Layer 3: Probleme mit wireguard wenn nur IPv4 am WAN vorhanden #286

New Issue

Open

opened 2023-04-16 16:35:07 +02:00 by ChristianD · 1 comment

ChristianD commented 2023-04-16 16:35:07 +02:00

Member

Copy Link

Wenn an einem Router am WAN nur IPv4 vorhanden ist und man schon einen wireguard offen hat der mit dem Freifunknetz funktioniert wo sowohl v4 als auch v6 konfiguriert ist, man anschließend einen 2. Wireguard konfiguriert mit DNS der sowohl A als auch AAAA hat, dann versucht wireguard dies mit IPv6 (zu sehen wenn man wg eingibt). Dank Blackhole Rule schlägt das zwar fehl so das zumindest der Tunnel nicht durchs Freifunk aufgebaut wird, funktionieren tut er aber natürlich nicht.

Wenn an einem Router am WAN nur IPv4 vorhanden ist und man schon einen wireguard offen hat der mit dem Freifunknetz funktioniert wo sowohl v4 als auch v6 konfiguriert ist, man anschließend einen 2. Wireguard konfiguriert mit DNS der sowohl A als auch AAAA hat, dann versucht wireguard dies mit IPv6 (zu sehen wenn man wg eingibt). Dank Blackhole Rule schlägt das zwar fehl so das zumindest der Tunnel nicht durchs Freifunk aufgebaut wird, funktionieren tut er aber natürlich nicht.

fbl added the

bug

layer3

labels 2023-04-16 20:49:10 +02:00

fbl commented 2023-04-16 20:55:02 +02:00

Owner

Copy Link

Das Problem besteht schon seit Anfang an. Problematisch ist hier, dass für Wireguard nur eine einzelne Adresse für den Peer festgelegt werden kann. Das Auflösen von DNS nach Adresse macht der OpenWrt netifd (afaik) direkt beim Starten des Tunnelinterfaces. Ist zum Zeitpunkt der Namensauflösung eine IPv6 default-Route (?) verfügbar, dann wird AAAA aufgelöst, andernfalls A.

Da eine IPv6 Default Route verfügbar ist sobald wir mit dem Freifunk-Netz verbunden sind, wird ab dann auch immer AAAA aufgelöst, auch wenn der WAN-Anschluss eigentlich gar kein IPv6 verfügbar hat.

Die Problematik des Verhaltens hält sich in Grenzen, da das ganze nur ein Problem ist, wenn nachträglich Tunnel hinzugefügt werden. Wird der Tunnel bereits vor der Verbindung mit dem Freifunk-Franken Netz gestartet, dann ist keine IPv6 Default-Route verfügbar und es wird der A Record aufgelöst.

Das Problem sollte sich zumindest zum Teil mit der Implementierung von #270 lösen, denn dann sind die Freifunk-Routen nicht mehr für den WAN VRF sichtbar.

Damit wir mit wirklich jedem Fall umgehen können, müssten eigentlich regelmäßig beide IP-Protokolle und ggf. mehrere vorhandene Records ausprobiert werden, solange die Wireguard-Verbindung inaktiv ist. Das ist allerdings nicht so einfach, da ein Wireguard keinen Verbindungszustand hat.

Das Problem besteht schon seit Anfang an. Problematisch ist hier, dass für Wireguard nur eine einzelne Adresse für den Peer festgelegt werden kann. Das Auflösen von DNS nach Adresse macht der OpenWrt netifd (afaik) direkt beim Starten des Tunnelinterfaces. Ist zum Zeitpunkt der Namensauflösung eine IPv6 default-Route (?) verfügbar, dann wird AAAA aufgelöst, andernfalls A. Da eine IPv6 Default Route verfügbar ist sobald wir mit dem Freifunk-Netz verbunden sind, wird ab dann auch immer AAAA aufgelöst, auch wenn der WAN-Anschluss eigentlich gar kein IPv6 verfügbar hat. Die Problematik des Verhaltens hält sich in Grenzen, da das ganze nur ein Problem ist, wenn nachträglich Tunnel hinzugefügt werden. Wird der Tunnel bereits vor der Verbindung mit dem Freifunk-Franken Netz gestartet, dann ist keine IPv6 Default-Route verfügbar und es wird der A Record aufgelöst. Das Problem sollte sich zumindest zum Teil mit der Implementierung von #270 lösen, denn dann sind die Freifunk-Routen nicht mehr für den WAN VRF sichtbar. Damit wir mit wirklich jedem Fall umgehen können, müssten eigentlich regelmäßig beide IP-Protokolle und ggf. mehrere vorhandene Records ausprobiert werden, solange die Wireguard-Verbindung inaktiv ist. Das ist allerdings nicht so einfach, da ein Wireguard keinen Verbindungszustand hat.

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

master

0.5.x

20240401

20240401-beta

20240119-beta

20230330

20230321-beta

20160213-beta

20221201

20221019

20220814

20220413

20220405-beta

20211224

20211220

20211201-beta

20210226

20210218

20210211-beta

20200501

20200423-beta

20200118

20191224

20191214-beta

20191130-alpha

20191123-alpha

20181202

20181128-beta

20180802

20180802-beta

20180726-beta

20180304-alpha

20180303-alpha

20170918

20170918-beta

20170218-alpha

20170110

20170110-beta

20161105-beta

20161008-beta

20160506

20160506-beta

20160310

0.5.2

0.5.2-b2

0.5.2-b1

0.5.1

0.5.1-b2

0.5.1-b1

0.5.0

0.5.0-b1

0.4.3

0.4.2

0.4.1

0.4.0ol

0.4.0f

0.4.0rc5f

0.4.0rc4ol

0.4.0rc4f

0.4.0rc3f

0.4.0rc2f

0.3.999f

0.3.999

0.3.998

0.3.99

0.3

0.2.1

0.2

0.1

Labels

Clear labels   

RFC

  

RFT

  

WIP

  

blocked

  

bsp

touching bsp files or adding devices

  

bug

Something is not working

  

build/scripts/tools

touching buildscript or other tools

  

duplicate

This issue or pull request already exists

  

feature

New feature

  

fixed

Issue that got resolved

  

layer3

only for layer3 FW

  

mantis

Imported from mantis

  

more details required

Reported information is insufficient to debug the issue

  

needs changes

  

node

only for node FW

  

packages/fff

touching our packages

  

rejected

Rejected or won't fix

  

security

  

trivial

simple non-functional changes that are mostly matter of taste

  

upstream

touching upstream version, build or feed patches

No Label

RFC

RFT

WIP

blocked

bsp

bug

build/scripts/tools

duplicate

feature

fixed

layer3

mantis

more details required

needs changes

node

packages/fff

rejected

security

trivial

upstream

Milestone

Clear milestone

No items

No Milestone

Assignees

Clear assignees

No Assignees

2 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: freifunk-franken/firmware#286

No description provided.