4.4 KiB
VPN Routing - Client-Side Checks
Problem
Grafana gibt 403-Fehler, obwohl VPN verbunden ist. Traefik sieht die ?ffentliche Client-IP statt der VPN-IP.
Client-Side Diagnose
1. VPN-Verbindung pr?fen
Windows:
# Pr?fe WireGuard Interface
wireguard.exe /show wg0
# Oder in PowerShell (als Administrator)
Get-NetAdapter | Where-Object {$_.InterfaceDescription -like "*WireGuard*"}
Linux:
# Pr?fe WireGuard Interface
sudo wg show
# Pr?fe Interface-Status
ip addr show wg0
# Sollte zeigen: inet 10.8.0.7/24
Mac:
# Pr?fe WireGuard Interface
sudo wg show
# Pr?fe Interface-Status
ifconfig utun* | grep -A 5 "inet 10.8.0"
# Sollte zeigen: inet 10.8.0.7
2. DNS-Konfiguration pr?fen
Windows:
- ?ffne WireGuard-Client
- Pr?fe ob
DNS = 10.8.0.1in der Config gesetzt ist - Oder in PowerShell:
Get-DnsClientServerAddress | Select-Object InterfaceAlias, ServerAddresses
Linux:
# Pr?fe aktive DNS-Server
cat /etc/resolv.conf
# Oder
resolvectl status
# Sollte 10.8.0.1 enthalten
Mac:
# Pr?fe DNS-Server
scutil --dns | grep nameserver
# Oder
networksetup -getdnsservers Wi-Fi
3. DNS-Aufl?sung testen
# Teste DNS-Aufl?sung ?ber VPN-DNS
dig +short grafana.michaelschiemer.de @10.8.0.1
# Sollte zur?ckgeben: 10.8.0.1
# Teste normale DNS-Aufl?sung
dig +short grafana.michaelschiemer.de
# Falls das eine andere IP zur?ckgibt (z.B. 94.16.110.151), wird der Traffic ?ber ?ffentliche Route gehen
Windows:
# Teste DNS-Aufl?sung
Resolve-DnsName grafana.michaelschiemer.de -Server 10.8.0.1
nslookup grafana.michaelschiemer.de 10.8.0.1
4. Routing pr?fen
Linux:
# Pr?fe Routing-Tabelle
ip route show | grep 10.8.0
# Sollte zeigen: 10.8.0.0/24 dev wg0
# Pr?fe Default Route
ip route show default
Windows:
# Pr?fe Routing-Tabelle
route print | findstr "10.8.0"
Mac:
# Pr?fe Routing-Tabelle
netstat -rn | grep 10.8.0
5. AllowedIPs in WireGuard Config pr?fen
Deine WireGuard-Config sollte enthalten:
[Peer]
AllowedIPs = 10.8.0.0/24
Wichtig: Wenn AllowedIPs = 0.0.0.0/0 ist, wird ALLER Traffic ?ber VPN geroutet. Das ist OK, aber k?nnte Probleme verursachen.
Wenn AllowedIPs = 10.8.0.0/24 ist, wird nur Traffic f?r das VPN-Netzwerk ?ber VPN geroutet. Der Rest geht ?ber das normale Internet.
6. Browser-Zugriff testen
Option A: Direkt ?ber VPN-IP
https://10.8.0.1
(Wenn das funktioniert, ist Traefik erreichbar, aber die Host-Header-Konfiguration k?nnte ein Problem sein)
Option B: Via Domain mit Hosts-Datei
Linux/Mac:
# F?ge VPN-IP zur Hosts-Datei hinzu
echo "10.8.0.1 grafana.michaelschiemer.de" | sudo tee -a /etc/hosts
# Teste dann
curl -k -H "Host: grafana.michaelschiemer.de" https://10.8.0.1
Windows:
# C:\Windows\System32\drivers\etc\hosts (als Administrator bearbeiten)
10.8.0.1 grafana.michaelschiemer.de
Option C: Via VPN-DNS
- Stelle sicher, dass dein System 10.8.0.1 als DNS-Server verwendet
- Dann sollte
grafana.michaelschiemer.deautomatisch auf 10.8.0.1 aufgel?st werden
7. Traceroute testen
# Pr?fe welchen Weg der Traffic nimmt
traceroute 10.8.0.1
# Sollte direkt ?ber wg0 Interface gehen, nicht ?ber Gateway
# Teste Domain
traceroute grafana.michaelschiemer.de
# Wenn das ?ber ?ffentliche IPs geht, l?uft der Traffic nicht ?ber VPN
Windows:
tracert 10.8.0.1
tracert grafana.michaelschiemer.de
H?ufige Probleme
Problem 1: DNS verwendet ?ffentliche Server
L?sung: Stelle sicher, dass WireGuard DNS = 10.8.0.1 setzt, oder setze es manuell im System.
Problem 2: AllowedIPs nicht korrekt
L?sung: AllowedIPs = 10.8.0.0/24 sollte gesetzt sein f?r VPN-Zugriff.
Problem 3: Routing geht ?ber ?ffentliche IP
L?sung: Pr?fe ob grafana.michaelschiemer.de ?ber ?ffentliche DNS aufgel?st wird. Falls ja, setze DNS auf 10.8.0.1 oder verwende Hosts-Datei.
Problem 4: Browser cached alte IP
L?sung: Browser-Cache leeren oder Inkognito-Modus verwenden.
Server-Side Diagnose
F?hre das Diagnose-Playbook auf dem Server aus:
cd deployment/ansible
ansible-playbook -i inventory/production.yml playbooks/diagnose-vpn-routing.yml
Das Playbook zeigt:
- WireGuard-Status
- Routing-Konfiguration
- Traefik Access-Logs (welche Client-IPs Traefik sieht)
- DNS-Aufl?sungstests
- Firewall-Regeln