[Gelöst] VPN vom iPhone an Fritzbox 7590 (hinter Speedport Smart 4 Hybrid)

[Silksmooth]

Hallo zusammen,

ich habe in meinem Netzwerk die folgende Konfiguration:

Internetzugang DSL/Hybrid:
Telekom Speedport Smart 4 (mit aktivem 5G Empfänger)
- IP Bereich: 192.168.2.0
- Router: 192.168.2.1
- aktive Portweiterleitungen an Fritzbox:
--- TCP: 50, 445
--- UDP: 50, 53, 500, 3702, 4500

Heimnetz:
Fritzbox 7590
- verbunden mit SPH über LAN an WAN-Anschluss
- IP Bereich: 192.168.0.0
- Router: 192.168.0.1
- DNS Server: 192.168.0.100 (Adguard Home)
- Myfritz Verbindung: aktiv (grün)
- Benutzer mit aktivem VPN Profil

VPN Config aus der 7590:

vpncfg {
        vpncfg_version = 3;
        global {
                wg_listen_port = 0;
        }
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_user;
                name = "User";
                boxuser_id = 10;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 192.168.0.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "key";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "user";
                        passwd = "password";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.0.202 255.255.255.255";
                app_id = 0;
                wg_persistent_keepalive = 0;
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
                wg_fulltunnel = no;
                wg_configured = no;
        }
}

iPhone:
- OS Version: iOS 17.2

Problem:
Wenn ich versuche, vom iPhone aus eine VPN Verbindung zur Fritzbox mit der DynDNS Adresse von Myfritz aufzubauen, laufe ich in einen Timeout bzw. meldet das das iPhone VPN einen Konfigurationsfehler.

Was habe ich übersehen?

Danke für einen Hinweis & VG
Der Silk

 

[Silksmooth]

Ich habe es mir jetzt noch einfacher gemacht:

Ich habe eine Wireguard VPN Konfiguration in der Fritzbox erstellt, die App auf das iPhone geladen, QR Code aus der FB-Konfig per Kamera eingelesen und innerhalb von 2 Minuten war alles erledigt und hat auf Anhieb funktioniert.

Daher habe ich die traditionellen VPN-Konfigs der Fritzbox nun beerdigt und verwende die Wireguard App stattdessen. Funktioniert einwandfrei und blitzschnell.

Daher: erledigt.

 

[frank_m24]

--- TCP: 50, 445
--- UDP: 50, 53, 500, 3702, 4500

Nur der Vollständigkeit halber: Port 445 TCP ist SMB, das sollte man auf keinen Fall extern freigeben. Das Gleiche gilt für UDP 3702, dabei handelt es sich um einen Multicast-Dienst, der für die Service Discovery benutzt wird. Das hat im WAN ebenfalls gar nichts zu suchen. Wofür gibst du DNS frei? Das kann ebenfalls ein großes Risiko sein, je nach Ziel. Port 50 wird von vielen Trojanern benutzt, hat aber sonst keine feste Zuordnung.

Wofür brauchst du diese Ports, und dann auch noch als Freigabe von extern? Da sind gigantische Risiken mit verbunden!

 

[Silksmooth]

Guter Punkt und Danke für den Hinweis!!

Das hab ich auch direkt mal wieder eingedampft. Ich glaube die Freigaben waren noch von meinen Einrichtungsversuchen der Telefonie auf der Fritzbox hinter dem Speedport - da hab ich ewig rumgemacht bis es vernünftig lief. Aber ja, habe ich nun entfernt und die Wireguard Kombi läuft weiterhin super, das braucht nicht einen einzigen geöffneten Port am Speedport - echt erstaunlich!

 

[buffae]

Hallo Silk,

ich habe die selbe Konfig wie du

Speedport Smart 4 mit 5G Empfänger: 192.168.2.1
Fritzbox 7530 AX: 192.168.188.1

Beide sind über WAN/LAN verbunden. Das gesamte Heimnetz wird über die FritzBox gesteuert.

Wenn ich einen WireGuard VPN Tunnel erstelle komme ich nicht von außen auf die Fritzbox. Könntest du nochmals genauer auf deine Einstellungen eingehen, was ich wo genau eintragen müsste...

Danke

 

[Silksmooth]

Ahhh, jetzt hat mir doch glatt Wireguard noch ein Schnippchen geschlagen... ich hatte da offenbar noch einen Fehler drin, aber die VPN Verbindung hat mir vorgegaukelt, dass ich verbunden sei - war ich aber nicht. Konnte auch gar nicht gehen mit der MyFritz-Adresse, da die Fritzbox die externe IP gar nicht kennt und somit im MyFritz-Dienst nicht korrekt registrieren kann. Der DynDNS-Dienst muss zwingend auf dem Speedport laufen, da nur von dort die externe IP auf die URL gemappt werden kann.

Nun habe ich nochmal alles geprüft und leicht modifiziert - die Konfiguration ist nun wie folgt:

Internetzugang über Speedport Smart 4:
- IP Bereich: 192.168.2.0
- Router: 192.168.2.1
- 5G Empfänger: aktiv
- Fritzbox angeschlossen an LAN1
- Dynamisches DNS aktiv: ich nutze No-IP.com
- aktive Portweiterleitungen an Fritzbox:
--- UDP: 51560

Heimnetz mit Fritzbox 7590:
- verbunden mit Speedport über WAN-Anschluss
- IP Bereich: 192.168.0.0
- Router: 192.168.0.1
- DNS Server: 192.168.0.100 (Adguard Home)
- VPN Verbindung: Wireguard

Bei der Wireguard Verbindung kann man nun nicht die Angaben direkt verwenden, da diese aus der Fritzbox standardmäßig auf die MyFritz URL verweisen, die ja nicht funktioniert. Daher am besten die VPN Details als Datei speichern (das ist dann eine .config Datei) und mit einem Editor öffnen und wie folgt anpassen:

[Interface]
PrivateKey = <hier steht der Private Key>
Address = 192.168.0.201/24
DNS = 192.168.0.100,192.168.0.1
DNS = fritz.box
[Peer]
PublicKey = <hier steht der Public Key>
PresharedKey = <hier steht der PreShared Key>
AllowedIPs = 192.168.0.0/24,0.0.0.0/0
Endpoint = DynDNS-URL:51560
PersistentKeepalive = 25

Entscheidend ist hier die Anpassung im Parameter "Endpoint" >>> dieser muss jetzt auf die gültige DynDNS URL sowie den passenden Port angepasst werden. Der Port muss entsprechend mit der eingerichteten Weiterleitung im Speedport übereinstimmen.

Die so angepasste CONFIG-Datei kann nun in beliebigen Clients über die Wireguard-App eingelesen werden. Ich habe mir dazu die Datei in Onedrive (oder welchen Cloud-Speicher mit Zugriff vom Handy aus auch immer) geparkt und dann am Handy in der Wireguard-App eingelesen beim Hinzufügen einer neuen Verbindung.

Ich hoffe, das hilft Dir.

 

[buffae]

Besten Dank - hat funktioniert. Ich hab DynDns auf dem Smart 4 konfiguriert und den entsprechenden WireGuard Port der FRITZ!Box im Smart4 geöffnet. Dann noch in der WireGuard Konfig den Endpoint entsprechend der DynDns Adresse ändern. Top.