Statische Route zu Wireguard-Router/Netzwerk

[manni22]

Hallo zusammen,

folgendes Szenario:

Heimnetzwerk A sei 10.40.70.0/24, FritzBox ist 10.40.70.1, DHCP-Range ist von 10.40.70.100 bis 10.40.70.199.

Mein Travelrouter spannt Netzwerk B auf, 192.168.9.0/24, und hat dort die IP-Adresse 192.168.9.1. Dieser verbindet sich per Wireguard (Konfiguration mit der FritzBox erstellt und in den Travelrouter importiert) mit dem Netzwerk A und hat dort die IP-Adresse 10.40.70.203 durch den Wireguard-Konfigurator der FritzBox bekommen.

Jetzt möchte ich mit einem Gerät aus dem DHCP-Range des Netzwerks A auf eine IP-Adresse im Netzwerk B zugreifen. Daher denke ich, muss ich in der FritzBox eine statische Route anlegen:



Die Fehlermeldung seht ihr auch im Bild. Ein Grund für die Fehlermeldung kann sein: "Die IP-Adresse, die Sie für Gateway angegeben haben, liegt außerhalb des IP-Adressbereichs des Heimnetzes." (vgl. https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/1und1/021/hilfe_y_ipv4_statische_route).

Bezieht man o. g. Aussage rein auf den DHCP-Bereich, so stimmt es. Aber meines Erachtens gehört auch die IP des Travelrouters zum IP-Adressbereichs meines Heimnetzes:



Habe ich hier was Grundlegendes falsch verstanden bzgl. Routing oder ist das ein Bug in Verbindung mit Wireguard? Funktionieren statische Routen noch oder generell nicht in meinem Szenario?

Danke für eure Hilfe!

Gruß
Dan

 

[PeterPawn]

Beim Einrichten einer Route wird nicht wirklich anhand der Adresse und der Maske entschieden, ob eine Route zulässig ist oder nicht - es wird ermittelt, WOHIN diese Route am Ende zeigt und das MUSS nun mal das LAN-Device (dev lan) sein, was am Ende auch nur eine Bridge ist, die die lokalen Ethernet-Interfaces und das WLAN hinter sich versammelt - zumindest all das, was nicht dem Gastnetz zugeschlagen wird.

Nun werden aber bei VPN-Verbindungen für einen "remote host" (also die "Einwahl" in eine FRITZ!Box - im Gegensatz zu Verbindungen für die Kopplung zweier Netzwerke) die dabei reservierten Adressen (in Deinem Fall also die .203) als Host-Route auf dev dsl gelegt, weil das AVM-VPN über ebendieses (Pseudo-)Device angebunden wird. Das kannst Du ganz einfach in der Support-Datei im Bereich mit den Netzwerk-Einstellungen überprüfen.

Damit zeigt dann aber die Adresse für das Gateway NICHT mehr auf dev lan und die Fehlermeldung ist korrekt. Auch das kannst Du - mit jeder beliebigen IP-Adresse für das Gateway, die NICHT für eine VPN-Verbindung reserviert ist - leicht prüfen - sowie die Route tatsächlich über dev lan gehen würde, wird sie auch akzeptiert. Beim Einsatz von WireGuard® wird dann zwar eine Route auf das für die Verbindung eingerichtete wgN-Interface eingerichtet, aber auch die zeigt dann eben nicht auf dev lan.

Willst Du zwei Netzwerke(!) miteinander verbinden, mußt Du einen anderen Typ von WG-Verbindung verwenden ... bei diesem steht dann in der Liste der WG-Verbindungen in der Spalte "Entferntes Netz" auch
keine einzelne IP-Adresse mehr (wie das bei Dir ja wohl mit der 10.40.70.203 der Fall ist), sondern die Angaben zum "entfernten" Netzwerk-Segment und bei Dir sollte dort dann auch 192.168.9.0/24 stehen.

Dann braucht es auch keine weiteren Aktionen bzgl. irgendwelcher Routen ... was auch weiterhin nicht funktionieren würde, denn es wird auch dabei wieder (automatisch) eine Route für das entfernte Netzwerk über ein wgN-Interface angelegt und auch DAS ist dann eben nicht dev lan.

 

[manni22]

Ah, ich verstehe. Dann schau ich mir mal den erweiterten Konfigurationsassistenten für Wireguard an. Danke!