Wireguard-Problemchen

[Wuchtbrumme]

Hi,

bis jetzt bin ich von Wireguard begeistert. Das theoretische Konzept und die Umsetzung ist so dermaßen schlicht und einfach und schnell zu implementieren.
Eigentlich hätte ich gedacht alles läuft, aber überraschenderweise geht die AppStore.app von Apple auf iOS mit Verweis auf "Verbindung zum AppStore nicht möglich" nicht. Ich hatte auch Mobilfunk für die App abgeschaltet, aber bei laufendem VPN spielt die Einstellung keine Rolle.
Der WG-Peer (Server) macht NAT (funktioniert) und bietet DNS-Dienste in IPv4 und IPv6 an (funktioniert auf der Shell). Alle IPs sind erlaubt und Routing funktioniert. Koinzidenterweise öffnet der Browser auf iOS auch keine nicht-lokalen Webseiten.

Hat jemand vielleicht eine Ahnung?

 

[Odin.666]

Um welche Gerät handelt es? Mach es Bybasser oder Splittunneling zu App Store

 

[Wuchtbrumme]

Es sind iOS und weil man da NIX sehen kann, inkl. welche DNS-Server evtl. gelten, habe ich auch noch eine Ubuntu-Test-VM gestartet. Dort scheint alles zu funktionieren.
Ich kann z.B. ein mtr -rn www.heise.de durchführen - erster Hop ist die private WG-Adresse des Gateways, dann dessen Default-Gateway und dann geht es seinen Weg.

Auf iOS erhalte ich bei laufendem VPN, dass keine Internetverbindung bestehe.
Wenn ich Network Tools auf iOS benutze, so kann ich einen DNS-Server angeben um eine Abfrage zu machen und wenn es der richtige lokale Server ist, kommt auch was. Ein Ping auf z.B. www.heise.de wird nicht ausgeführt, da Namensauflösung fehlschlägt; ich vermute daher, dass iOS gar nicht weiß, welchen DNS-Server es benutzen soll (in der WG.app und auch nicht in den VPN-Infos habe ich keine Infos zum DNS-Server gefunden). In manchen Beispielen findet man eine Zeile

PostUp = resolvectl dns %i 10.0.0.2; resolvectl domain %i ~internal.example.com

aber mir ist unklar, ob resolvectl auch Einstellungen auf iOS ändern kann... Ich nehme an, dass nicht und wenn es überhaupt geht, dann über die DNS-Option. Verflixt.

Ich würde gerne den kompletten Traffic an den Peer schicken (und der soll NAT/Masquerading machen), also kein Splittunneling (würde ich das wollen, kann ich das VPN auch ausmachen). Meiner Meinung nach müsste das auch bereits laufen.
Der "Tunnel" wird über IPv6 erstellt.

Wie kann ich denn iOS-Geräten die DNS-Server mitteilen? Die DNS Option in der Konfiguration des "Server"-Peers habe ich schon gesetzt. Ich kann später auch die Konfigurationsdateien und meine Testresultate posten, aber wg. IPv6 würde ich doch sehr gerne etwas Privacy walten lassen.

Update: Irks. Die Lösung ist wohl so einfach, wie die Client-Konfiguration auch mit DNS-Einträgen zu versehen und einen neuen QR-Code zu erzeugen. *freu*

'tschuldigung für den länglichen Text, Problem ist behoben! Manchmal sieht man das Naheliegendste nicht...