[Problem] Fritzbox 7590 - IP-Kollision bei IP-Adressvergabe für Wireguard VPN Clients

[piffpaff34]

Servus zusammen,

Folgende Konfig ist gegeben:
- Fritzbox 7590 als DSL-Router, DHCP für internes Netzwerk aus.
- daran angeschlossen ein physischer Windows-Server als Domänencontroller, d.h. auch DHCP und DNS, welcher einige DHCP-Adressreservierungen hat.

Folgendes Problem stellt sich nun:
Richte ich auf der Fritzbox eine Wireguard-Verbindung ein, vergibt die Fritzbox für den neuen VPN-Client eine interne Adresse, welche aber vom DHCP-Server schon belegt ist. Dies führt logischerweise zur Adresskollision. Die Fritzbox setzt sich hierbei durch, d. h. die Wireguard-Verbindung funktioniert, das Gerät, welches die IP-Adresse aber vom DHCP-Server eigentlich bekommt, nicht mehr (logisch, da die Fritzbox nicht "weiß", welche IP-Adressen der Server vergibt).

Es gibt in der Oberfläche der Fritzbox keine Möglichkeit, die VPN-Client-IP-Adresse irgendwie zu ändern. Sie wird nach einem bestimmten (mir unbekannten) Schema vergeben und ist leider stets die gleiche.

Ich habe versucht, die Konfig der Fritzbox (hier eben die Client-IP-Adressen) per Texteditor anzupassen. Das Einlesen der VPN-Konfig funktioniert anschließend auch fehlerfrei. Auch die entsprechend geänderten Client-Konfigurationen werden von diesem anstandslos akzeptiert, die Verbindung kommt auch zustande, es ist jedoch kein Datenverkehr möglich. Ich vermute, dass die händisch geänderten IP-Adressen eben nicht in den IPTABLES der Fritzbox eingetragen werden, und deshalb kein Datenverkehr möglich ist. .

Eine Änderung der reservierten Geräteadressen im DHCP-Server kommt nicht in Frage, ebenso wenig die Umstellung des DCHP-Servers in die Fritzbox (da ein Active Directory besteht und der Server daher die Adressverwaltung übernehmen muss).

Welche Möglichkeiten bleiben mir nun noch? Es muss doch möglich sein, die IP-Adresse des VPN-Clients IRGENDWIE zu beeinflussen.

Danke schonmal für Antworten.

 

[ktw2003]

Die Wireguard Adressen werden ab .128 aufwärts vergeben. Kannst du den Bereich nicht einfach aussparen oder im Windows DHCP entsprechend reservieren, damit dieser ausgespart wird. So viele Clients die per Wireguard reinkommen, werden es doch wohl nicht sein?

 

[FlyingToaster]

Als Wireguard IP-Adressen werden bei meiner 7590 (7.51-102591 Inhaus) die freien IP-Adressen ab "DHCP-Server vergibt IPv4-Adressen" "bis" +1 (bei mir ab .222) vergeben, genau so wie beim IPSec/IKEv1.
Wie sind denn deine Einstellungen?

 

[piffpaff34]

[Edit Novize: Überflüssiges Fullquote gemäß der Forumsregeln gelöscht]

Vielen Dank.
Auf .127 und .128 sind zwei IPSec Verbindungen, die kann ich ändern, dann würde es passen (tatsächlich sind es min. 3 WG-Verbindungen und das kollidierende Gerät hat .131
Als "dirty" Lösung geht das. Allerdings vergeben wir von der Firma aus eigentlich nach einem bestimmten Schema die IP-Adressen im Netzwerk um "Ordnung" zu halten, was in einem solchen Fall also nicht möglich ist. Gut, das zu wissen.

Danke dir für diese Info.
PS: Falls aber doch noch jemand einen Trick kennt, die für Wireguard vergebenen IP-Adressen oder das Vergabeschema zu beeinflussen, nur zu gerne.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gemäß der Forumsregeln gelöscht]
Das macht Sinn, allerdings ist die Fritzbox in meinem Fall ja kein DHCP-Server, somit gibt es kein "DHCP-Server vergibt IPv4-Adressen...."

 

[ktw2003]

Ich habe jetzt auf mehrere per Wireguard verbundene Boxen geschaut. Bei den 7490er beginnen die Wireguard-Clients dort immer bei .128 bei den 7590er (ohne AX) bei .201 ?

 

[Benares]

Normalerweise geht der DHCP-Bereich einer Fritzbox von .10 (oder.20?) bis .199 und die Fritte beginnt dann ab .200 aufsteigend mit den Adressen für VPN. Ich weiß nicht, wie es ist, wenn man DHCP ausschaltet oder den Bereich ändert.

 

[piffpaff34]

Ich würde mal mutmaßen, bei aktiviertem DHCP hängt die Fritte die VPN-Clients einfach direkt hinter den DHCP-Adressbereich. Dieser ist ja standardmäßig (so viel ich mich erinnere) auf 20-200 eingestellt.

Ohne DHCP nimmt sie offenbar die .128

 

[ktw2003]

Habe mir angeschaut was bei den 7490er bei mir anders ist, dort ist DHCP deaktiviert, weil ein anderer Router die IPs per DHCP vergibt. (Anschlussart ist hier weiterer Internetanbieter / vorhandener Zugang über LAN.) Ich vermute deshalb wird ein anderer IP Bereich im Wireguard-Client verwendet.

 

[piffpaff34]

So wie ich das sehe wäre dann wohl die einzige Möglichkeit, kurz den DHCP in der Fritte zu aktivieren und den IP-Adressbereich vor den, den wir üblicherweise für VPN's vorsehen, festzulegen.
Dann die Wireguard-Verbindungen erstellen und
anschließend wieder den DHCP der Fritte deaktivieren.

*mal rein laut gedacht*

 

[Benares]

Ja, ich denke, so sollte es klappen. Vielleicht sollte man dann erstmal eine ungenutzte Dummy-VPN-Verbindung definieren, bevor man DHCP wieder abschaltet. Ich denke, dass die Fritte bei weiteren VPN-Verbindungen dann trotzdem dort weitermacht.

 

[ktw2003]

Auch mal laut gedacht. Einfach der Fritzbox einen eigenen IP-Bereich verpassen, unabhängig vom Windows DHCP könnte doch auch eine Option sein? Die Konfiguration der zugehörigen Route sollte doch kein Problem sein.

 

[Benares]

Das ist Quatsch. Denn wer soll da den Router spielen.

 

[ktw2003]

Nah die Fritzbox, wie heute auch. Es ist doch kein Hexenwerk IP-Routen zu konfigurieren.

 

[Benares]

Überleg nochmal

 

[ktw2003]

Da muss ich nichts überlegen, es gibt einen Windowsserver der auch DHCP macht, der kann problemlos Gateway spielen und der Rest sind zwei lächerliche Routen.

 

[Benares]

Ach so meinst du das. Also der Windows-Server als kaskadierter 2. Router? Na ja, wär mir zu umständlich. Die VPN-IPs an die richtige Stelle zu schubsen dürfte einfacher sein.

 

[piffpaff34]

Ach so meinst du das. Also der Windows-Server als kaskadierter 2. Router? Na ja, wär mir zu umständlich. Die VPN-IPs an die richtige Stelle zu schubsen dürfte einfacher sein.

Nein, das klappt (jedenfalls in der dortigen Netzwerkkonstellation) auch nicht. Die Nummer hatten wir tatsächlich erst, weil vorher ein anderer Router dort stand, an dessen Konfiguration wir nicht heran kamen (und der DHCP machte, sprich, mit dem Windows-DHCP kollidierte).
Das Problem ist dass es sich dabei um eine Arztpraxis handelt, die arbeiten zwangsweise mit einer äußerst sensiblen und umständlich (und auch nicht von uns) zu konfigurierenden Telematik (wegen Krankenkassenabrechnung usw.), die die kaskadierte Geschichte mal "so GAR NICHT" mag. Techniker von 3 Systemhäusern haben sich daran die Zähne ausgebissen und der Administrationsaufwand wäre ins unermessliche gestiegen. Das ist also leider keine Option, sonst wäre das auch mir tatsächlich die Liebste gewesen.

Aber das mit dem kurzzeitigen Aktivieren des DHCP geht schon so in Ordnung. Wenn die VPN-Verbindungen dann einmal eingerichtet sind, ändern die sich auch so schnell nicht mehr. Dieser kleine Mehraufwand ist also zu verkraften.

 

[FlyingToaster]

Ohne DHCP nimmt sie offenbar die .128

Die 128 ist definitiv nicht neu, wenn man den DHCP abschaltet. Das habe ich schon vor etlichen Jahren so benutzt und beim "richtigen" DHCP die betreffenden Bereiche reserviert. Seltsam ist aber der Konflikt zwischen IPsec und WG.
Mein vergleichsweise neuer "richtiger" Router hat einen eigenen DHCP nur für das Windows-native L2TP/IPsec, aber leider nicht für WG, da muss ich feste IPs manuell vergeben.