VPN (Wireguard) Zugriff auf die kaskadierte Fritzbox (das Subnetz hinter der FB die am Internet hängt.

[starbright]

Gleich vorweg, es gab diese Thema von mir schon mal vor 2 Jahren. Damals konnte ich zwar nicht lösen aber es zumindest umgehen - mit Port-Forwarding und dem alten VPN (IKE1).
Inzwischen hat sich die Lage geändert.
- in neueren Phones gibt es das alte IKE1 VPN aus Sicherheitsgründen nicht mehr.
- Inzwischen gibt es auch WG für (meine) kaskadierte 7520 durch neuere Firmware.
Deswegen muss ich das Thema noch mal aufmachen.

Hallo,
ich hab die Situation dass es eine FB 7590 gibt die Modem ist und ein Netz 192.168.178.x bereitstellt - und eine zweite Fritzbox 7520, die an diese angeschlossen ist und ein Subnetz aufmacht (Einstellung/Internet: Anschluß an externes Modem/Router, Betriebsart: Internetverbindung selbst aufbauen).
Jetzt klappt das ja sehr schön mit Wireguard auf die 7590 in das erste Netz zu kommen. Aber wie schaffe ich es in das Subnetz? Was muss ich dafür tun? Also irgendeine Art "Weiterleitung". Wenn ich weiß wie das richtig heißt finde ich vielleicht auch was dazu, aber das ist ja insgesamt nicht gerade ein Standard-Fall.
Die Fritzboxen zu kaskasieren ist von AVM vorgesehen, Wireguard auch. Kann man es - auch mit Handarbeit - hinbkommen in das zweite Netz zu tunneln?
Ich bin Netztechnisch leider ein mindestens halber Analphabet und bräuchte dazu Hilfe.

Klar ist, der dyndns Dienst läuft auf der 7590, die am Internet hängt. Das WG dagegen müßte dagegen auf der 7520 laufen. Wie bekommt man das zusammen? Außer durch diesen "Tunnel" sollten die Nutzer der 7590 (Ferienwohung) nicht auf die 7520 durchgreifen können). Klar der Standardfall und einfacher wäre es andersrum (eigenes FB an Internet und Ferienwohung FB kaskadiert - aber das ist aus baulichen Gründen nicht möglich).

 

[starbright]

Inzwischen weiß ich, dass die FW 7.59 auch IKEv2 unterstützt. Es klappt also weiterhin wie hier beschrieben mit dem "alten" VPN.

[Gelöst] - Fritzbox VPN Wireguard - Durchgriff auf Subnetz (bereitgestellt durch angeschlossene 2. Fritzbox)

Hallo, ich hab die Situation dass es eine FB 7590 gibt die Modem ist und ein Netz 192.168.178.x bereitstellt - und eine zweite Fritzbox 7520, die an diese angeschlossen ist und ein Subnetz aufmacht (Einstellung/Internet: Anschluß an externes Modem/Router, Betriebsart: Internetverbindung selbst...

www.ip-phone-forum.de

Fände es trotzdem interessant was man im Falle von WireGuard machen müsste damit das funktioniert...

 

[stoney]

Die kaskadierte F!Box erhält im besten Fall vom Router davor eine IPv6-Adresse, falls der Provider ein Präfix für angeschlossene Geräte liefert.

Somit kann diese Box eigenständig via IPv6 mit MyFRITZ! oder einem anderen DDNS-Provider kommunizieren und der Zugriff per VPN (egal ob IPSec oder WG) sollte somit möglich sein.

Ich habe mal eine 7362SL als kaskadierten Router eingerichtet, hier ging es zwar um die Erreichbarkeit via MyFRITZ! per https-Zugriff und der neuen Möglichkeit, einer F!Box eine nicht mehr genutzte MyFRITZ!Adresse zuweisen zu können, welche bereits mit dem Account verknüpft war, aber dann sollte dies natürlich auch mit VPN funktonieren.

 

[Jstessi]

Moment, sooo einfach ist das IMO nicht...

Der kaskadierte Router (7520) hat seine Firewall und NAT eingeschaltet; ein Zugriff über die MyFritz- oder DDNS-Adresse der primären Box (7590) erreicht auch die 7590, wird aber an der Firewall der 7520 scheitern, sofern dort kein Port für das VPN freigegeben ist. Dort würde ich zuerst ansetzen, um die zweite Firewall (und Doppel-NAT) zu überwinden.

 

[starbright]

Ich konnte in der kaskadierten 7520 unter Internet/OnlineMonitor auch einen Eintrag IPv6 finden:
FRITZ!Box benutzt eine direkte IP-Verbindung zu einem Internetanbieter
IPv6-Adresse: 2003:....../64, Gültigkeit: 7191/1790s
IPv6-Präfix: 2003:.....::/62, Gültigkeit: 6504/2904s

Jetzt müsste ich diese IPv6 Adresse per dyndns herausbekommen, oder? Denn wenn ich auf die Gültigkeit schaue ändert die sich hin und wieder. Ich bin bezüglich IPv6 ziemlich blind - wie geht es mit Adresse und Präfix weiter und wieso haben die unterschiedliche Gültigkeit?

Eine WG config für die 7590 sieht beispielweise so aus - wie müsste die für die 7520 sein?

[Interface]
PrivateKey = xxxx
ListenPort = 58812
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = yyyyyy
PresharedKey = zzzzz
AllowedIPs = 192.168.188.204/32

 

[starbright]

Leider bin ich nicht weiter gekommen.

Wird das vielleicht jetzt gehen, wenn Wireguard in FritzOS 8 IPv6 unterstützt?

 

[frank_m24]

Was genau hast du denn vor? Willst du eine VPN Verbindung zur 7520 aufbauen? Oder willst du über die VPN Verbindung zur 7590 auf das Netz der 7520 zugreifen?

 

[starbright]

Hallo Frank. Aus dem Internet ins Netz der zweiten Box. Aber die beiden Varianten die du erwähnst, ist das nicht das gleiche? Wenn nicht dann eher erstes. Die 7590 muss halt den dyndns Dienst bereitstellen, denn die ist ja am Internet. Dessen IP im Netz kennt ja die Box2 7520 gar nicht, oder?

Das Netz, dass die zweite FB 7520 aufbaut ist mein Netz. Darin sind Geräte die ich gern von Ferne steuern möchte. Da die 7590 aber das Modem und damit am Internet hängt, scheint das nicht so einfach. Es ist eben Kaskadiert. Über das alte VPN IPsec hatte ich es mal mit Hilfe der Kommunity mit Portweiterleitung hinbekommen. Aber ich möchte gern dass es auch mit Wireguard funktioniert. Nur hab ich keine Ahnung davon.
Man soll also von aussen auf die zweite Box kommen, aber nicht unbedingt aus dem Netz der ersten. Ja, ungewöhnlich, ich weiß.

 

[frank_m24]

Aus dem Internet ins Netz der zweiten Box.

Also jetzt gar kein VPN mehr?

Aber die beiden Varianten die du erwähnst, ist das nicht das gleiche?

Nein, die haben wirklich gar nichts miteinander zu tun. Einmal ist die 7590 die VPN Gegenstelle, einmal die 7520. Komplett unterschiedliche Szenarien, nicht vergleichbar.

Die 7590 muss halt den dyndns Dienst bereitstellen, denn die ist ja am Internet.

Über Portweiterleitungen oder IPv6 kann man auch problemlos auf die 7520 zugreifen. Das wäre der Weg.

Dessen IP im Netz kennt ja die Box2 7520 gar nicht, oder?

Warum sollte sie? Die Box braucht das nicht. Die Clients brauchen die IP.

Über das alte VPN IPsec hatte ich es mal mit Hilfe der Kommunity mit Portweiterleitung hinbekommen.

Wie hast du es denn da gemacht? War die 7520 der VPN Server? Oder die 7590? Dann mach es doch jetzt genauso. Wireguard ist, was Portweiterleitungen und NAT angeht, erheblich unkritischer, als IPSec.

 

[starbright]

Es tut mir leid wenn ich mich hier so durch-eiere - ich bin offensichtlich nicht Begriffssicher. Ich schreibe am besten, was ich genau brauche. Ich möchte wenn ich im Internet bin einen Tunnel in mein Heimnetz aufbauen, so dass ich eine Adresse im 192.168.3.x Netz bekomme.
Ich würde sagen, da ist dann die 7520 der VPN Server mit dem ich mich von aussen verbinden will. Nur hat die meinem Verständnis nach keine IP Adresse, die von aussen erreichbar wäre.

 

[frank_m24]

Nur hat die meinem Verständnis nach keine IP Adresse, die von aussen erreichbar wäre.

Beo IPv6 hat sie das. Die kannst du direkt ansprechen.
In jedem Fall brauchst du die entsprechende Konfiguration in der 7590. D.h., bei IPv6 muss dort eine Portfreigabe eingerichtet werden, die die Wireguard Pakete auf die 7520 durchlässt, und bei IPv4 muss es eine Portweiterleitung sein. Beides kann man in der Fritzbox bequem in einem Dialog tun, die weiß dann schon, was du willst.

Beachte, wenn du dyndns nutzt, dass in dem dyndns Eintrag die IPv4 der 7590 und die IPv6 der 7520 eingetragen sein muss.

 

[erik]

AVM schreibt dazu:

VPN-Verbindungen in FRITZ!Box als kaskadierter Router einrichten | FRITZ!Box 7590

Sie können VPN-Verbindungen zur FRITZ!Box auch dann einrichten, wenn Sie die FRITZ!Box als kaskadierten Router hinter einem anderen Router betreiben. Da die Internetverbindung von dem anderen Router hergestellt und verwaltet wird, ist dazu bei einzelnen Punkten ein von unseren VPN-Anleitungen...

at.avm.de

 

[starbright]

Die Anleitung (Danke @erik) ist ja erfreulich kurz. Und 1+2 ist ja bei IPSec gleich. Also die öffentliche IPv4 der Box1 (7590) habe ich dank Dyndns. Allerdings keine öffentliche IPv6.

In der 7590 steht dann in Diagnose/Sicherheit:
58812 UDP (IPv4/v6) WireGuard
(Per Google hatte ich eigentlich gefunden, dass UDP+TCP auf Port 51820 benötigt werden ?!?).

Wenn ich das richtig verstehe, kann (wegen der Portweiterleitung) aber nun keine WireGuard Verbindung zur 7590 mehr gemacht werden, weil die ja alles auf diesem Port an 7520 weiterleitet. Richtig?

Und wie komme ich nun an die config-Datei für meinen Client auf dem Android Phone oder Linux PC?



-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

So sieht das jetzt auf der 7590 aus... Warum das Warnschild?

 

[frank_m24]

@starbright, du musst anfangen, präzise, konsistente, zuverlässige und nachvollziehbare Angaben zu machen. Dein letzter Beitrag enthält zahlreiche Widersprüche zu deinen vorherigen Posts.

Allerdings keine öffentliche IPv6.

Deine Screenshots sagen das Gegenteil.

In der 7590 steht dann in Diagnose/Sicherheit:

Was willst du damit denn in der 7590? Lies die Anleitung noch mal: Du brauchst die Angaben aus der 7520. Lies aufmerksam! Denke nach, bevor du was tust.

(Per Google hatte ich eigentlich gefunden, dass UDP+TCP auf Port 51820 benötigt werden ?!?).

Was steht denn in der Anleitung von AVM? Steht da 51820? Nein. Also: Was soll das?

Wenn ich das richtig verstehe, kann (wegen der Portweiterleitung) aber nun keine WireGuard Verbindung zur 7590 mehr gemacht werden, weil die ja alles auf diesem Port an 7520 weiterleitet. Richtig?

Falsch. Lies die AVM Anleitung. Dann wird klar, warum das kein Problem ist. Oder schau einfach in deine Boxen, dann wird es auch sofort klar.

Und wie komme ich nun an die config-Datei für meinen Client auf dem Android Phone oder Linux PC?

Auch immer noch so wie in der Anleitung.

Warum das Warnschild?

Weil du die Anleitung nicht befolgt hast. Und beachte, dass du DOCH IPv6 hast! Das musst du beim dyndns und VPN Setup berücksichtigen, sonst laufen die Hälfte deiner Verbindungsversuche ins Leere. Im dyndns Account muss die IPv6 der 7520 stehen, nicht die der 7590! Jedes IPv6 taugliche Endgerät wird sonst die falsche Adresse benutzen.

 

[starbright]

Es tut mir leid wenn ich euch nicht richtig zuliefere.
Wenn ich schreibe kein öffentliche IPv6 dann deswegen weil das in der Anleitung erwähnte https://ipv6-test.com/ das so meldet.
Trotzdem hab ich angehakt bei der Portfreigabe IPv4+6, weil ich denke wenn das doch ml für v6 geht, dann hab ich es schon richtig eingestellt. Ist das der Widerspruch? Soll ich das ändern?

Ich denke wir gehen Schritt für Schritt durch.

"Im dyndns Account muss die IPv6 der 7520 stehen, nicht die der 7590! Jedes IPv6 taugliche Endgerät wird sonst die falsche Adresse benutzen." :

dyndns ist auf der 7590 am Start, weil nur die eine öffentlich IPv4 Adresse hat.
ping xxx.spdns.org .liefert mir nur die ipv4 Adresse der 7590 - eine andere hab ich ja auch nicht.
ping -6 xxx.spdns.org : Die Adressfamilie für Hostnamen wird nicht unterstützt

Frage: Für mich wird es mit IPv6 ungleich komplizierter zu verstehen. Brauchen wir das unbedingt? Sonst seid bitte geduldig mit mir.

Was muss ich ändern?

 

[KunterBunter]

Ich konnte in der kaskadierten 7520 unter Internet/OnlineMonitor auch einen Eintrag IPv6 finden:
FRITZ!Box benutzt eine direkte IP-Verbindung zu einem Internetanbieter
IPv6-Adresse: 2003:....../64, Gültigkeit: 7191/1790s
IPv6-Präfix: 2003:.....::/62, Gültigkeit: 6504/2904s

Also hat der Router offensichtlich eine IPv6-Adresse erhalten, mit der der Router von aussen erreichbar wäre.

Jetzt müsste ich diese IPv6 Adresse per dyndns herausbekommen, oder?

Ja. Dazu den Host für IPv6 hinzufügen

SPDyn/Hosthinzufügen

wiki.securepoint.de

 

[frank_m24]

Wenn ich schreibe kein öffentliche IPv6 dann deswegen weil das in der Anleitung erwähnte https://ipv6-test.com/ das so meldet.

Das bedeutet ja nicht, dass deine 7520 keine hat.

Trotzdem hab ich angehakt bei der Portfreigabe IPv4+6, weil ich denke wenn das doch ml für v6 geht, dann hab ich es schon richtig eingestellt. Ist das der Widerspruch? Soll ich das ändern?

Du musst es nicht ändern, aber berücksichtigen, denn über IPv6 läuft der Verbindungsaufbau anders, da die 7520 direkt eine eigene öffentliche IP hat und nicht auf die der 7590 angewiesen ist.

Frage: Für mich wird es mit IPv6 ungleich komplizierter zu verstehen. Brauchen wir das unbedingt?

Im Moment braucht man es nicht unbedingt. Wenn sichergestellt ist, dass die 7590 ihre öffentliche IP behält (das ändert sich bei einigen Providern schon mal), und gleichzeitig sichergestellt ist, dass die IPv6 der 7590 nicht durch irgendwelche Updates plötzlich doch im dyndns Account landet, dann brauchst du IPv6 nicht unbedingt.

 

[starbright]

Die 7590 kennt die ihre öffentliche IPv4, deswegen läuft dort (bisher) der dyndns-Dienst.
Die 7590 kennt (soweit ich sehe) nicht die IPv6 der 7520, die ist nur als eine IPv4 im Netz der 7590 (also 192.168.178.23).

Die 7520 hat dagegen nur eine lokale IPv4, nämlich die 192.168.178.23 und eine IPv6.

Wie soll ich aber beides zusammen in einen dyndns EIntrag bringen? Wo muss der dns Dienst laufen?

##############################

Jetzt denken wir mal nur den IPv4 Bereich und bitte korrigiert mich wenn ich falsch liege:
dyndns läuft weiter auf 7590 und bringt deren IP.

Wireguard am anderen Ende wird auf der 7520 eingerichtet.
Die config besteht aus 3 Sektionen, die 1. sind die keys.
Die zweite:
"Verwendete Internet-Adresse der Gegenstelle und Ihrer FRITZ!Box" Die "Internet-Adresse der Gegenstelle" ist leer.
Internet-Adresse dieser FRITZ!Box: Zeigt eine "xxxx.myfritz.net:53429"

Die 3. Sektion: Verwendetes IP-Netzwerk der WireGuard®-Gegenstelle.
Entferntes Netzwerk: 192.168.3.202/32
(??? Ähm warum /32 ?)
Und dann noch was IPv6 artiges: xxxx:yyyy:zzz::202/128

Der letzte Schritt wäre das Gap zwischen 7590 und 7520 zu überbrücken. Vermutlich durch Portweiterleitung und ggf Änderung der wireguard config Datei.

 

[frank_m24]

Die 7590 kennt (soweit ich sehe) nicht die IPv6 der 7520

Doch, natürlich. Aber sie meldet sie nicht bei dyndns, außer bei myfritz, wenn man es angibt.

Wie soll ich aber beides zusammen in einen dyndns EIntrag bringen?

Dafür gibt es verschiedene Wege. Ein Weg ist myfritz, ein anderer dynv6. Wichtig ist, dass man einen Dienst nutzt, der es erlaubt, nur das IPv6 Prefix zu aktualisieren, und die Interface-ID für Geräte manuell anzulegen. Der Dienst kombiniert dann Prefix und ID, und liefert die komplette Adresse aus. Die IPv4 ist dann einfach für alle Geräte gleichermaßen gültig, da man dort ja eh mit Portweiterleitungen arbeiten muss.

Wireguard am anderen Ende wird auf der 7520 eingerichtet.

Wieso "am anderen Ende"? Ich dachte, du willst dich mit mobilen Endgeräten aus dem Internet verbinden?

Die zweite:
"Verwendete Internet-Adresse der Gegenstelle und Ihrer FRITZ!Box"

Bist du sicher, dass du die richtige Verbindung einrichtest?

Internet-Adresse dieser FRITZ!Box: Zeigt eine "xxxx.myfritz.net:53429"

Also hast du myfritz eingerichtet? Ich dachte, du nutzt einen anderen dyndns Dienst.

Die 3. Sektion: Verwendetes IP-Netzwerk der WireGuard®-Gegenstelle.
Entferntes Netzwerk: 192.168.3.202/32
(??? Ähm warum /32 ?)

Ja, ein einzelner Host. Passt doch für ein mobiles Endgerät.

Und dann noch was IPv6 artiges: xxxx:yyyy:zzz::202/128

Deshalb sag ich ja: IPv6 von Anfang an berücksichtigen. Das grätscht immer wieder rein.

 

[starbright]

Es tut mir leid und es liegt sicher an mir: deine Antwort mich kein Stück weitergebracht.
Können wir uns erst mal um einen Fall kümmern, bei dem ich noch die Chance hab das zu verstehen?

mobilGerät mit wg-config <-> Internet <-> 7590 / Portweiterleitung von 58812/TCP/IPv4 only <-> 7520 mit WG Server (definiert die keys).

Also die Hostauflösung zur 7590 funktionier per dyndns. SIe liefert eine IPv4 Adresse.

Das Ende der Kette ist die Einrichtung von Wireshark auf der 7520. Da gibt es meines Wissens nichts besonderes zu beachten - aber: die config Datei die ensteht ist m.E nicht nutzbar, da die ja davon ausgeht dass die 7520 im Internet hängt. Tut sie aber nicht.

Wie also muss man die config Datei ändern? Da muss ja irgendwie der dyndns Dienst vorkommen. Ich verstehe allerdings die Einstellungen abseits der keys nicht.


Und dann die zweite Frage der Portfreigabe/Weiterleitung.
Da hatte ich ja schon Screenshot gemacht. Was muss ich daran ändern? -> Siehe Screenshot. Muss ich nicht den Port 58812 UDP von extern an die 7520 durchleiten. Das gelingt aber nicht. Die Portnummer wird geändert?!?


#######

Wieso "am anderen Ende"? Ich dachte, du willst dich mit mobilen Endgeräten aus dem Internet verbinden?

Ja genau, damit meine ich das die wg-config auf dem mobilen Engerät eingerichtet werden muss.

Bist du sicher, dass du die richtige Verbindung einrichtest?

Was genau meinst du? Ich habe wie beschrieben das WG auf der Zielbox 7520 eingerichtet

Also hast du myfritz eingerichtet? Ich dachte, du nutzt einen anderen dyndns Dienst.

Auf der 7520 nützt mir dyndns nicht, weil wie bereits mehrfach erwähnt keine öffentlich ipv4 vorhanden ist.
myfritz ist ja unabhängig davon. Und es funktioniert auch nicht, dass ich meine xyz.myfritz.net Adresse zum Auflösen der ip-Adresse nehmen kann-warum auch immer.

Ja, ein einzelner Host. Passt doch für ein mobiles Endgerät.

Aber mein Netzwerk ist ein 192.168.3.x/24 Netzwerk???