[Problem] Wireguard Verbindung zwischen 2 und mehr FB herstellen bei bestehender IPSec Verbindung

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Blackace

Blackace

Mitglied
Mitglied seit
27 Aug 2008
Beiträge
399
Punkte für Reaktionen
36
Punkte
28
Hallo,

leider habe ich das Problem das ich es nicht hinbekomme die Wireguard Verbindung zwischen 2 FB herzustellen, etwas zum derzeitigen Setup:

Im Verbund sind derzeit 4 FB, alle per IPSec verbunden. (7590, 6660, 7590 AX, 7490)

Als Grundlage dient diese Anleitung von AVM: https://avm.de/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

Nun habe ich allerdings das Problem sobald ich bei der entfernten FB die Einstellungsdatei hochlade, die IPSec Verbindung kurz getrennt wird.
Die Wireguardverbinung wird leider nicht aufgebaut, obwohl nach dem nach neu Aufbau der IPSec Verbindung im Log der entfernten FB der erfolgreiche Eintrag zu finden ist:

1720722467594.png

Bei einer FB habe ich zum Test einen zusätzlichen IPSec Zugang für mein Handy erstellt, dadurch konnte ich zum Test auf beiden FB die IPSec Verbindung untereinander deaktivieren, auch das brachte keinen Erfolg, die Wireguard Verbindung wird nicht aufgebaut, im Log ist auch leider bei beiden Seiten nichts zu finden. Eine Wireguardverbindung per Handy lässt sich allerdings Problemlos aufbauen.

Muss man die Einstellungsdatei wirklich im Heimnetz der jeweiligen FB hochladen? Das wäre äußerst Blöd, da die FB über mehrere 100km verteilt sind und die Familienmitglieder technisch leider nicht sehr gut unterwegs sind.
Meine Hoffnung war das ich die Umstellung von IPSec zu Wireguard über die bestehende IPSec Verbindung schaffe.

Eventuell kann mir jemand noch einen Tipp geben, oder mache ich irgend etwas falsch?
 
Die Boxen in der Wireguard Konfig haben schon eine IPSec Verbindung? Dann kann das Laden der WG Verbindung nicht klappen, weil sie einen IP Konflikt erzeugt. Du musst zunächst alle (!) IPSec Verbindungen sauber entfernen. Dafür ist häufig ein Werksreset nötig, weil Reste übrig bleiben.
 
Aus eigener Erfahrung genügt es völlig, die IPsec-Verbindungen zu deaktivieren.
 
  • Like
Reaktionen: KunterBunter
frank_m24 schrieb:
Dafür ist häufig ein Werksreset nötig, weil Reste übrig bleiben.
Zum Vergrößern anklicken....
Das wäre natürlich äußert ungünstig, dann würde ich wohl leider auf IPSec erst einmal bleiben müssen.
Erforderlich schrieb:
Aus eigener Erfahrung genügt es völlig, die IPsec-Verbindungen zu deaktivieren.
Zum Vergrößern anklicken....
Dies habe ich ja getan, oder müssen alle IPSec Verbindungen deaktiviert werden? Sollte dies so sein müsste ja meine Wireguard Handyverbindung auch nur funktionieren wenn ich die IPSec Verbindungen in der FB deaktiviere...
Zum Testen hatte ich immer jeweils nur die IPSec Verbindung deaktiviert die zwischen den beiden Test FBs bestand. Verbindungen zu anderen FB habe ich aktiviert gelassen.

Mich wundert es halt nur, da im Log nicht einmal ein Fehler einer gescheiterten Verbindung zu finden ist, als ob die FB gar nicht erst versuchen würde sich zu verbinden.
 
Bei den Geräteverbindungen können IPsec und WG prinzipiell problemlos koexistieren. IP-Konflikte sind durch die Autovergabe ab DHCP-Ende+1 eigentlich ausgeschlossen, außer man erzwingt welche durch äußerst ungeschickte Wahl des DHCP-Bereichs oder DHCP-Abschaltung wg. Übernahme durch andere Server.

Bei der aktuellen Labor-FW kann ich übrigens LAN2LAN-VPN zwischen 5590 und 7590 IPsec und WG gemeinsam aktivieren , was aber relativ sinnlos ist, vor allem weil das IPsec nun bei mir kaputt by Labor-FW ist.

Zu den LAN2LANs hast du noch nicht berichtet, ob dein VPN da per zentraler Fritzbox läuft oder "jede mit jeder" oder einer beliebigen Kombination davon.

Die Firmware-Versionen wären auch interessant, denn in der Vergangenheit verhielt sich das AVM-Wireguard zickig bis dysfunktionial. Infos über VPN-Fehlschläge waren auch nicht in den Ereignissen zu finden, man muss da schon mal die Support-Daten runterladen. Deswegen habe ich erst bei aktuellen Laborzweig wieder mit WG angefangen, weil es a) im Gegensatz zu IPsec nun problemlos funktioniert und b) IPsec immer noch alle 2..3 Minuten mit 0x2027 und 0x203e getrennt wird. AVM-Spaß am Rande: IPsec-Meldungen findet man immer noch Internetverbindung und die von WG unter System, was die wohl so rauchen?

Für die Einrichtungsphase von VPNs sollte man unbedingt für Notfälle den HTTPS-Zugriff auf die entfernten Fritzboxen aktivieren oder noch besser zusätzlich einen ferneinschaltbaren "PC" mit Rustdesk/AnyDesk/Teamviewer(Host) bereitstellen.
 
Erforderlich schrieb:
Bei der aktuellen Labor-FW kann ich übrigens LAN2LAN-VPN zwischen 5590 und 7590 IPsec und WG gemeinsam aktivieren , was aber relativ sinnlos ist, vor allem weil das IPsec nun bei mir kaputt by Labor-FW ist.
Zum Vergrößern anklicken....
Das ist dann aber neu. Bislang führte das zuverlässig zu Konflikten.
 
Die 4 FBs sind alle über eine Zentrale (meine eigene) verbunden, untereinander einzelne Verbindungen habe ich nicht.

Die Wireguardverbindung versuche ich derzeit auf einer 7590 mit der aktuellen Labor und einer 7490 mit 7.59. Eventuell liegt auch in der 7.59 das Problem nach deiner aussage das es dahingehend Probleme gab wenn es keine aktuelle Labor ist. Ich bin mir auch gerade gar nicht sicher ob die 7490 noch das neue Update bekommt, Inhaus habe ich bis jetzt keine gefunden.

Der Tipp mit dem HTTPS Fernzugriff ist gut, das werde ich beim Testen aktivieren, danke.

Update:
Nach weiteren Versuchen kommt mit der 7490 einfach keine Verbindung zu Stande. Daraufhin habe ich es einmal mit der 6660 (7.57) probiert. Hier wird eine Verbindung aufgebaut, allerdings ist diese nicht per IP Adresse erreichbar. Sobald ich wieder umstelle von Wireguard auf IPSec 7590 <> 6660 ist diese wieder normal über die IP erreichbar. Anscheinend läuft die Geschichte mit Wireguard einfach noch nicht Rund.
 
Zuletzt bearbeitet:
Hallo, habe genau die gleiche Konstellation. Aktuell eine 7490 mit einer 7590 AX über IP Sec gekoppelt. Würde gerne auf Wireguard umsteigen, da dass ja effizienter ist. Aber ich bekomme die Wireguard Settings nur auf einer Box hin, wenn ich die Einstellungen dann auf der anderen Box einspielen möchte bekomme ich einen Fehler dass die Daten fehlerhaft sind und nicht übernommen werden konnten. Einstellungen sind aber 100% richtig.

Komischerweise kann ich auf der 7490 auch garkeine Dyndns Adresse von der Gegenstelle eingeben, wenn ich es dort einrichte. Oder ist der Name der Verbindung auch automatisch die Dyndns-Gegenstelle?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 333 (Mitglieder: 39, Gäste: 294)

Neueste Beiträge

Statistik des Forums

Themen
245,447
Beiträge
2,232,511
Mitglieder
372,435
Neuestes Mitglied
Daviddan
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück