FRITZ!Box 7590 - INHAUS 7.39 - Sammelthema

[Kat-CeDe]

Hi,
Wann passiert es denn? Ich war zum letzten Mal vor 6-7 Stunden drauf und Fritz zeigt es immer noch klickbar an. Ist Steckdosenleiste mit tasmota 10 und hat Passwort.

Ralf

 

[kleinkariert]

Meine früher angemeldeten Tasmotas waren alle auf "eLUrlStatusNotAvailable" festgenagelt. Aber das kam mit irgendeiner Inhaus-Version, die einige wohl ausgelassen hatten.
Wenn es aktuell nicht mehr zu diesen Zuständen führt, werde ich jetzt die restlichen Geräte löschen und wieder neu ins LAN/WLAN "einfügen" und abwarten. Und später bekommen die wieder Passworte.

 

[carlos]

Bei mir sind es einige Tasmota Geräte und einige Shelly Geräte, aber nicht alle.
Alle ohne Password.
Stromlos machen und wieder anmelden hilft nur bedingt. Sie verschwinden nach einiger Zeit wieder.

Auch meine Powerline adapter werden nicht mehr erkannt.

 

[Robert T-Online]

Es gibt etwas neues:

download.avm.de/inhaus/MOVE21/7590/FRITZ.Box_7590-07.39-96216-Inhaus.image

 

[TSprecher]

Bei mir keinerlei Veränderungen zur aktuellen Labor erkennbar.
Weiterhin Anzeige von nicht vorhandenen LAN-Clients mit MACadressen von aktien Zyxel Switches (GS1900-8HP) im Heimnetz.
Sonst absolut störungsfreier Telefon-, Mesh- und MagentaTV-Betrieb ohne Reboots und mit stabiler SVDSL-Verbindung!

 

[meyergru]

Konnte jemand in der letzten Zeit "auf natürlichem Weg" ein neues WireGuard-LANzuLAN-VPN anlegen?

Nach den in #582 aufgetretenen Problemen hatte ich das VPN mal gelöscht und jedes Mal (also bei jeder Inhaus oder Labor) seitdem erzeuge ich auf der zweiten 7590 mit dem Import der Verbindungskonfiguration der ersten immer nur eine völlig dysfunktionale "WireGuard Geräte-Verbindung". Die Inhaus- (oder Labor-)Version des Funktionalitätsverlusts muss demnach mindestens eine davor liegen.

Ich habe es mit der aktuellen Labor-Version (96137) auch nicht hinbekommen - nicht einmal auf "nicht natürlichem Weg". Ein Problem ist ja, dass der Import der Konfiguration nicht funktioniert, wie Du schreibst, andererseits aber die Erzeugung einer LANzuLAN-Konfiguration auf der einen Box der anderen den Private Key vorgeben möchte (was normalerweise nicht geht).

Aber selbst, wenn man das weiß und in den Konfigurationsdateien die Keys und DynDNS-Adressen von Hand auf beiden Seiten anpasst, geht es nicht, weil keine Seite eine Verbindungsaufnahme startet, sondern brav auf die Kontaktaufnahme der Gegenseite wartet.

 

[luckyiam]

Könnt ihr im aktuellen Labor ein neues TOTP für den Internetzugriff anlegen für einen User?

 

[ds77]

Ich habe es mit der aktuellen Labor-Version (96137) auch nicht hinbekommen - nicht einmal auf "nicht natürlichem Weg". Ein Problem ist ja, dass der Import der Konfiguration nicht funktioniert, wie Du schreibst, andererseits aber die Erzeugung einer LANzuLAN-Konfiguration auf der einen Box der anderen den Private Key vorgeben möchte (was normalerweise nicht geht).

Aber selbst, wenn man das weiß und in den Konfigurationsdateien die Keys und DynDNS-Adressen von Hand auf beiden Seiten anpasst, geht es nicht, weil keine Seite eine Verbindungsaufnahme startet, sondern brav auf die Kontaktaufnahme der Gegenseite wartet.

Es sollten sich folgende WireGuard-Konfigurationen auf 2 Fritzboxen problemlos importieren lassen und ein Site-2-Site-VPN zustande kommen:

Spoiler: FB1 (192.168.178.1)

[Interface]
PrivateKey = PRIVATE-KEY-FB1
ListenPort = 51463
Address = 192.168.178.1/24
DNS = 192.168.178.1,192.168.177.1
DNS = fritz.box

[Peer]
PublicKey = PUBLIC-KEY-FB2
PresharedKey = PRESHARED-KEY-FB1-FB2
AllowedIPs = 192.168.177.0/24
Endpoint = DYNDNS.FB2:51463
PersistentKeepalive = 25

Spoiler: FB2 (192.168.177.1)

[Interface]
PrivateKey = PRIVATE-KEY-FB2
ListenPort = 51463
Address = 192.168.177.1/24
DNS = 192.168.177.1,192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = PUBLIC-KEY-FB1
PresharedKey = PRESHARED-KEY-FB1-FB2
AllowedIPs = 192.168.178.0/24
Endpoint = DYNDNS.FB1:51463
PersistentKeepalive = 25

Die jeweiligen lokalen IP-Adressen, PRIVATE-KEY-FB1, PRIVATE-KEY-FB2, PUBLIC-KEY-FB1, PUBLIC-KEY-FB2, PRESHARED-KEY-FB1-FB2, DYNDNS.FB1 und DYNDNS.FB2 müsst ihr natürlich auf Eure Gegebenheiten anpassen. Die Angabe des Endpoint auf beiden Fritzboxen führt dazu, dass sich die Fritzboxen gegenseitig versuchen zu connecten (Master-Master).

 

[Joe_57]

Sehr merkwürdig.
Die IP-Adresse 192.168.179.1 gehört zum Gastnetz deiner FRITZ!Box FB1.
Was passiert denn mit der WireGuard-Verbindung, wenn das Gastnetz in FB1 aktiviert wird?

 

[meyergru]

Die Theorie ist mir bekannt. Sie hat in der Praxis diese Probleme:

1. Der Import führt in der aktuellsten Labor dazu, dass die Verbindung gar nicht als LANtoLAN, sondern als Geräteverbindung - ohne jegliche Parameter - angezeigt wird. Funktionieren tut sie auch nicht.
2. Selbst, wenn man die Parameter in beiden Konfigurationsdateien von Hand einträgt, werden die DynDNS-Adressen nicht angesprochen. Das kann auch gar nicht funktionieren, weil es keine Möglichkeit gibt, die Portnummer zu spezifizieren.
3. Was aufgrund der Struktur der Fritzbox-Konfiguration überhaupt nicht gut funktioniert, sind ZWEI oder mehr Konfigurationen zu haben, z.B. wenn man drei Fritzboxen paarweise koppeln will, weil pro FB nur EIN Private Key in der Konfiguration liegen kann. Dieser wird anscheinend dann erzeugt, wenn man die erste Wireguard-Konfiguration auf dem Gerät erzeugt und kann dann auch durch einen Import nicht überschrieben werden. Wie sollte also bei vorhandener Wireguard-Konfiguration ein Import des "PrivateKey" funktionieren?

Was funktioniert, ist die Erzeugung eines LANtoLAN-Profils auf einer Fritzbox und der Import auf einer Nicht-AVM-Gegenstelle, die in der Lage ist, einen Private Key vorgegeben zu bekommen UND der man per DynDNS-Adresse und Port (51463) die Verbindungsaufnahme zutrauen kann. Ich habe z.B. LANtoLAN gegen eine OpnSense laufen. Letztere kann nämlich im Gegensatz zur Fritte mehrere WG-Interfaces auf verschiedenen Ports laufen haben (nennt sich dort "local configuration").

Der Unterschied zwischen Erzeugung und Import liegt in der Konfigurationsdatei darin, dass im ersten Fall einzelne Parameter (u.a. wg_public_key, wg_preshared_key, wg_allowed_ips, wg_dyndns) erzeugt werden, während im zweiten Fall die importierte Konfiguration netto als Text in der wg_master_config steht.

In beiden Fällen gibt es aber die "global"-Sektion in der vpncfg - dort stehen der (einzige) lokale Private und Public Key der Box drin. Zumindest im Idealfall: Als ich mit Erzeugung und Import ein bisschen herumgespielt habe, hatte ich auch schon die Situation, dass dort nur ein Public Key stand - da ging natürlich gar nichts.

 

[ds77]

Sehr merkwürdig.
Die IP-Adresse 192.168.179.1 gehört zum Gastnetz deiner FRITZ!Box FB1.
Was passiert denn mit der WireGuard-Verbindung, wenn das Gastnetz in FB1 aktiviert wird?

Das sind Beispiel-IP's. Du hast recht mit dem 179-Netz, schlechtes Beispiel ;-) Habe es korrigiert.

 

[meyergru]

@ds77: Wenn Du das konkret am Laufen hast, kannst Du bitte die beiden Sektionen "vpncfg"-"global" und "vpncfg"-connections für die resultierende Verbindung zeigen (natürlich anonymisiert)?

Mir wäre ja egal, ob der Import und die Erzeugung funktioniert, wenn ich selbst die Parameter vorgeben kann.

 

[ds77]

Ich habe konkret KEIN reines FB1-FB2 WireGuard-VPN sondern die Konstellation, das sich mehrere FB's auf einen zentralen WireGuard-Server (Linux) via Site-2-Site-VPN verbinden. Das hat natürlich auch nicht auf Anhieb funktioniert.
Durch Erstellen einer WireGuard-Konfiguration auf der Fritzbox, Export, Abwandlung (eigene Keys) und erneuten Import habe ich mich heran iteriert, bis die Konfiguration bei Import akzeptiert wurde. Über diesen Weg kann man der FB dann eigene Keys, EndPoint usw. vorgeben. Hier funktioniert das Generieren für und der Import der entsprechenden WireGuard-Konfiguration in die FB's zur Verbindung mit meinem WireGuard-Server nach dem hier beschriebenen Aufbau sehr gut und sollte auch so zwischen 2 FB's klappen. Ob man den ListenPort der FB ändern kann habe ich nicht ausprobiert sondern den von der FB vorgegebenen genutzt.
Das funktioniert aber genau mit der (von Dir beschriebenen) Einschränkung, das es nur mit genau einer Verbindung klappt und nicht mit mehreren. Ich habe dann evtl. zusätzliche Geräte-Verbindungen für SmartPhones nach dem Import der Site-2-Site-VPN-Verbindung in der FB angelegt.

Anbei ein Beispiel Site-2-Site + Smartphone:

Spoiler: vpncfg

vpncfg {
        vpncfg_version = 1;
        global {
                wg_private_key = "AAA";
                wg_public_key = "BBB";
                wg_listen_port = 51463;
        }
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_wg;
                name = "site2site";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                app_id = 0;
                wg_public_key = "CCC";
                wg_preshared_key = "DDD";
                wg_allowed_ips = "192.168.177.0/24";
                wg_persistent_keepalive = 25;
                wg_endpoint = "EEE:51463";
                wg_dnsserver = "192.168.177.1";
                wg_address = "192.168.178.1/24";
                wg_slave_config = "";
                wg_slave_publickey = "";
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
        } {
                enabled = yes;
                editable = yes;
                conn_type = conntype_wg;
                name = "smartphone";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                keepalive_ip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                app_id = 0;
                wg_public_key = "FFF";
                wg_preshared_key = "GGG";
                wg_allowed_ips = "192.168.178.201/32";
                wg_persistent_keepalive = 25;
                wg_dyndns = "HHH";
                wg_master_config = "";
                wg_slave_config = "";
                wg_slave_publickey = "";
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = yes;
        }
}

---

Und nun noch einmal ein real funktionierendes Beispiel (gerade getestet) zwischen 2 FB's.

<--->
Importierbare Konfiguration: 205-ipff.zip . . . . Importierbare Konfiguration: 209-ipff.zip

 

[meyergru]

Interessant. Der Wert wg_endpoint existierte bei mir gar nicht, nur wg_dyndns - da stand ursprünglich der eigene DynDNS-Name drin, nicht der der Gegenstelle, auch kein Port.

Ich habe es aber gerade mal so angepasst wie bei Dir - kein Erfolg, meine 7590 mit der aktuellen Labor (nicht Inhouse) nimmt keine Verbindung auf (akzeptiert aber eingehende Verbindungen).
Beim Sichern der Konfiguration bleibt wg_endpoint erhalten, also scheint es den Wert zu geben...

Also. wg_endpoint bleibt genau wie wg_dyndns bei mir leider wirkungslos.

Welche Firmware nutzt Du?

 

[ds77]

Ich benutze die letzte Inhaus auf 7590, 7530 und 7490.

 

[meyergru]

Alles klar - ich hab's: Flüchtigkeitsfehler meinerseits - der Port in wg_endpoint stimmte nicht.
Es geht. Und bei sorgfältiger Vorbereitung auch dreiseitig - der Public Key der jeweiligen Box kann aus der Konfigurationsdatei ja auch ausgelesen werden. Bringt man den in der Gegenstelle ein, funktioniert es.

Der entscheidende Punkt ist die Eintragung von wg_endpoint, der bisher bei mir auf keine Weise "automatisch" entstand. Die gegenseitige Verbindungsaufnahme ist sehr wichtig, da Wireguard die DNS-Auflösung nur beim Start einmalig vornimmt. Rebootet man also eine Box, bekommt die andere das "niemals" von selbst mit, außer, wenn die neu gestartete Box die Verbindung aufbaut. "Nur eingehende Verbindungen" zuzulassen, ist also in aller Regel für LANzuLAN keine gute Option.

Der Import ist - mindestens in der Labor - aktuell kaputt und Erzeugung auf der Fritzbox lässt die Angabe der Gegenstelle nicht zu.

Vielen Dank, das war jetzt hilfreich!

 

[Robert T-Online]

Es gibt etwas neues:

download.avm.de/inhaus/MOVE21/7590/FRITZ.Box_7590-07.39-96333-Inhaus.image

 

[georg3003]

Ich benutze die letzte Inhaus auf 7590, 7530 und 7490.

Was gibt es bereits eine inhaus für die 7490? Das wäre mir neu

 

[Grisu_]

Was meinst du ist das?

FRITZ!Box 7490 - InHaus 07.39/07.51 Move21-NL1 - Sammelthema

Die erste InHaus-Version von FRITZ!OS 07.39-InHaus für die FRITZ!Box 7490 ist nun zu finden. download.avm.de/inhaus/MOVE21/7490/FRITZ.Box_7490-07.39-96213-Inhaus.image

www.ip-phone-forum.de

 

[georg3003]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gemäß der Forumsregeln gelöscht] Ja Danke sehr, ich hatte keine Zeit mehr und wollte es nun kürzen.
Danke sehr. Ich habe schon seit einiger Zeit drauf gewartet.