[Problem] [Ungelöst] WireGuard-Verbindung auf PC mit Windows 11 gelingt nicht

[ibu]

Mit WG: 91.65.10.100
Ohne WG: identisch

Ich ahnte das.

Haben die Fritzboxen vielleicht noch Bugs beim Erzeugen einer WG-Verbindung?

Die entfernte Fritzbox zeigt auch keinen "grünen Status" bei "Internet > Freigaben > VPN (Wireguard) " siehe Screenshot.

 

[Tippfehler]

So sollte es nicht sein.
Ist das mit dem Mac auch so?
Die IP-Adressen sind für die Allgemeinheit nicht wichtig, es ist nur interessant, ob sie unterschiedlich sind.

 

[ibu]

Ist das mit dem Mac auch so?

Nein. Da funktioniert VPN ja.

 

[Tippfehler]

Das hatte ich gelesen, mir ging es nur um die externen IP-Adressen. Es gibt ja VPN nur für LAN und VPN für LAN und Internet.

 

[PeterPawn]

Fällt denn niemandem auf, daß hier offenbar LAN-LAN-Verbindungen und LAN-Device-Verbindungen munter durcheinander geworfen werden und unter Umständen sogar noch IPSec und WireGuard®?

Ich hatte doch geschrieben, dass ich die beiden Boxen (Heimbox und entfernte Box) korrekt eingerichtet hatte nach Anleitung von AVM. Mit verschiedenen IP-Irgendwas. Der Beweis, dass sowas als Ursache ausscheidet ist doch schlicht, die funktionierende VPN-Verbindung mit dem Mac.

Wenn hier eine zweite FRITZ!Box im Spiel ist, sollte es ja (eigentlich) um eine LAN-LAN-Verbindung gehen, die man an beiden Boxen nur durch entsprechende Konfiguration (bei Nutzung von WireGuard®) unter dem Punkt Netzwerke koppeln oder spezielle Verbindungen herstellen einrichten kann und das hat dann wenig bis nichts mit dem anderen angebotenen Punkt Einzelgerät verbinden zu tun, für den es dann tatsächlich wichtig und notwendig wäre, auf den verwendeten Endgeräten (PC mit Windows 11 bzw. irgendein Apple-Gerät mit MacOS) jeweils die passende Client-Software für das VPN zu betreiben.

Denn anders als eine Konfiguration einer WireGuard®-Verbindung auf dem jeweiligen Device kann man (m.E.) das in #1 für die beiden Geräte Beschriebene ja nicht interpretieren ... stellt sich nur die Frage, was dann DAS hier bedeuten soll:

Entferntes Office
FB 6660 cable mit FritzOS 7.56.
My Fritz ist eingerichtet.
VPN (IPSec) ist eingerichtet.
Wireguard wurde eingerichtet und wg_config.conf wurde exportiert und gespeichert.

Ich rate mal, daß da eine IPSec-Verbindung zwischen den FRITZ!Boxen (als LAN-LAN-Kopplung) parallel zu den anderen Verbindungen verwendet wird und dann ist das Chaos vorprogrammiert.

Es braucht nur EINE VPN-Verbindung zwischen den beiden Boxen (wenn LAN-LAN-Kopplung verwendet werden soll) ODER alternativ jeweils EINE eigene Verbindung für jedes Endgerät, welches auf die entfernte FRITZ!Box zugreifen soll/darf.

Bei einer LAN-Device-Verbindung ist es auch wumpe, WO sich das "Einzelgerät" genau befindet - diese VPN-Verbindung kann von (fast) jedem beliebigen Internet-"Anschluß" aus genutzt werden ... außer von einem (lokalen) Netzwerk, welches bereits über seinen eigenen Router mit dem "Zielnetz" verbunden ist (bzw. das KANN lustige Effekte hervorrufen, zumindest was die "Erwartungshaltung", wie ein VPN zu funktionieren hat, betrifft).

 

[ibu]

@PeterPawn
Das meiste habe ich leider nicht verstanden.
Ich habe bewußt nirgendwo die VPN (IPSec) Verbindung irgendwie speziell für "LAN" eingerichtet.
Mein Macbook hängt ganz normal im heimischen WLAN. Ich verbinde mich mit diesem "Device" mit dem entfernten Netzwerk.

Das geht problemlos. Mehr kann ich dazu nicht sagen.

Mein einfaches Ziel: genau das möchte ich mit dem PC-Notebook auch hinbekommen.
AVM empfiehlt dafür WireGuard. Aber ich kriege das bisher nicht hin.

Ich rate mal, daß da eine IPSec-Verbindung zwischen den FRITZ!Boxen (als LAN-LAN-Kopplung) parallel zu den anderen Verbindungen verwendet wird und dann ist das Chaos vorprogrammiert.

Nein, parallel verwende ich nix. Meine VPN-Verbindung auf dem Mac nutze ich sehr selten. Ich kann sie aktivieren und deaktivieren. Für alle Tests mit Wireguard auf dem PC war sie deaktiviert.

Zur entfernten Fritzbox, wo WireGuard und VPN (IPSec) eingerichtet ist:

Ist es kein Problem beide Zugangsarten abwechselnd zu betreiben?
Muss etwas beachtet werden?

Welche intendierten Eigenschaften haben WireGuard und VPN (IPSec) auf einer Fritzbox in Bezug auf mehrfachen Zugriff?
Können mehrere Geräte gleichzeitig zugreifen?
Können eines davon per WG das andere per IPSec zugreifen?
Können die Geräte aus verschiedenen Heimnetzen zugreifen?

Zur von Dir @PeterPawn erwähnten Verbindung von 2 Boxen:
Darum geht es hier nicht.
Mir geht es ausschließlich um die Verbindung von Geräten (Mac oder PC) zu der entfernten Box.

Die Geräte können sich dabei in verschiedenen Heimnetzen befinden.

Liest denn hier jemand mit, der WireGuard auf einem PC schonmal erfolgreich verwendet hat?

Edit:
Hat noch jemand eine Idee zur Eingrenzung des Problems? Ich würde mich freuen : )

Edit2:
Hhmm. Hat wirklich niemand mehr noch eine Idee zur Eingrenzung? Mich würde es so reizen, endlich mal auf Win11-Kisten flott ein VPN einrichten zu können.

 

[ibu]

Mittlerweile habe ich WG zur Fehlereingrenzung auf einer weiteren Fritzbox eingerichtet.

Und auf meinem Macbook habe ich jetzt ebenfalls WireGuard installiert und die jeweiligen Tunnel zu beiden entfernten FB hinzugefügt.

Das Ergebnis ist identisch wie beim dem Zugriffsversuch per WG vom PC aus:

1 Zugriff per IPSec vom Mac zur entfernten Box 7520 klappt einwandfrei
2 Zugriff per WG vom Mac zur entfernten Box 7520 klappt nicht (eine beliebe Webpage kann nicht aufgerufen werden)
3 Zugriff per IPSec vom Mac zur entfernten Box 6660 klappt einwandfrei
4 Zugriff per WG vom Mac zur entfernten Box 6660 klappt nicht (eine beliebe Webpage kann nicht aufgerufen werden)

Neustart beide Fritzboxen hatte ich auch durchgeführt.
Auf beiden FB ist FritzOS 7.56

Ich kann das Problem auch reproduzieren, wenn ich mit meinem Macbook in verschiedenen Heimnetzen bin. Immer das gleiche Ergebnis: IPSec geht, WG nicht.

Ich habe auch nochmal AVM kontaktiert und ihnen diese Fehlereingrenzung berichtet. Bisher keine Lösung.
Falls ihr noch Ideen habt ...

 

[chrsto]

Du könntest mal deine wg_config.conf hier rein stellen. DIe Punkte EndPoint, Public Key, Private Key und Shared Secret solltest du sinnvoll anonymisieren.

 

[ibu]

[Interface]
PrivateKey = ***
ListenPort = 54252
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.178.201/32

"EndPoint" und "Shared Secret" gibt es nicht.

 

[chrsto]

Tja und das ist dein Problem. Dein Client weiß ohne Endpoint nicht, wohin er sich verbinden soll. Endpoint entspricht deiner Dyndns Adresse.

[Peer]
PublicKey = ***
PresharedKey =***
AllowedIPs = 192.168.178.201/32
Endpoint = <deindyndns>:<port>
PersistentKeepalive = 25

So sähe es korrekt aus.

 

[ibu]

Ok, dann ist es ein Bug der Fritzbox, denn diese erzeugt die wg_config.

Kann jemand den Bug reproduzieren?

 

[chrsto]

Bisher nicht. Du kannst die fehlenden Daten aber in der FritzBox nachsehen und von Hand ergänzen:

Internet -> Freigaben -> VPN (Wireguard) -> "Stiftsymbol"

 

[Benares]

... oder erstell einfach eine neue Verbindung für dein Einzelgerät und übernimm den Inhalt der Datei, die dir vom Assistenten bei "Einstellungen herunterladen" angeboten wird, 1:1 auf den Client.

 

[chrsto]

Das ist ja sein Problem. Es steht nicht drin.

 

[ibu]

Das einzige freie Feld bei
"Internet -> Freigaben -> VPN (Wireguard) -> "Stiftsymbol"
trägt das Label "Internet-Adresse der Gegenstelle"

Was genau soll dort bitte rein?

Und was soll in die wp_config?

Uff, diese Netzwerk-Sachen machen mich fertig ; )

 

[Benares]

@chrsto, ich vermute eher, er hat den Inhalt übernommen, der hinterher unter "Wireguard-Einstellungen anzeigen" angezeigt wird.
@ibu, erstell mal die Verbindung neu und zeig uns den vollständigen Inhalt der erzeugten Konfiguration (etwas anonymisiert, aber alles)

Edit: Bei mir sieht das dann so aus:

[Interface]
PrivateKey = AGU5...
Address = 192.168.0.205/24
DNS = 192.168.0.1
DNS = fritz.box

[Peer]
PublicKey = zQNzS1...
PresharedKey = BCgQfY...
AllowedIPs = 192.168.0.0/24,0.0.0.0/0
Endpoint = irgendwas.myfritz.net:51022
PersistentKeepalive = 25

 

[ibu]

... oder erstell einfach eine neue Verbindung für dein Einzelgerät

So hatte ich doch die WG-Verbindung angelegt.

 

[chrsto]

Dass das Feld frei ist, ist korrekt.

Ergänze deine wg_config.conf bitte wie folgt:

[Peer]
PublicKey = "Inhalt von Öffentlicher Schlüssel, steht aber schon bei dir korrekt drin"
PresharedKey = "Inhalt von Vereinbarter Schlüssel"
AllowedIPs = 192.168.178.201/32
Endpoint = "Inhalt von Internet-Adresse dieser FRITZ!Box"
PersistentKeepalive = 25

Kommst du damit zurecht?

Edit: nur zur Sicherheit, ergänzen bedeutet ergänzen. Den [Interface] Teil lässt du bitte unverändert.

 

[ibu]

Endpoint = "Inhalt von Internet-Adresse dieser FRITZ!Box"

Meinst Du damit Folgendes?

Internet > Online Monitor > Internet, IPv4: 80.***

Oder meinst Du diese?

Internet > Online Monitor > Internet, IPv6: 2003:cf:97ff***

 

[chrsto]

Nein ich meine damit meinen oben angegebenen Pfad: Internet -> Freigaben -> VPN (Wireguard) -> "Stiftsymbol"

Dort findest du die Angaben zu Publickey (steht in deiner wg_config.conf schon drin), Shared key und Endpoint