Wireguard auf einer Fritzbox hinter einem Router

[nur_ne_frage]

Geht nicht!

Weil die 7490 nur eingeschränkt als WServer nutzbar sein soll, sollte es eine 7520 richten.
Sie ist als IP-Client eingerichtet und als AccessPoint nicht ausgelastet.
Die Labor-Version aufgespielt. So weit, so gut.
Aber dann war die Enttäuschung groß: Der Reiter für VPN ist nicht da.
Auf mein Feedback antwortete AVM:

Es entspricht unserer Erwartung, dass VPN nicht zur Verfügung steht, wenn die FRITZ!Box kein Router ist und nur als IP Client dient.
Für Ihren Haupt-Router, der FRITZ!Box 7490, steht nun auch ein FRITZ! Labor zur Verfügung.

Die Funktion wurde als Verbesserungsvorschlag an das Produktmanagement weitergeleitet. Aber viel Hoffnung habe ich nicht.

 

[frank_m24]

Damit die Box als Wireguard Server arbeiten kann, muss sie natürlich im Router Modus sein. Teste es, dann wird auch in der 7520 das VPN auftauchen. Und nein: es gibt keine andere technische Möglichkeit. Den Feature Request kann AVM so nicht erfüllen. Als IP Client wird das nichts.

 

[Micha0815]

Sie ist als IP-Client eingerichtet

Du kannst versuchen die 7520 als LAN/WLAN-Client im Routermodus anzuhängen und bei Unterstützung von Dualstack IPv4/IPv6 und dem entsprechenden Routing in der 7490, sollte auch in der kaskadierten 7520 Wireguard möglich sein. Ich hatte es schon mal versucht. Bin aber mit IPv6 noch zu unbedarft, um das alleine hinzubekommen.
LG

 

[J-B85]

Weil die 7490 nur eingeschränkt als WServer nutzbar sein soll,

Ich konnte bisher keine Einschränkung zu der 7590 feststellen.

 

[nur_ne_frage]

Damit die Box als Wireguard Server arbeiten kann, muss sie natürlich im Router Modus sein. Teste es, dann wird auch in der 7520 das VPN auftauchen. Und nein: es gibt keine andere technische Möglichkeit. Den Feature Request kann AVM so nicht erfüllen. Als IP Client wird das nichts.

Warum nicht?
Ein Raspberry ist als WServer schnell eingerichtet, die Portweiterleitung auf dem Router auch. Und dann läuft das. Was ist da bei einer Fritzbox im ClientModus anders?

Ich konnte bisher keine Einschränkung zu der 7590 feststellen.

AVM schreibt das aber:
Und zwar hier

Du kannst versuchen die 7520 als LAN/WLAN-Client im Routermodus anzuhängen

Dann sind aber die Geräte im 7520-Netz nicht vom 1. Netz erreichbar. Nicht so schön.

 

[J-B85]

AVM schreibt das aber:
Und zwar hier

Aber sie schreiben nicht, welche Einschränkung es sein soll. Das einzige, was ich gemerkt habe, war, dass die Einrichtung lange dauert. Aber es ist ja bekannt, dass die 7490 träge ist.

 

[nur_ne_frage]

Wenn die fertige Version für die 7490 da ist, werde ich es ausprobieren.
Trotzdem schade, denn die 7520 wird einen besseren Durchsatz liefern.

 

[genuede]

Trotzdem schade, denn die 7520 wird einen besseren

Warum die 7520 nicht zur Hauptbox machen und die 7490 als Repeater nutzen? Oder muss die Hauptbox ISDN und 2x USB unterstützen?

 

[nur_ne_frage]

Auch eine Idee.
ISDN habe ich vor kurzen in Rente geschickt und der einzige USB-Stick läuft mit USB 2.0

 

[NDiIPP]

Warum nicht?

Weil das bei AVM schon immer so war:
https://www.ip-phone-forum.de/threa...firmware-7-39-sammelthema.313999/post-2496704
https://www.ip-phone-forum.de/threads/fb-als-ip-client-vpn-verbindung-möglich.237914/

 

[frank_m24]

Ein Raspberry ist als WServer schnell eingerichtet, die Portweiterleitung auf dem Router auch.

Aber auch der Raspi arbeitet dann als Router. Mit IP Forwarding, ggf. NAT Regeln und allem, was dazu gehört. Und wenn du mal schaust: Das LAN des Raspi und das Transportnetz von Wireguard sind unterschiedlich.
Der Unterschied zwischen Raspi und Fritzbox ist, dass die Fritzbox als NAT Router arbeitet, und der Raspi vollwertig routet.

 

[Micha0815]

Dann sind aber die Geräte im 7520-Netz nicht vom 1. Netz erreichbar

Lässt sich das nicht durch entsprechendes routing freigeben? Auf IPv6-Ebene sollte das gehen?
LG

 

[nur_ne_frage]

weil es einfacher ist, lasse ich mal die Zitate weg und zwischendurch auch mal Danke für die Antworten.

"weil es immer so war" ist natürlich ein trauriges Argument bzw. eigentlich keins.

Der Raspi arbeitet als Router mit allem Drum und Dran, außerdem braucht es ein Transportnetz. Er arbeitet mit mindestens 3 Netzbereichen. Aber das macht alles die Wireguard- Software.
Und diese Software soll jetzt ja auch auf der Fritzbox laufen, zusätzlich zu den anderen Funktionen.
Warum soll diese zusätzliche Software (ein Router im Rechner bzw. dann in der Fritzbox) nur dann laufen, wenn die andere Routerfunktion läuft? Ich sehe da keinen hardware- oder software-technischen Grund.

Im Heimnetz verwende ich nur IPv4. Wenn es denn mal mehr als 200 Geräte eingetragen sein werden, werde ich die Alten mal löschen. Und jetzt Routen, Portweiterleitungen usw. einrichten, damit der Router eigentlich nicht mehr als Router arbeitet, artet doch in Frickelei aus.

Und da ein Raspi das Ganze ohne Frickelei en passant erledigt, hatte ich gehofft, dass das AVM auch hinbekommt.

 

[frank_m24]

Es ist schwierig, mit dir zu diskutieren, da du nicht mal über Grundlagenwissen im Bereich IP Netzwerke zu verfügen scheinst. Ich empfehle dir dringend, dich mal mit dem OSI Schichtenmodell zu befassen.

Der Raspi arbeitet als Router mit allem Drum und Dran, außerdem braucht es ein Transportnetz. Er arbeitet mit mindestens 3 Netzbereichen. Aber das macht alles die Wireguard- Software.

Falsch, das ist kompletter Unsinn. Die Wireguard Software kümmert sich ausschließlich um die Verschlüsselung und bereitet die Payload für den Tunnel vor. Virtuelle Netzwerkinterfaces, das komplette Adressmanagement, Routing und Firewall sind Funktionen des Betriebssystems, die vollkommen unabhängig von Wireguard sind.

Und diese Software soll jetzt ja auch auf der Fritzbox laufen, zusätzlich zu den anderen Funktionen.

Richtig. Im Modus IP-Client routet die Fritzbox aber nicht auf Schicht 3, sondern verhält sich wie ein Switch mit AP auf Schicht 2. Also leider kein Wireguard.

Und da ein Raspi das Ganze ohne Frickelei en passant erledigt, hatte ich gehofft, dass das AVM auch hinbekommt.

Bekommen sie ja auch. Für ihr LAN macht sie genau das, was der Raspi für seine Clients macht.