URLs hinter IPsec Tunnel mit Wireguard VPN erreichen

[dorjjj]

Hallo,

Ich habe bei uns in der Firma einen Wireguard-Server eingerichtet (wg-easy verwaltet in einer docker compose), dieser ist installiert auf einem raspberry pi (172.16.100.230) in unserem internen Netzwerk.

Nun möchte ich gerne, dass die Mitarbeiter auch die Adressen, welche hinter einem IPseC-Tunnel liegen erreichen können. Der Tunnel wird auf einem Lancom 1793VA Router aufgebaut und ist so aufgebaut, dass wir aus all unseren internen Netzen das dorthinter liegende Netz 10.101.207.0/24 erreichen können, solange wir unsere Zugriffe maskieren als 192.168.71.9.

Wenn man vom Büro aus auf eine der URLs im Tunnel zugreift ist alles ganz normal, jetzt über Wireguard scheint aber die Maskierung nicht zu funktionieren, denn für den Router sieht es so us als kämen die Zugriffe von der internen IP des Raspberry Pi.

[IP-Router] 2025/03/18 00:54:50,420
IP-Router Rx (LAN-1, INTRANET, RtgTag: 100):
DstIP: 10.101.207.58, SrcIP: 172.16.100.230, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 61245, Flags: S
Seq: 1771532036, Ack: 0, Win: 64860, Len: 0
Option: Maximum segment size = 1380
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (LOTTO-BW)

[IP-Router] 2025/03/18 00:54:50,425
IP-Router Rx (IPSEC, RtgTag: 100):
DstIP: 172.16.100.230, SrcIP: 10.101.207.58, Len: 40, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 61240, SrcPort: 80, Flags: A
Seq: 1650762384, Ack: 3980152507, Win: 3535, Len: 0
Route: LAN-1 Tx (INTRANET)

[IP-Router] 2025/03/18 00:54:50,446
IP-Router Rx (IPSEC, RtgTag: 100):
DstIP: 172.16.100.230, SrcIP: 10.101.207.58, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 61245, SrcPort: 80, Flags: SA
Seq: 515532743, Ack: 1771532037, Win: 13660, Len: 0
Option: Maximum segment size = 1366
Option: NOP
Option: Window scale = 2 (multiply by 4)
Option: SACK permitted
Option: END
Route: LAN-1 Tx (INTRANET)

Ich habe es schon mit SNAT auf dem Pi selbst versucht, aber egal was ich tue die source ip bleibt bei der adresse des pi selbst und wird nicht als 192.168.71.9 maskiert. Auf dem Lancom Router selbst habe ich eine statische Route für die Maske hin zum Pi angelegt, aber das hat auch nix gebracht. Firewallregeln habe ich keine angelegt.

Ich hoffe jemand kann mir hierbei helfen. Wenn euch irgendwas an Infos fehlt bitte sagen, dann reiche ich es nach.

[dorjjj]

Hier die Config für den IPSEC Tunnel

Screenshot 2025-03-18 104337.png

Screenshot 2025-03-18 104452.png

Screenshot 2025-03-18 104942.png

[dorjjj]

Hier die Route zwischen der Maske und Dem Pi, wobei ich mir nicht sicher bin ob das überhaupt was bringt...

Screenshot 2025-03-18 104849.png

[Hagen2000]

Dein LAN ist das Netzwerk 172.16.100.0/24. Ein beliebiger LAN-Teilnehmer - sagen wir ein PC mit 172.16.100.x kann auf das gewünschte Ziel hinter dem IPsec-Tunnel zugreifen. Dabei greift die Maskierung, die Du bei den IP-Parametern angegeben hast. Stimmt das soweit?

Mein erster Test wäre nun, mich auf dem Pi einzuloggen und von dort aus per wget oder curl einen Zugriff auf eines der Zielsysteme durchzuführen. Der sollte dann ja problemlos funktionieren, denn der Pi ist ja aus Sicht des LANCOM-Routers auch nur ein beliebiger LAN-Teilnehmer.
Wenn das nicht funktioniert, würde ich mal den Zugriff von einem Gerät, das zugreifen kann mit dem Zugriff vom Pi aus vergleichen.

Dass die Pakete von der internen IP-Adresse des Pi kommen, scheint mir ebenfalls richtig zu sein, Wireguard macht hier vermutlich ein S-NAT - ansonsten würde da ja irgendwelche externen IP-Adressen der Wireguard-Clients hier stehen und das Rückrouting wäre nicht möglich.

Den Eintrag in der Routing-Tabelle hingegen halte ich für falsch.