[Gelöst] Wireguard von Iphone13 zu FB 7590 über IPv6.

[R0cket]

Hallo,

leider habe ich seit neuesten Vodafone VDSL nur noch DS-Lite auf meiner FB 7590 und neuester FW.

Auf meinem Iphone 13 habe ich LTE von Telekom mit IPv6.

Ich kann also von meinem LTE handy auf die WebUI der FB über die IPv6 Adresse oder der passenden IPv6 DynDNS zugreiffen. Aber ich will auch per Wireguard wie bisher auf die Geräte dahinter zugreiffen.

Nun habe ich wie gehabt einen Wireguard Zugang auf der Fritzbox eingerichtet und per QR COde in die Wireguard App des Iphones importiert. Der EIntrag taucht auch im Iphone auf, und wird grün, wenn ich ihn aktiviere, Aber es tut sich nichts. Weder registriert die Fritzbox einen VPN Zugriff, noch kann ich auf die LAN Geräte zugreiffen. Weder das Iphone noch die Fritzbox melden Irgendwelche Fehler. Eine Wireguard Tunnel wird dennoch nicht aufgebaut.

Als noch alles über IPv4 lief konnte ich so ohne Probleme WIreguard Verbindungen zur Fritzbox aufbauen.

WO ist hier das Problem? Wie bekomme ich Wireguard nun mit IPv6 am laufen.

 

[stoney]

Funktioniert denn der Internetzugriff über das Smartphone bei aktiver WG-Verbindung?

Erhälst Du die selben Angaben bei https://wieistmeineip.de - egal ob WG ein- oder ausgeschalten ist?

Es gibt nichts zu Berücksichtigen bei WG iVm IPv6 bzw. DS-Lite.

WireGuard-VPN zur FRITZ!Box am Smartphone oder Tablet einrichten | FRITZ!Box 7590

Richten Sie Ihre VPN-Verbindung vom Smartphone oder Tablet zur FRITZ!Box ganz einfach & kostenlos über WireGuard ein - egal ob Android oder iOS. ✓

avm.de

Im Problemfall

WireGuard kann keine VPN-Verbindung zur FRITZ!Box herstellen | FRITZ!Box 7590

Obwohl die VPN-Verbindung erfolgreich eingerichtet wurde, kann WireGuard keine Verbindung zur FRITZ!Box herstellen. Dabei wird eine der folgenden Fehlermeldungen angezeigt: "Der angegebene Host ist unbekannt" "Fehler beim Starten des Tunnels: DNS-Hostname kann nicht aufgelöst werden" "Fehler...

avm.de

Oder es liegt auch hier ein Problem mit Deinem DNSMasq vor

 

[R0cket]

Vorher wurde bei WG aktiv natürlich wie erwartet, die IP des VPN Servers angezeigt.

Jetzt, wenn WG aktiv ist, kann ich gar keine Seiten aufrufen. Erst wenn ich WG wieder deaktiviere, funktioniert es wieder, dann mit der IPv6 sowie IPv4 des Handy LTE's von Telekom..

Ich habe WG gemäß diesen ANleitungen aktiviert und das hat auch alles bis zum Providerwechsel geklappt.

Die Lösungesvorschläge habe ich ausprobiert. u.a. löschen und neuanlegen. Klappt alles Ohne Fehlermeldungen, nur Traffic geht nicht über den WG Tunnel.

DNSmasq habe auch mal abgeschlatet zum test, hat keinen Unterschied gemacht. DNSmasq lief vorher ja auch mit WG ohne Probleme.

 

[stoney]

Hast Du die Neueinrichtung der WG-Verbindung durchgeführt, während DNSmasq abgeschalten war?

 

[R0cket]

Ja, habe ich nochmal versucht.

Muss ich eigentlich dann multid neustarten? Oder welcher process übernimmt normalerweise die DNS Server funktion?

 

[stoney]

Wie wäre es denn einfach die komplette F!Box neu zu starten?!

Wenn Du doch solche Änderungen an der Firmware vornimmst, solltest Du schon grob wissen wie und was - aber ich kann es Dir auch nicht beantworten, möglicherweise kann es Dir jmd aus/im Bereich der Firmwaremodifikation sagen.

 

[R0cket]

Habs gemacht. Das bringt nichts. DNSmasq stoppen, und Multid neustarten lässt die Fritzbox wieder die DNS resolven, aber das fixt nicht die WG Probleme.

 

[R0cket]

OK Problem gelöst.

WG hat versucht die IPV4 zu nutzen statt IPv6, was gescheitert ist.

Ich habe nun sichergestellt, dass meine DynDNS nur auf meine IPv6 verweist und auf nichts anderes, vorher hatte ich da sowohl ipV4 als auch Ipv6 drüber laufen, damit sich WG nicht vertun kann und siehe da WG Verbindung klappt.

Damit ist mein Wechsel zu IPv6 wohl abgeshclossen. War gar nicht so schlimm. Wenn ich nun nicht irgendwann mal in die Situation komme nur IPv4 zur Verfügung zu haben, sollte ich eigentlich problemlos auf meine Server zugreiffen können.

 

[thonglor]

@R0cket Hallo, ich habe exakt dasselbe Problem mit einem iPhone 12!

Ich nutze die DynDNS, die von AVM zur Verfügung gestellt wird (xxxxxxxxxx.myfritz.net:54155). Wo kann ich denn einstellen, daß diese DynDNS exklusiv IPv6 nutzt?

 

[stoney]

Wenn Du statt einem alternativen DDNS-Provider auf My!FRITZ setzt, sollte dies automatisch funktionieren, denn My!FRITZ erkennt nicht öffentlich erreichbare IPv4 Adressen und bietet diese demnach auch nicht als "Ziel" im DNS an.

Hau doch mal ein paar mehr Infos heraus - wie ist die F!Box aktuell ans Internet angebunden und wie ist das Smartphone an dieses angebunden?

Die nötigen Schritte habe ich ja bereits in #2 aufzeigt.

 

[thonglor]

Hallo stoney, Danke für die schnelle Reaktion. Set-up ist wie folgt:

In Haus 1 habe ich eine FB7590 (Zentrale) mit IP-Bereich 192.168.188.xxx. Diese steht hinter einem Vodafone Modem/Router TG3442DE. In dem TG3442DE habe ich "IPv6 Host Exposure" für die MAC-Adresse der FB7590 aktiviert für TCP/UDP Port 54155. In der FB7590 habe ich in den Internet Freigaben die FB-FB-WireGuard-Verbindung (a) eingerichtet. Die FB7590 ist bei MyFritz registriert und ist per öffentlicher IPv6 erreichbar.

In Haus 2 habe ich eine FB4040 (Filiale) mit IP-Bereich 192.168.198.xxx. Diese steht ebenfalls hinter einem Vodafone Modem/Router. In dieser FB4040 habe ich die Gegenstelle der o.g. FB-FB-WireGuard-Verbindung (a) eingrichtet. Die FB4040 ist bei MyFritz registriert und ist per öffentlicher IPv6 erreichbar. Diese WG-Verbindung von FB4040 nach FB7590 funktioniert einwandfrei.

Nun möchte ich von meinem iPhone 12 über die WG-App auf die FB7590 zugreifen. Also lege ich in der FB7590 in den Internet Freigaben eine FB-Einzelgerät-WireGuard-Verbindung (b) an und übertrage die Konfiguration per QR-Code auf das iPhone. Das Handy ist im Funknetz eingeloggt, IPv6 auf dem Handy ist verfügbar (siehe screenshot). Nun aktiviere ich auf dem Handy die WG-Verbindung. Das VPN-Zeichen erscheint, der end point "xxxxxxxxxx.myfritz.net:54155" wird ersetzt durch end point "192.168.0.234:54155". Ein Zugriff auf 192.168.188.1 (FB7590) ist aber nicht möglich. Das WG Logfile auf dem iPhone sagt "peer(liIQ…v7kk) - Handshake did not complete after 5 seconds, retrying" (log file anbei).

Alle Schritte unter #2 oben habe ich bereits durchgeführt. Was mache ich falsch? Danke für die Hilfe!

 

[frank_m24]

Liefert eine DNS Abfrage auf deine myfritz Adresse denn eine IPv4 Adresse zurück?

In dem TG3442DE habe ich "IPv6 Host Exposure" für die MAC-Adresse der FB7590 aktiviert für TCP/UDP Port 54155.

Und die Fritzbox hat eine öffentliche IPv6? Die Verbindung zur 4040 kann ja auch deshalb funktionieren, weil die 4040 eine öffentliche IP hat. Due 7590 braucht dafür nicht unbedingt eine.

 

[stoney]

Meiner Meinung nach, sind die "Grundvoraussetzungen" hier definitiv mal alles andere als optimal.

Wie inzwischen von Frank gefragt, welche Adressen haben die F!Box denn selbst (IPv4+IPv6)

Exposts Host (DMZ) sollte imho nur verwendet werden, um etwas zu testen oder wenn man dahinter eine 'konfiguierte' Firewall hat (auch wenn eine F!Box eine solche hat, würde ich nur die nötigen Ports im davorgelagerten Router an die F!Box weiterleiten).

Leider gibt es viel zu oft die "dummen Zufälle", dass ein Software-Update auf Userseite und der damit meist verbunde Neustart und somit der erneute Verbindungsaufbau, eine Aktion triggert, welche bereits beim Provider für die nächste, zufällige Trennung der Verbindung, aktiv wird und somit ein Anschluss von 'vollwertigem DualStack' auf 'DS-Lite' umgestellt wurde, was wiederum die eventuelle Nichterreichbarkeit der Gegenstelle auslösen könnte.

 

[R0cket]

@R0cket[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]
Wo kann ich denn einstellen, daß diese DynDNS exklusiv IPv6 nutzt?

Wireguard versucht beides. Im Log kannst du sehen, dass erst über IPv4 und danach mit Ipv6 versucht wird eine Verbindung hinzubekommen, was dann klappt, da der Server über IPv4 wegen DS-Lite nicht erreichbar ist oder ich bei DynDNS keine richtige IPv4 eingetragen habe.


Übrigens hatte ich auch Probleme, weil ich eine aktuelle Freetz-NG firmware genutzt habe, da ich den Wechsel auf IPv6 genutzt habe, meine Freetz Version zu aktualisieren.

Das hat aber dazugeführt, dass die aktuelle version die dyndns nicht aktualisert hat, weder bei myfritz noch bei no-ip. Auch hat mit der neuesten version der AVM-Portfw nicht funktioniert die ganzen Forward EInträge waren verschwunden.

Ich habe jetzt wieder meine alte Freetz version aus März 2023 drauf und mit der klappt Wireguard zumindest, wenn die dyndns adresse aktuell ist.

Mit eigenen IPv6 Port Forwards bin ich mich aber noch am rumschlagen, da man nicht ohne weiteres IPv6 Portfreigaben auf der Box über WebUI machen kann.

 

[thonglor]

Liefert eine DNS Abfrage auf deine myfritz Adresse denn eine IPv4 Adresse zurück?
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

Bei der Ausführung von DNS-Lookup auf die "xxxxxxxxxx.myfritz.net:54155" (FB7590) kommt zurück:
xxxxxxxxxx.myfritz.net:54155 has IPv6 address 2a02:908:822:9ba0:cece:1eff:feaf:d7bc
xxxxxxxxxx.myfritz.net:54155 has address 192.168.0.234

Die WG-Verbindung zwischen den beiden FBs in Haus1 und Haus2 ist erst zustande gekommen, nachdem ich in dem TG3442DE die "IPv6 Host Exposure" für die MAC-Adresse der FB7590 für TCP/UDP Port 54155 aktiviert habe. Soweit ich das sehe habe beide FBs öffentlich erreichbare IPv6 Adressen. Da der Port 54155 auf FB7590 der listening port ist, ist meine Annahme daß die Verbindung von der FB4040 ausgehend aufgebaut wird.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Wie inzwischen von Frank gefragt, welche Adressen haben die F!Box denn selbst (IPv4+IPv6)
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

In https://www.myfritz.net/devices/#/ steht bei beiden FBs:

MyFRITZ!-Adresse:	xxxxxxxxxx.myfritz.net:54155
IPv4-Adresse:	192.168.0.xxx (nicht aus dem Internet erreichbar)
IPv6-Adresse:	2a02:xxx:xxx:2540:xxxx:8ff:xxxx:xxxx

Die WG-Verbindung zwischen den beiden FBs in Haus 1 und in Haus 2 steht stabil seit Wochen.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

Ich habe die ganz normale aktuell FRITZ!OS:7.57-Version auf beiden FBs in Haus 1 und Haus 2.

 

[frank_m24]

Bei der Ausführung von DNS-Lookup auf die "xxxxxxxxxx.myfritz.net:54155" (FB7590) kommt zurück:
xxxxxxxxxx.myfritz.net:54155 has IPv6 address 2a02:908:822:9ba0:cece:1eff:feaf:d7bc

Und das ist auch die Adresse der Box?

Die WG-Verbindung zwischen den beiden FBs in Haus1 und Haus2 ist erst zustande gekommen, nachdem ich in dem TG3442DE die "IPv6 Host Exposure" für die MAC-Adresse der FB7590 für TCP/UDP Port 54155 aktiviert habe.

Das kann ja sein, hat aber nicht unbedingt was mit dem Problem zu tun.

Da der Port 54155 auf FB7590 der listening port ist, ist meine Annahme daß die Verbindung von der FB4040 ausgehend aufgebaut wird.

Da wäre ich mir nicht sicher. Bei WG gibt es keinen klassischen Server oder Client. Die Verbindung kann aus beiden Richtungen aufgebaut werden.

Übrigens: Vollzitate und Mehrfachposts sind unerwünscht. Fasse deine 3 Beiträge besser zusammen und kürze die Zitate sinnvoll.

 

[thonglor]

Zuerst: sorry für die Verwendung von Vollzitaten, werde ich nicht mehr machen.

Die Verbindung kann aus beiden Richtungen aufgebaut werden.

In der AVM Doku steht "FRITZ!Box A (Filiale) verbindet sich dauerhaft mit FRITZ!Box B (Zentrale)", daher ging ich davon aus, daß die FB4040 die Verbindung herstellt. Was ja auch dazu passt, daß der Port auf der FB7590 als "listening" beschrieben wird.

Und das ist auch die Adresse der Box?

Diese IPv6 Adresse wird angezeigt sowohl in MyFRITZ!Net und über DNS Lookup.

 

[frank_m24]

In der AVM Doku steht "FRITZ!Box A (Filiale) verbindet sich dauerhaft mit FRITZ!Box B (Zentrale)", daher ging ich davon aus, daß die FB4040 die Verbindung herstellt.

Wenn du dich mit Wireguard beschäftigst, wirst du feststellen, dass es kein klassisches Server-Client Konzept gibt. Es reden zwei gleichberechtigte Partner miteinander. Die Begrifflichkeiten mögen so beschrieben sein, technisch funktioniert es definitiv in beide Richtungen.

Diese IPv6 Adresse wird angezeigt sowohl in MyFRITZ!Net und über DNS Lookup.

Das muss aber immer noch nicht bedeuten, dass das die Adresse der Fritzbox ist. Es kann eine veraltete Adresse sein, die nicht aktualisiert wurde. Warum schaust du es nicht einfach in der Fritzbox nach? Adressen stehen direkt auf der Startseite, im Online Monitor, im Log, ...

 

[thonglor]

Warum schaust du es nicht einfach in der Fritzbox nach? Adressen stehen direkt auf der Startseite, im Online Monitor, im Log, ...

Die im FB7590 Online Monitor, DNS-Lookup und MyFRITZ!Net angezeigten IPv6 Adressen der FB7590 sind identisch.

 

[frank_m24]

Gut. IPv6 scheint korrekt eingerichtet zu sein.

Dann ist die Frage, warum der dns lookup bei dir eine private IPv4 zurückliefert. Bei mir macht myfritz das nicht, es wird nur die öffentliche IPv6 zurückgeliefert. Ich vermute, das ist das Problem, und in der Folge wird erfolglos versucht, eine Verbindung über IPv4 aufzubauen, was ja auch zum Log und zu den Anzeigen in der App passt. Vielleicht ist es möglich, die Daten bei myfritz manuell zu aktualisieren?