[Frage] ARP-Anfragen an WireGuard-Clients mit der MAC-Adresse der FritzBox beantworten.

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

BlueEclipse

Neuer User
Mitglied seit
13 Jan 2025
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Derzeit habe ich dass Problem , dass meine WireGuard-Clients sich im selben Subnetz wie meine Heimnetzgeräte befinden aber von diesen nicht erreicht werden können . Der Grund ist, dass ARP-Anfragen an die WireGuard-Clients aufgrund des Layer-3-VPNs ins Leere laufen.

Beim integrierten IPsec-VPN der FritzBox antwortet die FritzBox auf ARP-Anfragen an die IPsec-Clients mit ihrer eigenen MAC-Adresse. Genau dieses Verhalten möchte ich auch für meine WireGuard-Clients erreichen.

Die Verknüpfung einer IP-Adresse mit einer MAC-Adresse ist ja prinzipiell kein Problem:

Code: 
ip neigh add 192.168.189.101 lladdr e0:28:6d:46:38:44 dev lan

In der ARP-Tabelle der FritzBox erscheint dieser Eintrag dann, allerdings mit einem Fragezeichen davor, da die FritzBox kein Gerät mit dieser IP-Adresse kennt. Das sieht dann so aus:

Code: 
? (192.168.189.101) at e0:28:6d:46:38:44 [ether] PERM on lan

Theoretisch sollte dass kein Problem sein , denn die IPsec-Clients tauchen ebenfalls nicht in der ARP-Tabelle auf (was auch Sinn ergibt, da sie nicht direkt im Layer-2-Netzwerk sind).

An dieser Stelle komme ich jedoch nicht weiter:
Hat jemand eine Idee, wie ich die FritzBox dazu bringen kann, auf ARP-Anfragen an die WireGuard-Geräte mit ihrer eigenen MAC-Adresse zu antworten?
 
Da braucht man halt einen Daemon für Proxy-ARP (RFC 1027) auf der Box. Es gäbe verschiedene Implementierungen in C (z.B. parpd oder choparp), die sich auch mit der Cross-Compiler-Toolchain von Freetz-NG übersetzen lassen sollten, wenn Freetz-NG selbst kein passendes Paket bereithält (was ich nicht weiß, das originale Freetz hat(te) m.W. kein entsprechendes Paket).

Wie das mit dem Proxy-ARP beim FRITZ!OS funktioniert (und auch, daß es nur bei VPN-Verbindungen für einzelne Clients verwendet wird), ist hier im Board mehrfach thematisiert worden - man kann (oder sollte) sich aber vielleicht auch mal fragen, ob es tatsächlich erforderlich ist, die VPN-Clients mit IP-Adressen aus dem lokalen Segment zu betreiben. Macht man das nämlich nicht, hat jedes wgX-Interface sein eigenes Subnetz (Segment) und es reicht das "normale" Routing.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 560 (Mitglieder: 42, Gäste: 518)

Neueste Beiträge

Statistik des Forums

Themen
246,486
Beiträge
2,252,930
Mitglieder
374,277
Neuestes Mitglied
sp00kyDD
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück