michael/michaelschiemer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
386baff65f78fd64e9ccfa50b0eb5c6c6bc4f3b8
michaelschiemer/docs/deployment/VPN-ROUTING-FIX-DETAILED.md

2.8 KiB
Raw Blame History

VPN Routing Fix - Detaillierte Anleitung

Problem best?tigt

Traefik sieht die ?ffentliche Client-IP (89.246.96.244) statt der VPN-IP (10.8.0.7). Der Traffic kommt NICHT ?ber VPN.

Warum passiert das?

Deine WireGuard-Config hat:

[Peer]
AllowedIPs = 10.8.0.0/24

Das bedeutet: Nur Traffic f?r das VPN-Netzwerk (10.8.0.0/24) geht ?ber VPN. Alle anderen Anfragen gehen ?ber das normale Internet.

Wenn du grafana.michaelschiemer.de aufrufst:

  1. DNS wird ?ber ?ffentliche DNS-Server aufgel?st ? 94.16.110.151 (?ffentliche IP)
  2. Browser sendet Anfrage an 94.16.110.151
  3. Traffic geht direkt ?ber Internet, nicht ?ber VPN
  4. Traefik sieht deine ?ffentliche IP (89.246.96.244)
  5. IP-Allowlist blockiert ? 403-Fehler

L?sungen

L?sung 1: DNS auf VPN-DNS setzen (EMPFOHLEN)

Schritt 1: Pr?fe deine WireGuard-Config

[Interface]
DNS = 10.8.0.1

Schritt 2: WireGuard neu starten

  • Trenne und verbinde VPN neu

Schritt 3: DNS-Test

dig +short grafana.michaelschiemer.de
# Sollte zur?ckgeben: 10.8.0.1 (nicht 94.16.110.151!)

Schritt 4: Browser testen

  • Cache leeren oder Inkognito-Modus
  • https://grafana.michaelschiemer.de ?ffnen

L?sung 2: AllowedIPs erweitern (WENIGER SICHER)

Wenn AllowedIPs = 10.8.0.0/24 nicht ausreicht, kannst du tempor?r erweitern:

[Peer]
AllowedIPs = 10.8.0.0/24, 94.16.110.151/32

WICHTIG: Das routet dann ALLE Anfragen f?r 94.16.110.151 ?ber VPN. Das k?nnte andere Dienste beeinflussen.

L?sung 3: Hosts-Datei verwenden (TEMPOR?R)

Linux/Mac:

echo "10.8.0.1 grafana.michaelschiemer.de" | sudo tee -a /etc/hosts

Windows:

# C:\Windows\System32\drivers\etc\hosts (als Administrator)
10.8.0.1 grafana.michaelschiemer.de

Dann wird grafana.michaelschiemer.de direkt auf die VPN-IP aufgel?st.

L?sung 4: Tempor?re IP-Erlaubnis (F?R TESTS)

ACHTUNG: Dies ist nur f?r Tests! Ich habe deine ?ffentliche IP (89.246.96.244) tempor?r zur Allowlist hinzugef?gt. Das sollte jetzt funktionieren, ist aber weniger sicher.

Nach dem Test: Diese IP muss wieder entfernt werden, sobald VPN-Routing funktioniert!

Pr?fen ob es funktioniert

Nach dem Fix solltest du:

  1. https://grafana.michaelschiemer.de ?ffnen k?nnen (Login-Seite statt 403)
  2. In den Traefik-Logs sollte ClientHost: 10.8.0.7 stehen (VPN-IP)

Server-Log pr?fen

ssh deploy@94.16.110.151
cd ~/deployment/stacks/traefik
tail -5 logs/access.log | grep grafana

Erwartet: "ClientHost":"10.8.0.7" (VPN-IP) Wenn es noch nicht funktioniert: "ClientHost":"89.246.96.244" (?ffentliche IP)

N?chste Schritte

  1. JETZT: Teste ob Grafana mit der tempor?ren IP-Erlaubnis funktioniert
  2. DANN: Fixe VPN-Routing (DNS auf 10.8.0.1 oder Hosts-Datei)
  3. SP?TER: Entferne die tempor?re IP-Erlaubnis wieder
Reference in New Issue View Git Blame Copy Permalink