Jump to content

Wireguard auf Windows 2019 Server / DNS Problem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo liebe Community,

 

im Internet betreiben wir einen Ubuntu Server auf dem der Wireguard Dienst läuft.

Diesen nutzen wir als Server, /etc/wireguard/wg0.conf sieht wie folgt aus:

 

[Interface]
Address = 10.0.0.1/24
ListenPort = 34395
PrivateKey = XXXXX
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6table$
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tab$

# AP01
[Peer]
PublicKey = XXXXX
AllowedIPs = 10.0.0.11/32

# AP-02
[Peer]
PublicKey = XXXXX
AllowedIPs = 10.0.0.12/32

# AP-03
[Peer]
PublicKey = XXXXX
AllowedIPs = 10.0.0.13/32

# WINDOWS-SERVER DC01
[Peer]
PublicKey = XXXXX
AllowedIPs = 10.0.0.10/32

# NB-01
[Peer]
PublicKey = XXXXX
AllowedIPs = 10.0.0.100/32

Die Wireguard Verbindung des Windows 2019 Servers, der als PDC, AD, DNS Server eingerichtet ist, ist fest im Netzwerk auf 192.168.100.111 konfiguriert.

Seine Wireguard Config sieht so aus:

[Interface]
PrivateKey = XXXXX
Address = 10.0.0.10/32
DNS = 192.168.100.111, 10.0.0.1, 8.8.8.8

[Peer]
PublicKey = XXXXX
AllowedIPs = 185.56.XXX.XX/32, 10.0.0.0/24
Endpoint = 94.130.25.52:34395
PersistentKeepalive = 60

Damit wollen wir erreichen, dass alle Anfragen zu bestimmen IP-Adressen über den Wireguardserver getunnelt werden und dessen IP genutzt wird.

Das funktioniert auch alles super und so wie es laufen soll.

 

Das Problem:

Wenn auf dem Windows 2019 Server den Wireguarddienst aktiv ist, kann ich nicht mehr auf AD User and Computer zugreifen. Das Tool öffnet sich nicht mehr.

Im lokalen Netzwerk hat der Server die 192.168.100.111 - im WG Netzwerk die 10.0.0.10

 

Im Eventlog des DNS Servers steht:

Der DNS-Server konnte den Socket für die Adresse 10.0.0.10 nicht öffnen. 
Überprüfen Sie, ob diese IP-Adresse auf dem Servercomputer gültig ist. Verwenden Sie im DNS-Manager das Eigenschaftenfenster des Servers und dort die Registerkarte "Schnittstellen", um diese Adresse gegebenenfalls von der Adressliste zu entfernen. Starten Sie den DNS-Server danach erneut. (Falls diese Adresse die einzige IP-Schnittstelle auf diesem Computer war, konnte der DNS-Server wahrscheinlich aufgrund dieses Fehlers nicht starten. In diesem Fall entfernen Sie den Eintrag "ListenAddress" in der Registrierung unter "\Services\DNS\Parameters", und führen Sie einen Neustart durch.) 
 
Wenn diese IP-Adresse auf dem Computer gültig ist, sollten Sie sicherstellen, dass keine andere Anwendung (z.B. ein anderer DNS-Server) aktiv ist, die versucht, auf den DNS-Port zuzugreifen. 
 
Weitere Informationen hierzu finden Sie in der Onlinehilfe im Abschnitt "DNS-Serverprotokollierungsreferenz".
DNS-Server: Ein TCP (Transmission Control Protocol)-Socket konnte nicht an die Adresse 10.0.0.10 gebunden werden. Die Ereignisdaten ergeben den Fehlercode. Die IP-Adresse 0.0.0.0 kann bedeuten, dass von einem Socket alle konfigurierten IP-Adressen des Computers verwendet werden (eine gültige Konfiguration). 
Starten Sie den DNS-Server bzw. den Computer neu.

 

Die Konfiguration des DNS Servers habe ich mal als Screenshot beigefügt.

 

Kann mir vielleicht jemand helfen und sagen, was ich hier als Anfänger falsch gemacht habe oder was ich übersehe?

 

Vielen Dank und viele Grüße

Sebastian

 

Bildschirmfoto 2020-08-22 um 15.38.33 PM.png

Link to comment

Hi,

 

wenn ihr jetzt anstelle von OpenVPN (https://www.mcseboard.de/topic/218488-von-ad-clients-win10-rdp-verbindung-über-server-win2019-openvpn-verbindung-herstellen) Wireguard _auf dem_ DC nutzt, ändert sich nichts daran, dass das keine gute Idee ist. Eines der daraus resultierenden Probleme erlebst du ja grade.

 

Auch für Wireguard würde ich einen dedizierten Router / ein dediziertes Gateway empfehlen.

 

Gruß

Jan

Link to comment

Danke Jan, aber das sind zwei völlig voneinander losgelöste Themen.

 

Es wäre schön, wenn man vielleicht eine Hilfestellung zur Lösung bekommt, wenn das eigentliche Problem ist doch hoch anders gelagert:

 

Wireguard wird auf einem Windows 2019 Server mit DNS installiert und danach kann ich auf die AD Tools User und Computer nicht mehr zugreifen.

 

 

Link to comment
vor 3 Stunden schrieb schaefersio:

Es wäre schön, wenn man vielleicht eine Hilfestellung zur Lösung bekommt, wenn das eigentliche Problem ist doch hoch anders gelagert:

Wireguard wird auf einem Windows 2019 Server mit DNS installiert und danach kann ich auf die AD Tools User und Computer nicht mehr zugreifen.

Auch wenn es zwei vollkommen losgelöste Umgebungen mit je einem remote 10er und lokalem 192.168er Netz sind, bleibt das Problem dennoch identisch. Dazu ein drei Stichworte als "Hilfestellung": Multihomed Domain Controller

 

Auch wenn du es nicht hören willst: Mach es einfach direkt richtig.

 

Link to comment
vor 4 Stunden schrieb testperson:

Auch wenn es zwei vollkommen losgelöste Umgebungen mit je einem remote 10er und lokalem 192.168er Netz sind, bleibt das Problem dennoch identisch. Dazu ein drei Stichworte als "Hilfestellung": Multihomed Domain Controller

 

Auch wenn du es nicht hören willst: Mach es einfach direkt richtig.

 


Danke! 
aber wie mache ich es denn richtig aus eurer Sicht? Denn so lösungsorientiert seid ihr ja nicht unterwegs. Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. 

 

 

Link to comment

Erstmal vorweg - ich bin weit davon entfernt ein Netzwerkprofi zu sein. ;-) 

 

Du hast Dir für eine gegebene Aufgabe eine Lösung/Strategie überlegt und hast mit dieser speziellen Lösung/Strategie ein Problem und suchst jetzt hier Hilfe zu diesem speziellen Problem. Eventuell ist aber schon Deine Lösung/Strategie fehlerhaft und Du hättest die Frage früher und ergebnisoffener stellen sollen. Dein Problem ist also eher kein technisches sondern ein kommunikatives. Das nennt man auch X-Y-Problem. Du hattest doch in dem älteren, hier weiter oben bereits verlinkten Beitrag die Antwort bereits akzeptiert - was ist daran falsch?

  • Like 1
Link to comment
vor 7 Stunden schrieb schaefersio:

Danke! 
aber wie mache ich es denn richtig aus eurer Sicht? Denn so lösungsorientiert seid ihr ja nicht unterwegs. Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. 

 

Dann zitiere ich mich mal aus der ersten Antwort selber:

vor 15 Stunden schrieb testperson:

Auch für Wireguard würde ich einen dedizierten Router / ein dediziertes Gateway empfehlen.

 

  • Like 3
Link to comment
vor 13 Stunden schrieb schaefersio:

Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. 

Bei der von Dir gebauten Ausgangslage solltest Du einen Bastler konsultieren.

Ansonsten siehe ein Beitrag höher

Edited by mba
  • Haha 1
  • Sad 1
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...