michael/michaelschiemer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
5e74ce73a693d2a84e54607b10f1ebb91eedead3
michaelschiemer/docs/deployment/GRAFANA-VPN-ACCESS.md

2.8 KiB
Raw Blame History

Grafana VPN Access - Troubleshooting Guide

Problem

Grafana ist nur ?ber VPN (WireGuard) erreichbar, aber auch mit VPN-Verbindung bekommt man einen 403-Fehler.

Ursache

Traefik sieht die ?ffentliche Client-IP (z.B. 89.246.96.244) statt der VPN-IP (z.B. 10.8.0.7). Das bedeutet, dass der Traffic nicht ?ber das VPN geroutet wird.

L?sung

1. VPN-Verbindung pr?fen

# Pr?fe ob WireGuard Interface aktiv ist
sudo wg show

# Pr?fe ob VPN-IP zugewiesen ist
ip addr show wg0  # oder das WireGuard Interface-Name

2. DNS-Konfiguration pr?fen

Stelle sicher, dass dein System den VPN-DNS-Server (10.8.0.1) verwendet:

Windows:

  • Pr?fe in WireGuard-Client: DNS = 10.8.0.1 sollte gesetzt sein
  • Oder manuell in Windows: Netzwerk-Einstellungen ? DNS-Server auf 10.8.0.1 setzen

Linux/Mac:

# Pr?fe aktive DNS-Server
cat /etc/resolv.conf
# oder
resolvectl status

# Sollte 10.8.0.1 enthalten (oder automatisch ?ber VPN gesetzt)

3. DNS-Aufl?sung testen

# Teste DNS-Aufl?sung ?ber VPN-DNS
dig +short grafana.michaelschiemer.de @10.8.0.1
# Sollte zur?ckgeben: 10.8.0.1

# Teste normale DNS-Aufl?sung
dig +short grafana.michaelschiemer.de
# Falls das eine andere IP zur?ckgibt, wird der Traffic ?ber ?ffentliche Route gehen

4. Routing pr?fen

Stelle sicher, dass der Traffic f?r 10.8.0.0/24 ?ber das VPN-Interface geroutet wird:

Windows:

  • Pr?fe in WireGuard-Client: AllowedIPs = 10.8.0.0/24 sollte gesetzt sein

Linux/Mac:

# Pr?fe Routing-Tabelle
ip route | grep 10.8.0
# oder
route -n | grep 10.8.0

# Sollte zeigen: 10.8.0.0/24 via <VPN-Interface>

5. Browser-Zugriff testen

Option A: Direkt ?ber VPN-IP

  • ?ffne im Browser: https://10.8.0.1 (falls Traefik darauf l?uft)
  • Oder: https://grafana.michaelschiemer.de nachdem DNS auf 10.8.0.1 aufgel?st wurde

Option B: Hosts-Datei verwenden (tempor?r)

# Linux/Mac
echo "10.8.0.1 grafana.michaelschiemer.de" | sudo tee -a /etc/hosts

# Windows (als Administrator)
# C:\Windows\System32\drivers\etc\hosts
# 10.8.0.1 grafana.michaelschiemer.de

6. Client-IP in Traefik-Logs pr?fen

# Pr?fe welche Client-IP Traefik sieht
ssh deploy@94.16.110.151
cd ~/deployment/stacks/traefik
tail -20 logs/access.log | grep grafana | jq '.ClientAddr'

# Sollte zeigen: 10.8.0.x (VPN-IP), nicht die ?ffentliche IP

Aktuelle Konfiguration

  • Grafana Middleware: grafana-vpn-only@file
  • IP Allowlist: 10.8.0.0/24 (WireGuard VPN network)
  • Traefik Middleware: ipAllowList (Traefik v3.0, nicht mehr deprecated ipWhiteList)

Weitere Hilfe

Falls das Problem weiterhin besteht:

  1. Pr?fe Traefik-Logs auf detaillierte Fehlermeldungen
  2. Pr?fe ob WireGuard korrekt konfiguriert ist
  3. Pr?fe ob der Traffic tats?chlich ?ber das VPN-Interface geht (z.B. mit tcpdump)
Reference in New Issue View Git Blame Copy Permalink