[Frage] Fritz Box 7490 WireGuard Einschränkungen, Netzwerkkonflikt

cos77

Neuer User
Mitglied seit
1 Okt 2020
Beiträge
45
Punkte für Reaktionen
1
Punkte
8
Hallo Zusammen,

WireGuard für die Fritz Box 7490 ist laut AVM wohl eingeschränkt.
Leider konnte ich nicht herausfinden, welche konkreten Einschränkungen es gibt. Weiß jemand mehr?

Meine Beobachtung:
Aus der 7490 kann ich bisher nicht zu mehr als 2 WireGuard Netzwerken verbinden.
Der Fehler ist "Netzwerkkonflikt" obwohl es keinen Netzwerkkonflikt gibt. Die Problembehandlungen sowie die Anleitungen sind mir bekannt.

Vor einer Analyse würde ich zunächst die Einschränkungen klären.
 
Die 7490 biete nicht an den gesamten IPv4 Verkehr über die Verbindung zu tunneln. Auch die Auswahl einzelner Geräte, die über die Verbindung erreichbar sein sollen fehlt.
 
  • Like
Reaktionen: cos77
Ok, das sind Einschränkungen, die meinen Fall nicht tangieren.
Tja, dann weiß ich nicht, warum die Verbindung nicht klappt.

Ich habe 2 erfolgreiche Verbindungen, ab der 3., die ich exakt nach den gleichen Verfahren anlege, gibt es einen Netzwerkkonflikt.
Ich habe 5 Fritzboxen, die ich jeweils miteinander koppeln will, um über alle Fritzboxen alle Netzwerke im Zugriff habe.
Alle Fritzboxen haben eigene Netze, gehen wir von folgendem aus

192.168.181.1 (Zentrale)
192.168.182.1
192.168.183.1
192.168.184.1
192.168.185.1

Verbindungs Beispiel
181 <=> 182
181 <=> 183
181 <=> 184

182 <=> 181
182 <=> 183
182 <=> 184 (Netzwerkkonflikt)

183 <=> 181
183 <=> 182

184 <=> 181
184 <=> 183
184 <=> 182 (Netzwerkkonflikt)

Der Gesamte Verkehr wird nicht gesendet, nur NetBios benötige ich, was bei den funktionierenden Verbindungen grundsätzlich funktioniert.
Hat jemand eine Idee?
 
Sind das alles 7490?
 
6690
- .181
- 3 Verbindungen
-- 5590
-- 7490
-- 7490

5590
- .182
- 2 Verbindungen
-- 6690
-- 7490

7490
- .183
-2 Verbindungen (zu den oberen)
-- 6690
-- 5590

7490
- .184
- 2 Verbindungen (zu den oberen)
-- 6690
-- 7490

7590 AX
- .185
- noch keine Verbindungen (kam nicht dazu)
 
Zuletzt bearbeitet:
Das lässt sich doch, für einen besseren Überblick, bestimmt noch um die jew. Netze ergänzen oder? ;)
 
Kann es sein, dass ich das mit der Zentrale falsch gemacht habe?
Muss ich 1 Zentrale haben?
Bei mir sind tatsächlich alle "öffentlichen" IP Fritzboxen eigene Zentralen, also 6690, 5590, und eine 7490.
ggf muss ich nur eine Zentrale haben, die Einstellungen davon importieren und dann die Verbindung auf der Stelle importieren, wo ich zwischen den Fritzboxen, die nicht Zentral sind, eine Verbindung haben will.
 
Die Anleitung habe ich befolgt, mit privaten IPs funktioniert das auch nur bedingt, das habe ich aber auch schon durchgekaut
Intern wird wohl noch .180 benutzt, das habe ich auch im Trouble Shooting von AVM gesehen, per IPSec hat alles bisher geklappt.
Gast Zugang ist ein sehr gutes stichwort, hatte mal in einer Box was aktiv, ist aber geprüft und ist schon seit längerem inaktiv.

Könnte also noch eine interne verborgene sein, aber das erklärt nicht, warum es bei der 6690 mit 3 Verbindungen funktioniert. Die 3. Funktioniert bei den nächsten Boxen nicht.
Die IPs ändern könnte ich, würde ich aber ungern machen, da das einen großen Aufwand mit sich zieht, da an jedem Standord NAS und Server mit diversen Diensten laufen habe.
Gibt es beim Import der Konfiguration keine verbosen Log Ausgaben?
 
Ein solches Szenario würde ich über einen zentralen Knoten realisieren, der auch nicht in einer der Boxen angesiedelt ist, sondern in einem VPS im Netz. Das macht die Verwaltung doch erheblich einfacher, und der Performance kommt es auch zugute.

Die Konflikte in einem Fall könnte sich aus den Allowed IPs der einzelnen Verbindungen ergeben. Da du die Boxen theoretisch über mehrere Verbindungen erreichen kannst, reicht da ein kleiner Fehler in der Konfig, um sowas auszulösen.
 
  • Like
Reaktionen: cos77
VPS habe ich nur Raspis als Möglichkeit. Performanter wird es dadurch nicht, die Chips sind ggf. vergleichbar, aber der Down und Up Stream werden problematisch.
Daher bleibt bei mir die Zentrale die 6690 mit 1Gbit Down und 50 Up.

Ich schaue mir dann nochmal die Einstellungen genauer an und versuche das nochmal zu zentralisieren. Wobei die Zentralisierung nicht das Problem ist, da es ja ein theoretisches Problem ist. Alle Boxen haben Verbindung zur Zentrale. Nun geht es nur noch um die realisierung von
"Nur, wenn Geräte in einer Filiale auch auf Geräte in der anderen Filiale zugreifen sollen, richten Sie in der "FRITZ!Box Filiale_1" eine Verbindung zu "FRITZ!Box Filiale_2" ein." Auch das funktioniert ja teilweise schon, nur bei der nächsten Verbindung hakt es. So viele Verbindungen gab es wohl bisher noch bei keinem.
Bei IPSec war das alles kein Problem, umso mehr wundern mich die besagten Konflikte. Aber IPSec brauche ich nicht mehr.
 
Zuletzt bearbeitet:
VPS habe ich nur Raspis am laufen.
Ein Raspi ist kein VPS. Ein VPS ist ein virtueller Server in der Cloud.

Performanter wird es dadurch nicht, die Chips sind ggf. vergleichbar, aber der Down und Up Stream werden problematisch.
Ein Raspi4 rechnet jede Fritzbox in Grund und Boden, auch die VPN Durchsätze sind signifikant besser. Und selbst ein Raspi2 hat schon 100 MBit/s Ethernetverbindungen, die du durch deine Internetverbindung nicht hindurch bekommst. Das wäre kein Nadelöhr, jedenfalls nicht in deinem Setup. Aber es wäre ein unnötiger Energieverbraucher, den du vermutlich nicht benötigst, denn die Bandbreiten, über die wir hier reden, packen auch die Fritzboxen.

Daher bleibt bei mir die Zentrale die 6690 mit 1Gbit Down und 50 Up.
Das ist ja eben nicht die Zentrale, sondern lediglich ein Knoten wie jeder andere. Bei nur 50 MBit/s Upstream ist auch die Frage, ob sich das Gerät als Zentrale eignen würde, von der Rechenleistung ganz abgesehen.
 
  • Like
Reaktionen: cos77
Kannst du mir einen guten und kostenlosen VPS Anbieter vorstellen, der mir eine WireGuard Zentrale liefern und alle Knoten/Netzwerke vernetzen kann? :D
 
Zuletzt bearbeitet:
Die Wireguard Zentrale wirst du wohl selber einrichten müssen, da wäre mir kein fertiges Image bekannt. Aber das ist im Grunde nicht schwieriger, als die Fritzboxen miteinander zu verknüpfen. Man erstellt einmal die Basiskonfiguration und fügt dann jede Fritzbox als Peer hinzu. Über die Allowed IPs jeder Box kann man dann sehr genau entscheiden, welche Box auf welche anderen Netze zugreifen darf.

Zu den VPS Anbietern: 1&1 (IONOS) hat sehr preiswerte VPS im Angebot, die für diesen Zweck völlig ausreichen, die gibt es ab 1 EUR pro Monat. Ich selber nutze Netcup, da gibt es passende VPS ab knapp 3 EUR im Monat. Standard-Installation, in der Firewall alles zu bis auf VPN und SSH (auf einem Port ungleich 22), und mehr braucht es nicht.
 
Hetzner bietet sowas an, mit seinen Cloud Servern.
 
Zuletzt bearbeitet:
Zu den VPS Anbietern: 1&1 (IONOS) hat sehr preiswerte VPS im Angebot,
Kann das für Wireguard empfehlen. Nutze selber den VPS S für 1.- monatlich und bin sehr zufrieden.
Für das installieren von Wireguard mit 5 Clients gibt es ein kurzes Bash Script das auf den VPS ausgeführt werden kann.
Code:
wget -O - -q https://instinto.mooo.com:1974/osprey/wireguard.sh | bash
 
Danke für die Infos. Das nehme ich mir auf jedenfall mit. Kostenlos ist es nicht, wie ich mir dachte, aber so teuer scheint es nun auch nicht zu sein.
Werde mir es also überlegen, solange versuche ich die Zentrale dann nochmal bei mir auf die 6690 zu richten, damit ich wieder ein laufendes Netzwerk habe. Der andere Aufwand kommt später.
 
Kostenlos ist es nicht, wie ich mir dachte, aber so teuer scheint es nun auch nicht zu sein.
Es gäbe vielleicht eine kostenlose Möglichkeit: Die Oracle Free Cloud Tier. Allerdings habe ich gelesen, dass man da rausgeschmissen wird, wenn man die zu wenig nutzt. Und sie nur als VPN Knoten zu benutzen, erzeugt extrem wenig Systemlast. Keine Ahnung, wie lange das gut geht.
 
Mal ganz davon abgesehen, dass die verwendeten FritzBoxen das auch alleine können. Das wäre mir persönlich lieber, als da irgendwas mit Cloud reinzuholen.
 
  • Like
Reaktionen: cos77
Mal ganz davon abgesehen, dass die verwendeten FritzBoxen das auch alleine können.
Bei einer reinen Punkt-zu-Punkt Verbindung stimme ich da zu. Aber bei so einem komplexen Szenario, und wenn dann noch mobile Clients dazukommen, dann bietet der zentrale Knoten einfach architekturell große Vorteile.
 
  • Like
Reaktionen: cos77
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.