[Problem] Wireguard verursacht Konflikte

[flapane]

Hallo zusammen,

ich habe die Fritz OS 7.50 erst gestern installiert (Fritzbox 7520) und möchte die langsamere IPSec VPN Verbindung zur Fritzbox 7530 mit einer schnelleren Verbindung über Wireguard ersetzen.

Ich habe einen 100/40 Telekom DSL Anschluss.

Die beiden Netzwerke sind ja über unterschiedliche IP zu erreichen:

Lokale Fritzbox 7520:
LAN 192.168.10.x
Subnetz 255.255.255.0

Entfernte Fritzbox 7530:
LAN 192.168.178.x
Subnetz 255.255.255.0

Es sollen nur bestimmte Geräte aus der Fritzbox 7520 über das Wireguard VPN das Internet erreichen können. Dieselbe Konstellation funktioniert problemlos mit IPsec.

Ich habe die Anleitung von AVM gefolgt (Remote Base: 192.168.10.0, Subnetz 255.255.255.0) und auf der entfernten Fritzbox 7530 eine Router zu Router Wireguard Verbindung erstellt. Danach habe ich die Datei in die lokale Fritzbox 7520 importiert.

Leider wird es beim Import die folgende Fehlermeldung angezeigt: https://avm.de/service/wissensdaten...egenstelle-verursacht-einen-Netzwerkkonflikt/

Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt​

Ich habe verschiedene Einstellungen probiert (nur NetBios, keine Auswahl der Geräte in der lokalen Fritzbox 7520, kein Gesamtverkehr über das VPN...) aber leider wird es immer diese Fehlermeldung angezeigt.

Es gibt keine weiteren Wireguard Verbindungen auf den beiden Fritzbox, sondern nur bestehende IPsec Verbindungen.

Hat jemand vielleicht dasselbe Problem behoben?

Viele Grüße
F.

 

[stsoft]

Remote Base: 192.168.10.0, die 0 am Ende könnte das Problem sein. Das sollte die exakte IP-Adresse und kein Netz sein.

 

[PeterPawn]

Das sollte die exakte IP-Adresse und kein Netz sein.

Das übernimmt das FRITZ!OS aber (bei einer LAN-LAN-Verbindung) automatisch richtig und trägt die .1 ein, wenn man ein Netz angibt - was auch nicht zwingend stimmen muß, aber dem Standard entspricht, wenn der Box-Besitzer da nichts verändert hat (und diese Fälle berücksichtigt das AVM-VPN per se nicht, weder mit WireGuard®, noch mit IPSec).

Der Begleittext dazu: https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/avm/021/hilfe_howto_vpn_wireguard_fbfb und:

- wer also eine abweichende IP-Adresse für seine (entfernte) FRITZ!Box verwendet, kann/muß die auch passend angeben ... solange es die .1 ist aber nicht.

Egal, ob man da eine Adresse oder ein Netzwerk angibt ... es wird IMMER ein AllowedIPs-Eintrag mit einer /24-Maske für diese Verbindung verwendet (in der Konfiguration der lokalen Box, die man sich bei den WireGuard®-Einstellungen auch anzeigen lassen kann), im Gegensatz zu einer /32-Maske bei einem "Einzelgerät".

@flapane: Ich würde es mal mit einem Import bei deaktivierter IPSec-Verbindung versuchen ... DA könnte tatsächlich ein Konflikt entstehen, wenn plötzlich ZWEI Wege für die Auslieferung von Paketen an den Peer GLEICHZEITIG vorhanden sind.

 

[flapane]

Ich konnte das Problem mir Hilfe von AVM beheben, in dem ich die IPsec Verbindungen komplett entfernt habe. Eine Deaktivierung war leider nicht ausreichend. Das finde ich verwirrend und soll in der Dokumentation geschrieben werden. Dies habe ich AVM entsprechend gemeldet.

 

[rspring]

Ich sehe das gleiche Phänomen. Habe alle IPsec gelöscht. Das Problem besteht aber weiterhin.
FB 7490 7.51-103578 BETA

 

[flapane]

Interessant. Ob mit der Version 7.51 etwas sich geändert hat...

 

[rspring]

Ich habe keine Idee. Keins der Probleme auf der Hilfeseite von AVM trifft zu. In download der config findet sich der Ziel-IP-Bereich nicht. Es ist unerklärlich, wo die Box einen Konflikt sieht.

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

update:
Mit einem entfernten Netzwerk, das nicht mit 192.168 beginnt, geht es. Ganz offensichtlich ein bug.

update2:
auch beim Import auf fritzbox 2 beschwert sie sich, daß die Adresse der Gegenstelle Probleme bereite. Hier muß man also auch die *.conf datei auf Quatsch ändern, also auf NICHT 192.168.*, dann importieren und nachträglich über den config export und z. B. http://www.mengelke.de/Projekte/FritzBox-JSTool wieder die korrekten IP-Adressen einstellen.
Ein Gemache....

 

[flapane]

Es wäre also nicht ausreichend, dass die Netzwerke auf 192.168.1.x bzw 192.168.178.x sind.

 

[mdkeil]

Hier muß man also auch die *.conf datei auf Quatsch ändern, also auf NICHT 192.168.*, dann importieren und nachträglich über den config export und z. B. http://www.mengelke.de/Projekte/FritzBox-JSTool wieder die korrekten IP-Adressen einstellen.

Dieses Verhalten konnte ich bei der 7490 mit FritzOS 7.56 nachvollziehen.. muss wohl ein Bug sein. Sobald einmalig eine wireguard config geladen wird, scheinen auch beim Löschen der Verbindung irgendwo im System Bestandteile zu verbleiben. Schon ein Import der gleichen Config schlägt fehl (Netzwerkkonflikt).. sprich die IP wissentlich in der wgconfig falsch eintragen, importieren und anschließend in der exportierten Gesamtkonfig die IP korregieren und anschl. wieder importieren.. voll umständlich und zeitintensiv.

Dazu habe ich eine Frage: Ich importiere immer die gesamte Datei, da ich bei der "Teilauswahl" zumindest keinen entsprechenden Reiter für "VPN" oder ähnliches finden kann.. gibt es dort noch eine andere Möglichkeit?

Da ich natürlich vor dem Update auf 7.56 keine Sicherung gemacht habe die Frage, ob mir nicht wer den default-vpn-config-Block (vom Config-export) zur Verfügung stellen kann, wo im Vorfeld keine IPSec/WG Verbindung angelegt wurde?

 

[KunterBunter]

**** CFGFILE:vpn.cfg
/*
 * /var/tmp.cfg
 * Thu Jan  1 01:05:53 1970
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
}


// EOF

**** END OF FILE ****