[Problem] FritzBox Wireguard Verbindung aufbauen

[ültje]

Hallo,
ich habe in Haushalt A eine FritzBox 7590 stehen. An dieser Box ist ein Raspberry Pi mit einer USB-Festplatte angeschlossen.

In Haushalt B steht eine FritzBox 6490 Cable.

Ich möchte eine Wireguard-Verbindung aufbauen, dass ich von Haushalt B auf die Festplatte in Haushalt A zugreifen kann.

Zunächst hatte ich Wireguard auf dem Pi (Haushalt A) installiert und eine Portfreigabe in der FritzBox gemäß Doku eingerichtet. Über freeDNS habe ich mir eine feste Adresse geben lassen. Dann den Wireguard-Client auf meinem Rechner in Haushalt B. Laut Client ist die Verbindung zustande gekommen ("aktiv"), ich konnte aber nichts aus dem Netzwerk aus Haushalt A anpingen. Und solange die Verbindung aktiv war, konnte ich keine Internetseiten aufrufen in Haushalt B.

Dann habe ich gesehen, dass die FritzBox 7590 selber ein Wireguard-Netz aufbauen kann. Habe daraufhin meine Konfiguration vom Pi entfernt und auch die Portfreigabe wieder gelöscht. Habe dann gemäß des AVM-Videos die Wireguard-Verbindung auf der 7590 eingerichtet. DNS über myFritz. Dafür gesorgt, dass beide Fritzboxen unterschiedliche IP-Kreise haben, und wieder von Haushalt B den Client gestartet. Verbindung kann aufgebaut werden, aber wie auch schon bei dem Versuch über den Pi, habe ich keinen Internetzugriff mehr und kann auch weiterhin nichts anpingen.

Haushalt B hat Kabel über Vodafone und laut FritzBox-Anzeige wohl DS-Lite. Das soll ja grundsätzlich ein Problem für VPNs sein. Aber ich kann z. B. eine VPN-Verbindung zu meinem Firmennetzwerk problemlos aufbauen?

Haushalt A hat DSL über 1&1. Da seh ich in der FritzBox-Anzeige nichts von DS-Lite.

Ich habe gelesen, dass die 6490 Cable nicht Wireguard-kompatibel ist. Aber gilt das auch in meinem Fall als "Empfängerin"? Ist das der Grund?

Welche Informationen benötigt ihr von mir, um das genauer zu untersuchen?

Danke!

 

[Grisu_]

Schon versucht die LAN-LAN Kopplung über IPSec aufzubauen?
Oder kommt das für dich nicht in Frage.

 

[ültje]

Ne das habe ich nicht probiert, da ich gelesen habe, dass Wireguard die modernere und schnellere Variante ist...?

 

[Insti]

Haushalt A hat DSL über 1&1.

Da solltest du dich vergewissern das es eine native ipv4 hat.

 

[ültje]

Da solltest du dich vergewissern das es eine native ipv4 hat.

Dies ist die Anzeige in Haushalt A. Oh nein. Das sieht so aus als wär das auch DS-Lite und ich kann mein Vorhaben knicken?

 

[KunterBunter]

Ich habe gelesen, dass die 6490 Cable nicht Wireguard-kompatibel ist. Aber gilt das auch in meinem Fall als "Empfängerin"? Ist das der Grund?

Ja, in der Tat. Damit entfällt diese Möglichkeit der Verbindung auf Seite B.

 

[Grisu_]

Mit "VPN-Verbindung dauerhaft halten" sollte es doch auch am DS-Lite funktionieren, oder hab ich das falsch in Erinnerung?

 

[ültje]

Ja, in der Tat. Damit entfällt diese Möglichkeit der Verbindung auf Seite B.

Und wenn ich Wireguard nicht über die Fritzboxen laufen lasse, sondern über den Pi in Haushalt A (7590) und in Haushalt B (6490) ists ja eh nur der Client auf dem Rechner?

 

[Insti]

sieht so aus als wär das auch DS-Lite und ich kann mein Vorhaben knicken?

Wireguard geht auch mit ipv6. Wenn du das auf dem Pi schon installiert hast wäre das am einfachsten.

Über freeDNS

Erstell dir die Subdomain als AAAA Record und lass die vom Pi aktualisieren (Scripte gibt es ja genügend bei freedns dazu) .

 

[ültje]

Ich bin jetzt irgendwie völlig durcheinander mit ipv6 und ipv4. Ich fasse nochmal alles zusammen so wie ich es verstehe und ihr korrigiert mich ggf., ok?

Um mich in das Netzwerk von Haushalt A zu schalten, benötige ich die öffentliche IP-Adresse von Haushalt A.
Die IP-Adresse von Haushalt A ist (vermutlich) nicht statisch.
Daher der Umweg über FreeDNS.
Eine Subdomain bei FreeDNS einrichten, die auf die IP-Adresse von Haushalt A umleitet.
Ein Skript auf dem Pi liest alle 5 Minuten die öffentliche IP von Haushalt A aus und aktualisiert die hinterlegte IP-Adresse bei FreeDNS.
In der Wireguard Konfig wird dann statt der statischen IP von Haushalt, die Subdomain von FreeDNS hinterlegt.

Ich habe es hinbekommen, dass die IP bei Free DNS über ein Skript aktualisiert wird. Allerdings liest das Skript über "dynamicdns.park-your-domain.com/getip" eine normale ip4-Adresse aus. Ist ja auch erstmal nicht schlimm, oder?

Das hier ist nun die Konfigurationsdatei für den Client. Ich kann die Verbindung herstellen, kann danach vom Client aber keine Internetseiten mehr aufrufen. Per Teamviewer kann ich jedoch weiterhin auf dem Pi in Haushalt A arbeiten. Also eine Internetverbindung habe ich schon irgendwie. Mit welchen Ping-Abfragen kann ich den Zugriff auf das Netz in Haushalt A testen? Wenn ich die interne IP4 vom Pi in Haushalt A im Client in Haushalt B eingebe, kommt nur ein Timeout.

Ist da etwas in der Konfiguration falsch eingestellt?

 

[Insti]

Bist du sicher das du mit dem Pi verbunden bist?
Wenn ja, dann sollte Dein Pi auch ins lokale Netz und Internet routen können. Mit iptables lässt sich das einstellen.

 

[ültje]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Wenn ich die Teamviewer-Verbindung zum Pi offen habe und DANN die Wireguard-Verbindung aktiviere, bin ich weiter auf dem Pi und kann dort z. B. auch eine Datei auf dem Desktop erstellen. Währenddessen kann ich auf dem Client, der Teamviewer ausführt, keine Internetseiten aufrufen.

Wenn ich Wireguard aktiviere und DANACH erst versuche per Teamviewer auf den Pi zu kommen, das funktioniert nicht. Teamviewer bekommt keine Verbindung zum Internet...?

 

[ültje]

Ich hab jetzt Wireguard runtergeschmissen und in beiden Netzwerken Tailscale installiert. Innerhalb von 2 Minuten hatte ich alles, was ich wollte...

 

[KunterBunter]

Verstehe ich das richtig, dass du dich innerhalb von 2 Minuten dazu entschieden hast, für einen kritischen Teil deiner Heiminfrastruktur von einem gewinnorientierten Drittanbieter abhängig zu sein?

 

[ültje]

Ne, nicht innerhalb von 2 Minuten. Nach stundenlangem Wireguard-Frickeln, habe ich 2 Minuten für die Tailscale-Einrichtung benötigt und hatte dann mein Ziel erreicht.

Ich würde es ja gerne über mein eigenes Wireguard machen, aber es funktionierte nicht. Vielleicht kann ich über Tailscale Rückschlüsse über die erforderliche Konfiguration ziehen.

 

[frank_m24]

Du hast oben noch ausführlich analysiert, dass du auf beiden Seiten DS-Lite benutzt und folglich kein IPv4 nutzen kannst, um dann deine FreeDNS Domain auf IPv4 zu setzen? Da hätte es bei weitem weniger als die 2 Minuten für Tailscale gebraucht, um zu erkennen, dass das nicht funktionieren kann.

Wenn du doch oben schon erkannt hast, dass IPv6 dein Weg ist, warum nutzt du es dann nicht? Übrigens solltest du für deinen Anwendungsfall nicht die Default-Route über VPN leiten, sondern Split Tunneling machen. Das löst dann auch direkt deine Probleme mit dem Internetzugang. Nutzt du in deinem Heimnetz wirklich IPv6? Weil sonst: Raus damit (also für innerhalb des Tunnels. Außerhalb brauchst du es natürlich).

Grundsätzlich gilt: Nicht einfach stumpf die Konfiguration aus irgendeiner Anleitung abtippen. Das passt nie. Lesen, Verstehen, Adaptieren, Anwenden. Das gilt auch und vor allem für Tailscale! Wenn du da nicht höllisch aufpasst, erlaubst du ggf. Leuten Zugriff auf deine privaten Daten, die da nichts verloren haben.

 

[ültje]

Ich habe es versucht, aber die Seite https://test-ipv6.com/ hat mir bescheinigt, dass meine Client-Seite nicht IPv6-fähig ist. Und gestern hatte meine Serverseite eine öffentliche IPv6-Adresse und heute eine IPv4-Adresse. Und wenn ich im Router diesen DS-Lite-Tunnel abwähle, komme ich gar nicht mehr online. Daraufhin hab ichs mit Tailscale probiert...

 

[frank_m24]

Ich habe es versucht, aber die Seite https://test-ipv6.com/ hat mir bescheinigt, dass meine Client-Seite nicht IPv6-fähig ist.

Ja, und? Wenn die beiden Anschlüsse DS-Lite haben, kannst du doch trotzdem den Tunnel über IPv6 laufen lassen. Das bestätigt noch mal meinen Verdacht von IPv6 im Heimnetz und der Empfehlung, es wegzulassen.

Wie gesagt, Tailscale ist höllisch gefährlich für Leute, die nicht exakt wissen, was sie da tun. Da kann man sehr viele Daten der Öffentlichkeit preisgeben, die besser privat bleiben. Nicht nur die Daten der fraglichen Festplatte. (Aber die auch).

 

[ültje]

Danke für deinen kritischen Einwand, ich finde das gut und werde vorsichtig.
Ich weiß grad nicht, wie ich anfangen soll, Wireguard mit IPv6 aufzuziehen? Ich verwende in beiden Heimnetzen keine IPv6. Untereinander kommunizieren alle Geräte über die bekannten Fritzbox-Adressen 192.168.xx Das soll so bleiben?

Über ddclient hatte ich den Pi beauftragt, die aktuelle öffentliche IP an Free DNS zu senden, aber das ist immer eine IPv4 gewesen.

daemon=5m
timeout=10
syslog=no # log update msgs to syslog
#mail=root # mail all msgs to root
#mail-failure=root # mail failed update msgs to root
pid=/var/run/ddclient.pid # record PID in file.
ssl=yes # use ssl-support. Works with
# ssl-library

use=web, web=dynamicdns.park-your-domain.com/getip
server=freedns.afraid.org
protocol=freedns
login=<meinlogin>
password=<meinpw>
<meinesubdomain>

Hiermit sollte meine öffentliche IP ausgelesen werden und an Free DNS übertragen werden, aber da kommt eine IPv4 raus.

Edit:

Ok ich habe weitergefrickelt und es geschafft, meine IPv6-Adresse auszulesen und an Free DNS zu übertragen.

daemon=5m
timeout=10
syslog=no # log update msgs to syslog
#mail=root # mail all msgs to root
#mail-failure=root # mail failed update msgs to root
pid=/var/run/ddclient.pid # record PID in file.
ssl=yes # use ssl-support. Works with
# ssl-library

use=cmd, cmd="curl -6 icanhazip.com"
server=freedns.afraid.org
protocol=freedns
login=<meinlogin>
password=<meinpw>
<meinesubdomain>

Wireguard-Verbindung aktiviert, aber weiterhin kein Aufruf von Internetseiten möglich.
Das ist meine Wireguard-Konfig (Client):

[Interface]
PrivateKey = <privatekey>
Address = 10.7.0.2/24, fddd:2c4:2c4:2c4::2/64
DNS = 1.1.1.1, 1.0.0.1

[Peer]
PublicKey = <publickey>
PresharedKey = <presharedkey>
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = subdomain.xxx.com:51820
PersistentKeepalive = 25

Woran hakt es jetzt noch?

 

[frank_m24]

Ich verwende in beiden Heimnetzen keine IPv6. Untereinander kommunizieren alle Geräte über die bekannten Fritzbox-Adressen 192.168.xx Das soll so bleiben?

Genau, das kann so bleiben.

Hiermit sollte meine öffentliche IP ausgelesen werden und an Free DNS übertragen werden, aber da kommt eine IPv4 raus.

Ja. Der Dienst unterstützt auch kein IPv6.

Wireguard-Verbindung aktiviert, aber weiterhin kein Aufruf von Internetseiten möglich.

Deshalb schrieb ich:

Übrigens solltest du für deinen Anwendungsfall nicht die Default-Route über VPN leiten, sondern Split Tunneling machen. Das löst dann auch direkt deine Probleme mit dem Internetzugang.