VPN über WireGuard will nicht mehr
Ich erreiche von meinem WireGuard-Server die angeschlossenen Clients nicht mehr per VPN. Ich habe das Routing gecheckt und Subnetze deaktiviert, ohne Erfolg.
Ich erreiche von meinem WireGuard-Server die angeschlossenen Clients nicht mehr per VPN, ohne dass ich am zuvor funktionierenden Setup etwas geändert hätte. Einzig meine Fritzbox hatte die Internetverbindung über den Vodafone-Kabelanschluss neu aufgebaut. Aber ein simpler Ping geht noch durch. Ich habe schon das Routing kontrolliert und auch vorhandene Subnetze deaktiviert, leider ohne Erfolg. Wissen Sie Rat?
Sofern Sie das Routing und eventuelle Subnetzkonflikte als Schuldige ausschließen können, wäre die Paketgröße, also der MTU-Wert, ein wahrscheinlicher Kandidat. Testweise können Sie die MTU schrittweise auf 1384 und 1280 Bytes senken, am besten auf Client und Server gleichzeitig. Der Befehl dazu lautet ping [Router-IP] -f -l [MTU-Wert].
Sind Sie damit erfolgreich, können Sie selektiv eine der Seiten auf den ursprünglichen Wert zurückstellen und prüfen, welche Paketgröße vom Client zum Server durchgeht und umgekehrt. Dann muss man davon ausgehen, dass die "Path MTU discovery" nicht mehr korrekt funktioniert. Dabei handelt es sich um eine Automatik zum Einstellen der maximalen IP-Paketgröße.
Die kann aus vielerlei Gründen scheitern, etwa, wenn bestimmte ICMP-Pakete nicht durch die Transportnetze der beteiligten Betreiber kommen. Solche Fehler können zum Beispiel im Netz Ihres Providers plötzlich und stillschweigend auftauchen, was erklären könnte, weshalb die Zugriffe vorher funktioniert haben. Auch könnte das erklären, weshalb die Ping-Pakete noch durchkommen, die deutlich größeren Nutzdatenpakete aber nicht. Das sind ICMP-Pakete, oft kürzer als 100 Byte, sodass Firewalls oder Middle-Boxes sie nicht aufhalten.
(dz)
