe bist Du noch auf der v1.3.1. Die hat den Benutzernamen und das Passwort manuell verschlüsselt. Deshalb hast Du auch den Eindruck, dass der Benutzername immer wieder überschrieben wird.In Kombination mit einer kaputten Admin-Version (>=6.1.9 & <6.2.5) hat es da Probleme gegeben.
- Bitte installiere mal eine aktuelle Admin, falls noch nicht geschehen und
- die Version 1.4.0 des wireguard adapters (
pi@pi: /opt/iobroker> npm install iobroker.wireguard@1.4.0
). Die neue Adapter version hat das neue Admin Interface und verschlüsselt den Benutzernamen nicht mehr.
Dann kommen wir vielleicht einen Schritt weiter.
-
Hab jetzt die 1.4 drauf.
Alles klappt.
Adapter ist grün und die Namen werden erstellt.
Allerdings wollte er das sudo haben......Ob die Config aus dem dritten Reiter richtig geladen wird kann ich leider nicht testen.
-
Ich weiß die Frage ist so halb Offtopic, frage aber trotzdem mal.
Gibt bestimmt eine Logig wie es gemacht wird, wenn man vom Thema Netzwerk Ahnung hat.....
Hab grad angefangen mir eine kleine Tabelle für meine Visualisierung zu erstellen.
Rx und Tx hab ich mal mit gesendet und empfangen übersetzt.
Gibt man in so einem Fall den Wert aus Sicht des Servers oder des Clienten an?
Im Moment steigt der Wert "gesendet", wenn ich vom Handy aus runterlade.
Also wird der Wert aus Sicht des Servers angegeben.EDIT:
Hab die Tabelle jetzt fertig. Falls jmd Interesse hat:
Über den Pfeil kann man sich anschauen, von wo die letzte/aktuelle IP kommt die sich verbunden hat. Wobei man das ja im Idealfall immer selber steht
Die Infos zur IP werden von http://ipwho.is/ abgerufen.
-
@grizzelbee
Hab mir mal die 1.5.0 installiert. Die neuen Datenpunkte für die User finde ich super, fand die Bennennung der Peers aber auch ganz praktisch.
Ich habe leider immer noch das Problem, dass ich bei meinen 2 Servern die beide definitiv online sind, der als online=true angezeigt der als letztes gepollt wurde.
Es wechseln also im Abrufintervall beide von offline zu online und der andere von online zu offline. -
@david-g sagte in Tester für WireGuard Adapter gesucht:
Hab die Tabelle jetzt fertig. Falls jmd Interesse hat:
Hallo David!
Schaut sehr gut aus. Gefällt mir sehr.
Kann ich den Export haben?Und für was wird das Blockly benötigt?
-
Ich kann nicht sagen, ob diese Meldungen vor der 1.5.0 auch schon gekommen sind.
Mir sind sie gerade aufgefallen.wireguard.0 2023-06-29 08:51:01.437 info State value to set for "wireguard.0.Nega-wg0.peers.xxxxxxxxxxxx.device" has to be type "undefined" but received type "string" wireguard.0 2023-06-29 08:51:01.436 info State value to set for "wireguard.0.Nega-wg0.peers.xxxxxxxxxxxx.user" has to be type "undefined" but received type "string"
-
@grizzelbee
EDIT:
ah, habs gefunden.. es gibt jetzt Datenpunkte.. ja ich weiss. wer lesen kann... stand im Changelog..
Muss das Script aendern.. dann gehts ..Hi,
nach dem Update auf 1.5.0 werden mir die Clientnamen nicht mehr angezeigt in den Objekten .. ?
@David-G dein Blockly zeigt seit 1.5.0 auch nicht mehr den Clientnamen an.. geht das bei dir noch?
-
-
@ilovegym sagte in Tester für WireGuard Adapter gesucht:
nach dem Update auf 1.5.0 werden mir die Clientnamen nicht mehr angezeigt in den Objekten .. ?
die waren bei mir noch nie da. Habs händisch über den Bleistift eingetragen.
-
@bommel_030 sagte in Tester für WireGuard Adapter gesucht:
fand die Bennennung der Peers aber auch ganz praktisch.
"fand" ist Vergangenheit. Ist da irgendwas kaputt gegangen? Habe ich etwas übersehen?
EDIT: Ah! Der Screenshot von @ilovegym zeigt es - das sollte eigentlich nicht kaputt gehen. Bei mir hat sich da in zwei verschiedenen Umgebungen, jeweils nichts getan.Umfrage: Was ist euch lieber?
- Gruppenname, wie vorher, über einen einzigen Konfig-Eintrag oder (also genau das Verhalten wie bisher, was bedeutet das die eigentlich abgekündigte Konfig-Spalte doch bleiben würde)
- Gruppenname setzt sich zusammen aus: Name + Device (aus Name: Bernd und Device: Smartphone wird im Baum: Bernd Smartphone - und die bisherige Spalte in der Konfig fällt weg)
Ich habe leider immer noch das Problem, dass ich bei meinen 2 Servern die beide definitiv online sind, der als online=true angezeigt der als letztes gepollt wurde.
Es wechseln also im Abrufintervall beide von offline zu online und der andere von online zu offline.Ach! F***! Richtig. Da war noch etwas. Das habe ich vergessen zu fixen.
Ich habe mir mal einen Issue dazu gemacht, damit ich das nicht wieder vergesse:
https://github.com/Grizzelbee/ioBroker.wireguard/issues/64Danke für die Erinnerung!
@negalein sagte in Tester für WireGuard Adapter gesucht:
Ich kann nicht sagen, ob diese Meldungen vor der 1.5.0 auch schon gekommen sind.
Mir sind sie gerade aufgefallen.
wireguard.0 2023-06-29 08:51:01.437 info State value to set for "wireguard.0.Nega-wg0.peers.xxxxxxxxxxxx.device" has to be type "undefined" but received type "string" wireguard.0 2023-06-29 08:51:01.436 info State value to set for "wireguard.0.Nega-wg0.peers.xxxxxxxxxxxx.user" has to be type "undefined" but received type "string"Hmm. Ich habe während der Entwicklung nichts dergleichen gesehen - gucke ich aber noch einmal genauer hin. Danke für die Info.
-
@grizzelbee
Ich hatte "damals" einen Peer bei der Namensgebung vergessen. Der hatte natürlich im Objektbaum keinen Namen nur die kryptische ID.
Nun hab ich mit dem Adapterupdate dem auch einen Namen gegeben und bin beinahe wahnsinnig geworden weil der nicht auftauchte.
Dann hab ich mal alles gelöscht und kein Name wurde neu erstellt. Hab das dann als work as deigned hingenommen.