FritzBox AccessList bei WireGuard nicht möglich?

[c.wuensch]

Hallo zusammen,

ich bräuchte mal eure fachmännische Expertise...

Ich habe zwei FritzBoxen per Box-to-Box VPN miteinander verbunden, und dies nun vom alten IPsec auf das neue WireGuard umgerüstet.
(A): FritzBox 7530 AX mit IP-Range 192.168.1.x, die sich hinter einem NAT befindet, das IP-Range 192.168.100.x nutzt
(B): FritzBox 7530 mit IP-Range 192.168.178.x

Damit ich von Standort (B) aus auch auf die Geräte, die sich im übergeordneten Netzwerk (192.168.100.x) von Standort (A) befinden, hatte ich früher das FritzBox-Configfile modifiziert und in der accesslist folgendes eingetragen:

accesslist = "permit ip any 192.168.1.0 255.255.255.0",
             "permit ip any 192.168.100.0 255.255.255.0";

Mit dem früheren IPsec-VPN hatte das problemlos funktioniert, dass ich auch von Standort (B) aus auf die Geräte im Bereich 192.168.100.x zugreifen konnte.

Nun habe ich eine Wireguard-Verbindung eingerichtet - dort gibt es aber keine Zeile namens "accesslist" im Config-File.

Ich habe die Zeile mit obigem Inhalt einfach zusätzlich eingefügt. Das hatte aber keinen Effekt - die Anfragen zu 192.168.100.x werden jetzt ins Internet weitergeleitet.

Fällt jemandem eine Möglichkeit ein, wie man eine entsprechende Routing-Regel auch mit dem neuen Wireguard umsetzen könnte?

 

[chrsto]

Du solltest dich zunächst mit der grundlegenden Funktionsweise von WireGuard auseinander setzen.

Bei WireGuard entscheidet jeder Client selbst, welcher Traffic über das VPN geht und welcher nicht. Das erfolgt über die Zeile (Beispiel):

AllowedIPs = 192.168.2.0/24

 

[c.wuensch]

Interessant... Könntest du mir das für das konkrete Beispiel etwas näher erklären?
Also, der "Client" ist in diesem Fall wohl die FritzBox selber oder? Für die dahinterliegenden Rechner ist das VPN ja transparent.,,

Müsste ich dann auf der FritzBox B eine Zeile hinzufügen?

AllowedIPs = 192.168.1.0/24
AllowedIPs = 192.168.100.0/24

Oder müssten die IPs in einer Zeile mit einem Separator hintereinander geschrieben werden?

 

[PeterPawn]

Weder noch - man MUSS keine der beiden Möglichkeiten wählen, da beide funktionieren. Der Separator wäre das Komma, wie jede (eigene) Internetsuche leicht offenbaren hätte können (so viel Konjunktiv, den man so leicht hätte vermeiden können - schon wieder leider nur Konjunktiv).

 

[c.wuensch]

Ich habe inzwischen herausgefunden, wie es (bei der FritzBox) geht,
Die Syntax unterscheidet sich tatsächlich von dem, was man ansonsten im Internet findet.

wg_allowed_ips = "192.168.1.0/24", "192.168.100.0/24";

 

[PeterPawn]

Das ist aber auch etwas anderes - das Format der Einträge in der vpn.cfg ist logischerweise ein anderes. Aber das würde beim Import einer passenden Konfigurationsdatei (so, wie ansonsten überall beschrieben) auch automatisch korrekt erzeugt.

Ich würde Nachahmern vom direkten Ändern der Datei im FRITZ!OS abraten, zumal es dabei einiges zu beachten gibt (mind. den CRC32-Wert am Ende, wenn es über Ex-/Import geht).

 

[c.wuensch]

Ich habe einfach die gespeicherten Settings mit dem FBEditor editiert, und danach wieder in die FritzBox importiert.
Habe ich dabei etwas falsch gemacht? Hätte ich noch etwas beachten müssen?

 

[PeterPawn]

Nein, aber der FBEditor ist ja auch nicht per se bei Dir installiert gewesen, oder? Der kümmert sich tatsächlich (in der richtigen Version) um die erwähnte Prüfsumme.

Meines Wissens (korrigiere mich) gibt es keine Version dieses Programms mehr, die tatsächlich so funktioniert, wie das mal beschrieben/gedacht war und die selbst in der Lage ist, bei aktueller Firmware mit "Anmeldezwang" und aktivierter 2FA die Daten aus der Box zu laden und/oder wieder zurückzuschreiben. Und am "händischen" Export, der Wahl eines passenden Editors (der muß "CR only"-Zeilenenden unterstützen) bzw. der Installation einer JRE für den FBEditor scheitern schon einige.

Da dürfte die Verwendung einer passenden Datei mit der WIreGuard®-Konfiguration für den Import (den erlaubt das FRITZ!OS ja auch anstelle des Anlegens einer neuen Verbindung) für die allermeisten einfacher und weniger aufwendig sein, mal abgesehen vom Problem der korrekten Syntax und den Folgen einer falsch editierten Datei beim Import.

 

[georg3003]

Folgende Variante funktioniert NICHT

wg_allowed_ips = "192.168.20.0/24";
wg_allowed_ips = "192.168.99.0/24";


So wird nur die zweite IP übernommen und eingetragen. In der Weboberfläche fällt die erste Variante weg.


Offline ist in der GUI folgendes zu sehen.

Jetzt wird es aber verrückt! Sobald die Kiste online ist, ist nur noch die erste IP sichtbar, und auch nur die erste IP erreichbar die zweite aber nicht.

So sieht der Eintrag aus:
wg_allowed_ips = "192.168.20.0/24 , 192.168.99.0/24";

das "-Zeichen stand auch brav vor und hinter dem Komma. wie in Beitrag #5 gezeigt. Es wurde von der Box geändert, wie von @PeterPawn oben beschrieben. Er hat ja immer Recht!

Ergo, es muss eine andere Lösung geben. Evt geht ja eine 2. WG Verbindung mit der zweiten IP. zum Ziel.

Ich muss leider einen kleinen Fehler eingestehen ich bezeichne fälschlicherweise das Netzwerk als IP. Ich weise noch darauf hin, dass IP also z.B. 192.168.20.0/24 ein Netzwerk ist (ein C-Klasse Netz)


EDIT/ERGÄNZUNG/KORREKTUR

Es scheint wohl mein Fehler gewesen zu sein.

Ich habe anscheinend die Anführungsstriche vergessen. Ich hatte es wohl irgendwie versäumt. SORRY. Wie folgt funktioniert es einwandfrei.
RICHTIG wg_allowed_ips = "192.168.20.0/24", "192.168.99.0/24";
FALSCH wg_allowed_ips = "192.168.20.0/24 , 192.168.99.0/24";

Also alles OK, perfekt. UND wie immer PeterPawn hat IMMER RECHT!!! Ich bewundere ihn einfach.