VPN zwischen 2 FB7590 funktioniert anscheinend nur in 1 Richtung?

[drnicolas]

Happy New Year!

Nachdem ich vor einigen Tagen einen Wireguard-Zugang von einem Laptop aus hin bekommen habe, bin ich jetzt mutig geworden:

Es sollen die Netzwerke hinter 2 FB7590 miteinander verbunden werden.
Beide FB haben eine öffentliche IP aber keine fixed IP und sind in myfritz.net registriert. Geht das überhaupt?

Auf der FB-A habe ich den Zugang mit dem Assistenten erstellt und letztlich eine wg...conf erhalten.

Auf der FB-B habe ich dann das gleiche gemacht und diese wg...conf importiert.

Auffälligkeit 1: Der Assistent lief nicht sauber durch; es blieb bei bitte warten oder so. Irgendwann habe ich das Fenster zu gemacht und mich neu an der FB-B angemeldet. Und siehe, die Verbindung schien zu stehen.
Auffälligkeit 2: von der Seite FB-B konnte ich weder Netzfreigaben sehen noch eine RDP-Verbindung über den Namen der RDP-Maschine aufbauen; das ging aber serh wohl über die IP
Auffälligkeit 3: von der Seite FB-A geht gar nix. Kein Ping auf die gegenseite, kein RDP - nix. Laut FB-A steht aber die Verbindung.
Auffälligkeit 4: auf der Seite FB-A wird als entferntes Netz 192.168.1.129/32 angegeben. Das Netz auf der Seite FB-B ist aber 192.168.0.x. Muss ich da irgendwelhe Routen konfigurieren?

Auffälligkeit 5: Auf Seite FB-A liegt der DHCP-Bereich .40 bis .150. Aktuell sollte da kein Problem bestehen; ist es aber möglich das entfernte Netz eher in den Bereich unter .40 zu verlagern?

 

[frank_m24]

Auffälligkeit 2: von der Seite FB-B konnte ich weder Netzfreigaben sehen noch eine RDP-Verbindung über den Namen der RDP-Maschine aufbauen; das ging aber serh wohl über die IP

Das ist normal, eine Namensauflösung übers VPN wird so ohne weiteres nicht gehen.

auf der Seite FB-A wird als entferntes Netz 192.168.1.129/32 angegeben. Das Netz auf der Seite FB-B ist aber 192.168.0.x. Muss ich da irgendwelhe Routen konfigurieren?

Mir scheint, das ist nicht das entfernte Netz, sondern die VPN IP. Da ist /32 in Ordnung. Das entfernte Netz muss bei Allowed IPs rein.

Auffälligkeit 5: Auf Seite FB-A liegt der DHCP-Bereich .40 bis .150. Aktuell sollte da kein Problem bestehen; ist es aber möglich das entfernte Netz eher in den Bereich unter .40 zu verlagern?

Das entfernte Netz hat keine IPs im lokalen Bereich. Demnach ist das völlig irrelevant.

Mir scheint, da sind noch einige Konfigurationsfehler im Setup, die aber in erster Linie durch mangelnde Kenntnisse entstehen, was die einzelnen Optionen bewirken und wie ein LAN-2-LAN Setup ohne NAT funktioniert. Ich empfehle dir, dich mit Netzwerkgrundlagen und den grundlegenden Wireguard Optionen zu befassen und dann noch mal an die Konfiguration zu gehen. Bei konkreten Rückfragen stelle bitte Screenshots von allen Konfigurationsseiten bzw. des Assistenten von AVM mit ein.

 

[drnicolas]

Ich dachte eigentlich, daß AVM einem das alles abnimmt.

Hier kommt mal die conf-Datei, die die FB generiert hat (auf der A-Seite):

[Interface]
PrivateKey =
Address = 192.168.1.129/24
DNS = 192.168.1.2
DNS = fritz.box

[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 192.168.1.0/24,0.0.0.0/0
Endpoint = 3b2069474dtglxna.myfritz.net:57948
PersistentKeepalive = 25

Ich hätte eher die 192.168.1.3 erwartet, was tatsächlich der DNS auf der A-Seite ist, mit Weiterleitung an 192.168.1.2.
Auch die fritz.box überrascht.

Bei der Konfiguration für den Laptop musste letztlich die 0.0.0.0 rausgenommen werden.
Was ist davon zu halten?

 

[frank_m24]

Ich dachte eigentlich, daß AVM einem das alles abnimmt.

Da AVM dein Netz, deine Ziele und deine Konfiguration nicht kennt, wird das schwierig. Du musst schon selber wissen, was du vorhast und wie du das erreichst.

AllowedIPs = 192.168.1.0/24,0.0.0.0/0

Die 0.0.0.0/0 solltest du in einer LAN-2-LAN Konfiguration rausnehmen. Du willst ja nicht den Internetverkehr der einen Seite komplett über die andere Seite leiten.

Address = 192.168.1.129/24

Hier würde ich eine /32 am Ende eintragen.

Was mich noch stutzig macht: Oben schreibst du:

Auffälligkeit 4: auf der Seite FB-A wird als entferntes Netz 192.168.1.129/32 angegeben. Das Netz auf der Seite FB-B ist aber 192.168.0.x.

Das passt überhaupt nicht zur gezeigten Konfiguration. Da scheint immer noch komplett Unsinn eingerichtet zu sein.

Es fehlen immer noch die Screenshots. Wenn ich deine resultierende Konfiguration so sehe, ist das wichtiger denn je.

 

[drnicolas]

Ich habe die WG-LAN-2-LAN jetzt mal gekillt und neu erstellt
Das sieht auf einmal ganz anders aus.

Morgen werde ich die Gegenseite probieren

 

[drnicolas]

Hat leider nicht funktioniert. Jetzt wurde VPN-INstallation auf der B-Seite abgebrochen mit einer Fehlermeldung, daß ein Konflikt mit der Gegenseite bestehe.

[Interface]
PrivateKey = gJ5ftiXB
Address = 192.168.0.1/24
DNS = 192.168.1.2
DNS = fritz.box

[Peer]
PublicKey = Asypu1034x
PresharedKey = wCEr3PSRdD
AllowedIPs = 192.168.1.0/24
Endpoint = 3b2069474
PersistentKeepalive = 25

Hier kommen noch einige Screenshots

Die B-Seite hat wie gesagt das Subnetz 192.168.0.0/24.

Die 192.168.1.2 ist das Gateway der A-Seite, nicht aber DNS. INsofern irritiert mich der DNS-Eintrag mit IP und fritz.box

 

[frank_m24]

fritz.box ist ja der lokale Nameserver. 192.168.1.2 ist der für die Gegenseite. Von dem manuellen DNS Server weiß die Box vermutlich nichts.

Die Fehlermeldung mit dem Konflikt könnte auf andere oder alte VPN Konfigurationen zurückzuführen sein.