[Frage] /var/flash/vpn.cfg der Fritzbox in ein normales Wireguard Konfig umwandeln

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
waldoo

waldoo

Aktives Mitglied
Mitglied seit
28 Jan 2006
Beiträge
888
Punkte für Reaktionen
10
Punkte
18
Hi zusammen,

ich bräuchte hier mal eure in Hilfe in Bezug auf Wireguard, Fritz!APP Phone APK und den remote zugriff via VPN auf die Telefonie der Fritzbox.

Was ich bis jetzt verstanden habe ist:
1.)
dass wenn ich die Fritz!APP verwenden will, im gleichen Netz-Addressbereich der Fritzbox sein muss.
2.)
Remote via Fritzbox Wireguard kann ich auf eine Fritzbox zugreifen, wenn dieser im Routermodus geschaltet ist und ich im Fritzbox Wireguard Netzwerk, dass ja den gleichen IP Adressbereich hat, wie mein normales internes Netzwerk, z.b 192.168.1.x
Das funktioniert auch prinzipiell.


Jetzt ist es bei mir aber so, dasss ich einen Openwrt Router als Inernetgateway habe und dort Wireguard als dienst läuft.
Die Telefonie Fritzbox würde als "IP-client" im Netzwerk mitlaufen.
Das bedeutet aber:
- die Fritz!App Phone kann nur im eigenen WLAN verwendet werden
- die Fritzbox hat im IP-Client modus keine option Wireguard clients anzunehmen
- der Wireguard Tunnel im endpunkt Openwrt Router hat ja eigentlich ein anderes IP Subnetz und kann mit der Fritzbox im IP-Client modus somit nicht kommunizieren.

Die Frage ist somit: wie kann ich die /var/flash/vpn.cfg der Fritzbox in ein normales Wireguard Konfig umwandeln, damit die WG clients alle direkt im Subnetz meines normalen Netzwerkes sind.


Die Fritzbox macht das irgendwie so, dass der WG tunnel und das lan Interface die gleiche Adresse haben
Code: 
lan       Link encap:Ethernet  HWaddr xx
          inet addr:192.168.178.2  Bcast:192.168.178.255  Mask:255.255.255.0

wg0       Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.178.2  P-t-P:192.168.178.2  Mask:255.255.255.0


Ich bekomme das im openwrt aber nicht abgebildet. Aktuell ist dies eingestellt:
Code: 
config interface 'wireguard'
        option proto 'wireguard'
        option private_key ''
        option listen_port ''
        list addresses '192.168.1.254/32'
        option nohostroute '1'
        list dns '192.168.1.254'

config wireguard_wireguard
        option description 'handy'
        option public_key ''
        option preshared_key ''
        option persistent_keepalive '25'
        list allowed_ips '192.168.1.242/32'


Im Handy ist es so eingestellt, wobei ich schon viel try+error gemacht habe:
Code: 
addresses: 192.168.1.242/32
Allowed IPs: 192.168.1.0/32


Das Fehlerbild ist, dass das Handy nur den openwrt erreicht 192.168.1.254, aber nicht das restliche Netzwerk 192.168.1.x

Vielen Dank für Eure Hilfe.
 
Zuletzt bearbeitet:
waldoo schrieb:
- der Wireguard Tunnel im endpunkt Openwrt Router hat ja eigentlich ein anderes IP Subnetz und kann mit der Fritzbox im IP-Client modus somit nicht kommunizieren.
Zum Vergrößern anklicken....
Falsch. Im IP-Client Modus ist die Box im Subnetz des OpenWRT Routers. Nur wenn die Box als Router arbeitet, hat sie ein eigenes lokales Subnetz (im WAN ist sie auch dann im Subnetz des OpenWRT).

waldoo schrieb:
Die Frage ist somit: wie kann ich die /var/flash/vpn.cfg der Fritzbox in ein normales Wireguard Konfig umwandeln, damit die WG clients alle direkt im Subnetz meines normalen Netzwerkes sind.
Zum Vergrößern anklicken....
Warum so kompliziert? Bau einfach eine ganz reguläre Wiregaurd Verbindung zum OpenWRT auf, darüber kannst du eine Fritzbox im IP-Client Modus problemlos erreichen. Zur Fritzbox kannst du ja keinen Tunnel aufbauen, denn wie du ja selber gesagt hast, im IP-Client Modus ist der VPN Server der Fritzbox deaktiviert.

waldoo schrieb:
Allowed IPs: 192.168.1.0/32
Zum Vergrößern anklicken....
Allowed IPs musst du natürlich aufs gesamte Subnetz ausweiten, also 192.168.1.0/24 zum Beispiel (oder was auch immer dein OpenWRT da nutzt). Bei OpenWRT darf das VPN Transportnetz auch nicht gleich dem lokalen Subnetz sein, denn dann brauchst du ja Proxy ARP. Nimm ein anderes Transportnetz.
 
Vielen Dank Frank.

Wenn ich ein normales Wireguard setup aufbaue, dh. mein internes Netz hat 192.168.1.x und mein Wireguard Tunnel hat die 10.0.0.x dann ist es so, dass:
- MyFritz!App kann sich verbinden und funktioniert
aber
- FRITZ!App Fon kann sich nicht verbinden
Diese APP bräuchte ich aber, um unterwegs darüber erreichbar zu sein.
Fehler ist: "Connection to the FRITZ!Box failed > Reconfigure APP"
Wenn ich dann die Fritzbox neu einrichte dann ist immer das passwort falsch (das ist natürlich das gleiche wie für die Myfritz!app)

Jetzt habe ich nochmal ein wenig gesucht und vxlan könnte lan und wg verbinden, aber so richtig klar ist mir das noch nicht.
github.com

netjsonconfig/docs/source/backends/vxlan_over_wireguard.rst at master · openwisp/netjsonconfig

Network configuration management library based on NetJSON DeviceConfiguration - openwisp/netjsonconfig
github.com github.com
forum.openwrt.org

Can a Wireguard interface be bridged with a physical one?

If so, one cannot bridge a Layer 2 and Layer 3 interface together.
forum.openwrt.org forum.openwrt.org


Hat damit jemand Erfahrung mit vxlan oder gibt es für die FRITZ!App Fon irgendwo in der ar7.cfg eine Einstellung, dass die Verbindung über einen VPN tunnels im IP-client modus auch akzeptiert wird (ohne dass der VPN tunnel auf der Fritzbox terminieren muss?)
 
waldoo schrieb:
Wenn ich ein normales Wireguard setup aufbaue, dh. mein internes Netz hat 192.168.1.x und mein Wireguard Tunnel hat die 10.0.0.x dann ist es so, dass:
Zum Vergrößern anklicken....
Macht dein WG auf dem OpenWRT NAT? Das geht nicht, du musst vollwertig routen.

Und lass die Finger weg von den Bridges, Das ist nicht das, was du brauchst. Für VoIP an sich reicht ein L3 VPN völlig, du musst nur die bidirektionalen Verbindungen in den Griff kriegen.
 
Danke Frank.
jetzt wird langsam ein Schuh draus.
Die "Fritz!App Phone" ist nun zumindest über den normalen Wireguard Tunnel im Zustand "Telefonie über Fritz!box aktiv" (aber sip geht nicht). Dafür benötigt man:
- das interne Netz hat 192.168.1.x und der Wireguard Tunnel hat die 10.0.0.x
- Dann registiert man die Fritz!App Phone einmalig via Wlan lokal an der Fritzbox.
- dann muss die ar7.cfg wie folgt modifiziert werden danach mit ar7cfgchanged & reboot übernehmen.
Code: 
id = "FRITZZAppZFon....";
...
internet_rights = yes;
app_rights = secobj_access_rights_readwrite_from_everywhere;
phone_rights = secobj_access_rights_readwrite_from_everywhere;
...
Damit registiert sich die "Fritz!App Phone" auch remote über den VPN an der Fritzbox.

Aber jetzt kann kein Telefonat aufgebaut werden.
Hier gab es schon mal eine Diskussion:
forum.openwrt.org

SIP issues using Wireguard VPN

Good hint, Linphone works. I had to uninstall Fritz!App phone to make it working, maybe it blocked the SIP port. Thanks for your help. Nevertheless it would be interesting to know, why the Fritz!App doesn't work. Regards Patrick
forum.openwrt.org forum.openwrt.org
 
Zuletzt bearbeitet:
Ah, da ist also ein Schutzmechanismus auf der Fritzbox, die Clients nur aus dem lokalen Netz zulässt. Wenn das der Fall ist, könnte NAT für VPN auf dem OpenWRT die Lösung sein.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 739 (Mitglieder: 36, Gäste: 703)

Neueste Beiträge

Statistik des Forums

Themen
246,191
Beiträge
2,247,773
Mitglieder
373,747
Neuestes Mitglied
willilotz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück