Wireguard mit 7390 möglich?

[fow0ryl]

Hallo,
ich wollte mal nachfragen ob und unter welchen Voraussetzungen zwei 7390 mit Wireguard an Stelle von OpenVPN verbunden werden können.
Im freetz kann man bei der 7390 zwar das notwendige Kernel Modul konfigurieren, aber das FREETZ_PACKAGE_WIREGUARD ist nicht auswählbar.
Ich vermute mal das es an der Kernel-Version liegt. In der .config gibt es nömlich keinen Eintrag "FREETZ_KERNEL_VERSION_3_10_MIN", sondern nur folgende Einträge:

FREETZ_KERNEL_VERSION_2_6_28=y
FREETZ_KERNEL_VERSION="2.6.28.10"
FREETZ_KERNEL_VERSION_MAJOR="2.6.28"
FREETZ_KERNEL_VERSION_MODULES_SUBDIR="2.6.28.10"
FREETZ_KERNEL_VERSION_2_6_13_MIN=y
FREETZ_KERNEL_VERSION_2_6_19_MIN=y
FREETZ_KERNEL_VERSION_2_6_28_MIN=y
FREETZ_KERNEL_VERSION_2_6_28_MAX=y
FREETZ_KERNEL_VERSION_2_6_32_MAX=y
FREETZ_KERNEL_VERSION_2_6_39_MAX=y
FREETZ_KERNEL_VERSION_3_10_MAX=y
FREETZ_KERNEL_VERSION_4_4_MAX=y
FREETZ_REPLACE_KERNEL_AVAILABLE=y
FREETZ_REPLACE_KERNEL_EXPERIMENTAL=y

VG
Henning

 

[f666]

Wenn man sich die Quellen für die Wireguard Module ansieht, steht da nur ab Kernel 3.10:

wireguard-linux-compat - WireGuard kernel module backport for Linux 3.10 - 5.5

git.zx2c4.com

Somit schlechte Karten für eine Box mit so einem alten Kernel.

 

[fow0ryl]

Na ja, das Kernel Modul ist ja scheinbar nicht das Problem. Das Modul wireguard.ko läßt sich für die 7390 zumindest konfigurieren. Ob da was lauffähiges bei raus kommt weiß ich natürlich nicht.

Aber die wireguard-tools sind deaktiviert. Da müssten eigentlich "wg" und "wg-quick" drin stecken.
Für mich ist daheer erst mal nicht offensichtlich erkennbar wieso man die Kernel-Module erstellen kann, aber keine Möglichkeit hat diese dann zu nutzen...

 

[Peter_Lehmann]

Ist zwar hier [OT] aber ich schreibs trotzdem:

In der Bucht bekommt man die F!B 7412 für 5 bis 10€nen.
Ich habe heute meine 4. 7412 mit OpenWRT umgeflasht und in mein Wireguard-Netz als Nachfolger für die IMHO sehr sensiblen Raspberry Pi "eingepflanzt". Morgen kommt meine 5. F!B als Reservegerät dran.
Das Flashen dauert (nach dem ersten Versuch) keine 10 Minuten und die Konfiguration jetzt auch keine Stunde (mehr).
Ich kann das nur empfehlen.

MfG Peter

 

[boris099]

Und welche Funktionen der 7412 sind danach gestört, oder läuft dann alles? Das Ding kann aber nur 2,4 WLAN korrekt?

 

[Insti]

Unsupported Functions:DECT, FXS

Quelle: openwrt.org

 

[Peter_Lehmann]

Ja, stimmt alles, was ihr da geschrieben habt.
Wenn eine 7412 oder ein anderer geeigneter Router zum OpenWRT-Router umgeflasht wird, dann kann er in der Regel eine F!B mit Fritz-OS nicht oder nur ungenügend ersetzen. Manches unterstützt OpenWRT auf dieser Hardware überhaupt (noch?) nicht (bspw. DECT), und manches nicht optimal, wie z. Bsp. das eingebaute DSL-Modem. Klar funktioniert es auch (aus Neugierde getestet!), aber eben bei weitem nicht so gut wie mit Fritz-OS.
Die "entfritzte" 7412 sollte man deshalb als zweites Gerät zusätzlich zu seinem DSL/Kabel/usw-Router verwenden. In meinem Fall verwende ich diesen dann wirklich nur als reines Wireguard-Gateway, auch wenn noch weitere Programme installiert werden könnten. Platz dafür ist genug. Da man diese Geräte in der Bucht fast hinterhergeschmissen bekommt, ist das auch eine sehr günstige und auch risikofreie Lösung hinsichtlich "kaputtflashen"). Dass es mit den umgeflashten Geräten auch noch weitere Moglichkeiten gibt (Abtrennung bestimmter LAN-Segmente, eine sehr gut konfigurierbare Firewall usw.) erwähne ich nur am Rande. Jedenfalls kann sich hier der Amateur-Netzwerker so richtig (und noch einmal: risikofrei!) austoben.
Ich sehe auch Vorteile darin, ein Gerät, welches für ein VPN zuständig ist, abseits von Geräten zu betreiben, welche dem Zugriff von Herstellern und/oder Providern unterliegen. (Ich weiß, gleich kommt wieder jemand der mit einen Aluhut aufsetzen will.)

MfG Peter

 

[fow0ryl]

Hallo,
ich frage mich welche Lösung für mich am meisten Sinn macht ....
Die 5-10€ sehe ich ohnehin nicht. Alles was es aktuell so zu Kaufen gibt, liegt bei knapp 25€ inkl. Versand.

Ist eine separate Hardware für ein Wireguard Gateway überhaupt die optimale Lösung?
Ich brauche ja weiterhin all die Funktionen die bislang auf der FritzBox laufen. DSL Modem, WLAN Router, OVPN Server, DHCP/DNS Server, ....

Bislang war ich der Auffassung, das es sicherheitstechnisch am Besten ist, wenn gerade die VPN Software direkt auf dem Router läuft.
Wenn das weitehin gilt, dann käme konsequenterweise nur die Umstellung der FritzBox in Frage.

Wenn ich Wireguard bzw. VPN schon vom Router auf einen andere Maschine verlagere, warum dann nicht gleich auf einen vorhandenen Server ? Da er mit MANJARO als OS bereits Samba, Nextcloud und Video-Streams im lokalen Netz bereitstellt, läuft er sowieso 7x24. Rechenleistung ist jedenfalls noch genug übrig ...

VG
Henning

 

[the$kull]

Alternativ tut es doch auch jede 7362SL oder 7360, die 7412 steigt ja nur im Preis, weil sie in der CT stand.

 

[NDiIPP]

Oder auch 3370. Oder auch 3390, 3490, 4020, 4040, 7430, 7490, 7520, 7530... Ggf. sind auch die Modelle 7272 und 3272 für OpenWRT gut geeignet (auch wenn diese bisher von OpenWRT noch nicht offiziell unterstützt werden).

Gerade die 3xxx- und 4xxx-Modelle von AVM sind für OpenWRT ggf. auch attraktiver als die 7xxx-Modelle da von OpenWRT sowieso nicht unterstützte HW-Komponente gar nicht erst verbaut sind. Und auch bzgl. der dort vorhandenen Gigabit-Ethernetports dürften diese Modelle für OpenWRT eher attraktiver sein als eine 7412. Einige dieser Modelle bekommt man mittlerweile für unter 30,- €.

Bei der 7412 würde ich dagegen nicht wirklich auf die Idee kommen, diese für OpenWRT zu verwenden. Da hätte ich mit dem originalen FRITZ!OS eher andere Einsatzzwecke... Für OpenWRT würde ich wie gesagt andere Modelle eher in Betracht ziehen. Und vor allem muss es bei OpenWRT noch nicht einmal Hardware von AVM sein, da gibt es auch von anderen Herstellern noch gute und vor allem auch günstige Hardware die ich ggf. für geeigneter halte.

 

[the$kull]

Hier gibt es eine Liste der unterstützten FritzBoxen, und die 3490 ist im werden.

 

[NDiIPP]

Die Liste ist nicht komplett, die 3370 fehlt. Und prinzipiell könnten auch noch weitere AVM-Modelle von OpenWRT unterstützt werden. Müsste sich u.U. nur einer dafür finden, der sich darum kümmert.

 

[fow0ryl]

Leider geht die Diskussion hier in eine Richtung, die mit dem eigentlichen Thema nicht mehr viel zu tun hat...
Nachdem die 7390 wegen des alten Kernels für Wireguard offensichtlich nicht geeignet ist, stellt sich für mich nach wie vor die Frage, welche Architektur bietet die meisten Vorteile, bzw. welches sind evtl. gravierende Nachteile. Dazu hat leider niemand etwas geschrieben.
Die Diskussion welche Box mit OpenWRT läuft ist wenig hilfreich, da ich erst mal eine Entscheidung treffen muss welche Architektur ich einsetzen sollte.
Wenn ich das weiß, kann ich ggf. nach geeigneter Hardware schauen.

Ich sehe da 3 Varianten:
1. Ersatz der 7390, durch eine Wireguard geeignete Hardware ersetzen. DSL, WLAN, VPN läuft damit auf einem Gerät (Router/Friztbox).
Wegen der bei mir vorleigenden Randbedingungen käme auf den ersten Blick nur eine 7490/7590 in Frage.
2. Installation von Wireguard auf separater Hardware (z.B. RasPi, OpenWRT fähiges Gerät, x86, .............) Die Fritzbox bleibt mit den jetzt installierten Funktionen erhalten.
Hier muss in Zusatzhardware investiert werden und das Gerät würde auch dauerhaft Strom verbrauchen ...
3. Installation von Wireguard auf vorhandenem 7x24 Server, zusätzlich zu Samba, Nextcloud.
Hier würden keine Kosten für Hardware auf mich zukommen.

Mich interessieren wie gesagt erst mal Vor- und Nachteile (insbesondere aus Sicherheitstechnischer Sicht).

 

[flow87]

Ich moechte auch einen VPN Server aufsetzen und sehe dieselben Moeglichkeiten.

Ein Entscheidungskriterium koennten Anschaffungs- und Unterhaltungskosten.

Sicherheit, Stabilitaet und Geschwindigkeit sind jedoch noch wichtiger. Was denkt ihr hierzu?

 

[Insti]

Hi, ich benutze seit einiger Zeit einen Raspberry Pi3+ mit Ubuntu 20.04 als Wirequard Server und kann denn auch empfehlen.

 

[flow87]

Welche Geschwindigkeit schaffst du damit?

 

[Insti]

Habe 40 MBit/s Upload und die werden auch durch den Tunnel erreicht.