Wireguard-Verbindung zur Fritzbox funktioniert nur von daheim

Jonathan Geiger

Neuer User
Mitglied seit
22 Dez 2023
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ich habe auf MyFritz.net einen Account erstellt und in der Fritzbox 7490 – unter Internet > Freigaben > VPN – eine Wireguard-Verbindung für einen Computer erstellt. Ziel ist, unterwegs auf die Fritzbox zugreifen und mit dem IP-Telefon telefonieren zu können.

Die wg_config-Datei habe ich im Linux-Networkmanager importiert. Im eigenen Netzwerk hinter der Fritzbox funktioniert die Verbindung und auch in Netzwerken befreundeter Fritzboxnutzer zeigt der Networkmanager das Schlosssymbol an für den erfolgreichen Verbindungsabschluss. Doch leider kann in fremden Netzwerken mit dieser Wireguard-Verbindung keine Webseite erreicht werden, auch nicht die Fritzboxoberfläche unter 192.168.53.1.

Hat jemand eine Idee, woran es liegen könnte?

Sie sieht die wg_config-Datei von innen aus:

[Interface]
PrivateKey = XXX=
Address = 192.168.53.208/24
DNS = 192.168.53.1
DNS = fritz.box

[Peer]
PublicKey = XXX=
PresharedKey = XXX=
AllowedIPs = 192.168.53.0/24,0.0.0.0/0
Endpoint = XXX.myfritz.net:XXXXX
PersistentKeepalive = XX
 
Ziel ist, unterwegs auf die Fritzbox zugreifen und mit dem IP-Telefon telefonieren zu können.
Warum ist dann die Default-Route in der Konfiguration? Die ist nur dafür nicht nötig, und ggf. ein Sicherheitsleck für die Netze, die du besuchst.

Doch leider kann in fremden Netzwerken mit dieser Wireguard-Verbindung keine Webseite erreicht werden, auch nicht die Fritzboxoberfläche unter 192.168.53.1.
Wie ist denn die IP-Konfiguration der "fremden Netzwerke"? Wie weit kommt ein Traceroute? Wie sehen deine lokalen IP- und Routenkonfigurationen aus für den Fall?
 
Nun, ich weiß auch nicht, weshalb die Wireguard-Konfiguration ist, wie sie ist. Die Fritzbox lässt einem da keine Einstellmöglichkeiten. Die Konfiguration der fremden Netzwerke kenne ich nicht, aber zumindest sind dort keine Ports blockiert. Es sind keine öffentlichen Hotspots, sondern Fritzbox-WLAN-Netzwerke von Bekannten.

Das Kommando "traceroute XXX.myfritz.net" (IP: 100.XX.XX.XX) gibt 30 leere Reihen mit je drei Sternchen aus, wenn die Wireguard-Verbindung aktiv ist über ein fremdes Fritzbox-WLAN-Netzwerk. Im selben fremden Netzwerk ohne Wireguard sieht das Ergebnis so aus:

1 _gateway (XX.XX.XX.XX) 0.234 ms 0.186 ms 0.167 ms
2 fritz.box (192.168.XX.XX) 13.442 ms 15.105 ms 5.597 ms
3 2XX.XXX.XXX.XX (2XX.XXX.XXX.XX) 21.427 ms 27.120 ms 35.172 ms
4 * * *
5 * * *
6 * * *
7 192.168.XX.181 (192.168.XX.181) 868.875 ms !H 868.818 ms !H 868.793 ms !H

Leider kenne ich mich da nicht so gut aus. Wo müsste ich weiterforschen?
 
Eine IP die mit 100 beginnt ist sicher CGNat. Du musst das über IPv6 lösen, da du über keine öffentliche IPv4 verfügst.
 
  • Like
Reaktionen: Jonathan Geiger
Nun, ich weiß auch nicht, weshalb die Wireguard-Konfiguration ist, wie sie ist. Die Fritzbox lässt einem da keine Einstellmöglichkeiten.
Du lädst doch eine Konfigurationsdatei herunter, die du beliebig editieren kannst.

Im selben fremden Netzwerk ohne Wireguard sieht das Ergebnis so aus:
Da hast du natürlich das Kunststück fertig gebracht, genau den wichtigen Teil zu anonymisieren. Wie sollen wir denn IP Konflikte erkennen, wenn du alles rauslöscht? Die Idee war auch eher, den Traceroute über den VPN Tunnel zu machen. Aber im Moment könnte es sein, dass entgegen deiner Aussage gar kein VPN Tunnel existiert.

Wenn die 100er Adresse deines Anschlusses wirklich eine CGNAT Adresse ist, dann wird es nicht funktionieren, wie chrsto schon schrieb. Dann musst du auf IPv6 wechseln.
 
  • Like
Reaktionen: Jonathan Geiger
Danke für Eure Hilfe! Ja, die 100er Adresse ist CGNAT. In der Fritzbox war die IPv6-Unterstützung nicht aktiv. Dort habe ich jetzt den Haken gesetzt. Bei der Auswahl der IPv6-Anbindung habe ich "Native IPv4-Anbindung verwenden" eingestellt. Es gäbe auch "Nur IPv6 verwenden", "IPv6-Anbindung mit Tunnelprotokoll verwenden" oder "Native IPv6-Anbindung verwenden" (wo man dann noch "IPv4-Anbindung über DS-Lite herstellen" anklicken kann).

Die Kabelverbindung zur Fritzbox von einem aktuellen Debian-System funktioniert allerdings nur über IPv4, warum auch immer. Im Network-Manager sind alle besonderen Einstellungen leer. "ping6 ipv6.google.com" und "traceroute XXX.myfritz.net" ergeben die Meldung "connect: Network is unreachable". Traceroute zeigt jetzt aber eine lange IPv6-Adresse für die myfritz-Adresse an statt der 100er IP. Die IPv6-Adresse wird auch im Onlinemonitor der Fritzbox geführt. Der Internetanbieter unterstützt grundsätzlich IPv4 und IPv6.

Wisst Ihr, wie ich IPv6 zum Laufen bekomme?
 
Die Kabelverbindung zur Fritzbox von einem aktuellen Debian-System funktioniert allerdings nur über IPv4, warum auch immer.
Stimmen die Heimnetz Einstellungen vielleicht noch nicht? Aber für den VPN Tunnel sollte es irrelevant sein.

Wisst Ihr, wie ich IPv6 zum Laufen bekomme?
Wenn du IPv6 eingerichtet hast und sie Adresse auch schon in myfritz auftaucht, dann ist die einzige Herausforderung, dass der Client auch IPv6 braucht. Alles andere geht von allein und verhält sich genauso.
 
  • Like
Reaktionen: Jonathan Geiger
Danke vielmals! Es brauchte tatsächlich nur noch eine kleine systemspezifische Anpassung auf dem eigenen Computer für die IPv6-Unterstützung. Und plötzlich funktionierte die Wireguard-Verbindung zur Fritzbox in fremden Netzen und auch die IP-Telefonie.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Noch eine Frage: Du schriebst …

Warum ist dann die Default-Route in der Konfiguration? Die ist nur dafür nicht nötig, und ggf. ein Sicherheitsleck für die Netze, die du besuchst.

… in Bezug auf das Innere der Wireguard-Konfigurations-Datei:

[Interface]
PrivateKey = XXX=
Address = 192.168.53.208/24
DNS = 192.168.53.1
DNS = fritz.box

[Peer]
PublicKey = XXX=
PresharedKey = XXX=
AllowedIPs = 192.168.53.0/24,0.0.0.0/0
Endpoint = XXX.myfritz.net:XXXXX
PersistentKeepalive = XX


Was sollte ich dort ändern, um ein Sicherheitsleck zu vermeiden, wenn ich in fremden WLAN-Netzwerken unterwegs bin?
 
Zuletzt bearbeitet von einem Moderator:
Nimm bei den Allowed IPs das ",0.0.0.0/0" raus. Lass nur "192.168.53.0/24" stehen. Damit beschränkst du den Zugriff auf dein Heimnetz.
 
Okay, dann würde ich durch diese Änderung bewirken, dass der Computer nur auf das Heimnetz zugreifen kann. Aber angenommen, der Computer wäre gehackt, dann könnte der Hacker die Änderung an der Datei rückgängig machen. Gäbe es nicht die Möglichkeit, schon in der Fritzbox selbst einzustellen, dass über die Wireguard-Verbindung nur auf das Heimnetz zugegriffen werden kann?
 
Nein, das geht bei Wireguard grundsätzlich nicht. Und der VPN Zugang der Boxen ist ja hauptsächlich für den Zugriff aufs Heimnetz gedacht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.