Worauf in der "wg show"-Ausgabe achten?

Dies ist eine Beispiel-wg show-Ausgabe:

interface: MyVPN
  public key: xJ+A//t9RbOU4ISIr61tsZwc8SPLbLONXhknnU1QvBQ=
  private key: (hidden)
  listening port: 12073

peer: xgmml6wPoe9auL5oGhqScQXLByfrI/1xq3sOJzYaNhE=
  endpoint: 77.55.81.22:23711
  allowed ips: 10.178.212.1/32, 10.39.24.0/24
  latest handshake: 37 seconds ago
  transfer: 948 B received, 1.40 KiB sent
  persistent keepalive: every 30 seconds

Darauf ist zu achten:

• Ist die gewünschte Wireguard-Schnittstelle vorhanden? Wenn nicht, deutet dies darauf hin, dass der Computer entweder nicht einmal versucht, die Schnittstelle zu starten (z.B. weil Autostart nicht aktiviert ist) oder das Starten fehlschlägt, z.B. weil die Route bereits definiert ist.
• Sind die gewünschten Peers aufgelistet? Wenn nicht, ist dies immer ein Konfigurationsfehler.
• Ist persistent keepalive aktiviert? Ohne persistent keepalive lässt sich Wireguard nicht ordnungsgemäß debuggen, da keine Pakete gesendet werden, es sei denn, es läuft Traffic über die Schnittstelle. Daher wird dringend empfohlen, persistent keepalive immer zu aktivieren, auch wenn es später deaktiviert werden soll!
• Ist latest handshake aufgelistet und aktuell? Wenn kein Handshake mit einem Remote-Peer möglich ist, deutet dies typischerweise auf ein Netzwerkproblem oder ein Konfigurationsproblem hin, in einigen Fällen ist es jedoch auch ein systembedingtes Problem:
  • Systemprobleme: Ist die Wireguard-Schnittstelle auf lokaler & Remote-Seite aktiv & konfiguriert?
  • Netzwerkprobleme: Port nicht an Zielmaschine weitergeleitet, TCP-Port statt UDP-Port weitergeleitet, lokaler oder Remote-Internetzugang ist firewall-blockiert, falscher Port angegeben, falsche IP-Adresse oder Hostname angegeben, DynDNS-Hostname nicht aktualisiert, Wireguard versucht auf IPv6-Adresse zuzugreifen, aber nur IPv4-Port ist korrekt weitergeleitet (mit host überprüfen)
  • Wireguard-Konfigurationsproblem: Verwendet der Remote-Peer den korrekten privaten Schlüssel, der zum öffentlichen Schlüssel in der lokalen Konfiguration passt? Hat die Remote-Konfiguration den lokalen öffentlichen Schlüssel überhaupt als Peer aufgelistet? Hat die lokale Konfiguration den korrekten privaten Schlüssel, der zum in der Remote-Konfiguration aufgelisteten öffentlichen Schlüssel passt? Passt der öffentliche Schlüssel des Peers zum Endpoint (falls angegeben) oder passt der Schlüssel möglicherweise nicht zum Endpoint?
• transfer sollte >0 Bytes empfangen und gesendet zeigen! Dies entspricht typischerweise der latest handshake-Debugging-Methode. Bytes werden gesendet, aber keine Bytes empfangen – dies deutet typischerweise darauf hin, dass die Wireguard-Schnittstelle versucht, einen Handshake durchzuführen, aber keine Antwort erhält.

Siehe auch mein WireguardConfig-Projekt, das diese Art der Konfiguration wesentlich einfacher macht