[Sammlung] Wireguard VPN von AVM ab FW 7.39

[FlyingToaster]

Das ist der AVM-Goldstandard.

 

[1klaus06]

[Edit Novize: Überflüssiges Fullquote gemäß der Forumsregeln gelöscht]

Die Antwort vom AVM zum Thema "Nein" in der Anzeige:

"Bei einer WireGuard-Verbindung von einem Mobilgerät oder Computer zur FRITZ!Box werden grundsätzlich sämtliche Internetanfragen über die VPN-Verbindung an Ihre FRITZ!Box weitergeleitet.

Die Anzeige "Gesamter Datenverkehr (IPv4)" in der FRITZ!Box-Benutzeroberfläche bezieht sich nicht auf den Datenverkehr des Endgeräts, sondern auf den von der FRITZ!Box ausgehenden Datenverkehr. Bei einer Verbindung zu einem Einzelgerät ist es daher korrekt, dass dieser Punkt mit "Nein" gekennzeichnet ist.

Wir werden die Anzeige in einem kommenden FRITZ!OS anpassen, um die Funktionsweise der FRITZ!Box zu verdeutlichen und Missverständnisse zu vermeiden."

Als Test, ob das auch Funktioniert wurde mir u.a. empfohlen:

"https://www.dein-ip-check.de/

Vergleichen Sie die Ergebnisse da mal mit aktivierter und mit deaktivierter VPN-Verbindung auf ihrem Klient."

 

[Ronaldo]

Ich hoffe mal das ich mit meiner Frage zur Einrichtung von Wireguard auf einer Fritzbox 7590 richtig.
Firmware ist nun die 7.50

Ich möchte die FritzBox mit einem entfernten Wireguard Server verbinden.

Verbindung besteht zu diesem Wireguard Server von Handy / PC / aber auch einem Brumme (GL-MV1000) verbindet sich mit dem Wireguard Server
Ich konnte bei allen einfach die cfg Datei einlesen. Für jedes Ger#t existiert eine eigne cfg Datei.
Der Wireguard Server ist auf einem PI mit der Software WGDashboard

Was ich nicht hinbekomme ist, diese Datei in die Fritzbox einzulesen. Fehlermeldung die Datei konnte nicht eingelesen werden.

Hier mal die Datei zum einlesen Werte stimmen nicht bzw wurden geändert. DNS Server sind am anderen Ende zwei Pi-Hole. Auch wenn ich hier öffentliche eintrage oder 10.10.55.1 ändert nichts. Auch bei AllowedIP 0.0.0.0 das gleiche. Am anderen Ende ist eine feste IP Adresse

Kann mir hier jemand sagen was ich wie in der FritzBox eingeben muss damit diese sich mit dem Wireguard Server dauerhaft verbindet?

[Interface]
PrivateKey = xxxxxxxxxxxxxxx
Address = 10.10.55.11/32
DNS = 192.168.100.200,192.168.100.210
MTU = 1420

[Peer]
PublicKey = yyyyyyyyyyyyyyyyy
AllowedIPs = 192.168.100.0/24
Endpoint = 82.13.45.78:51520
PersistentKeepalive = 21
PresharedKey = wwwwwwwwwwwwww

 

[eDonkey]

Was ich nicht hinbekomme ist, diese Datei in die Fritzbox einzulesen. Fehlermeldung die Datei konnte nicht eingelesen werden.

Mach ein Backup Deiner Fritzbox, hol Dir daraus den Teil der VPN-Config, editiere diesen nach Deinen Wünschen und importiere das Ganze über den VPN(IPSec) !!! Wizzard, nicht VPN(Wireguard).

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Leider habe ich es nicht geschafft, den Port, auf dem die Box lauscht, zu ändern, dieser Wert wird beim Import nicht übernommen.

Das geht entweder über "NVI" bei einer "gefreetzten" Box oder mit den "FritzBox-Tools". Damit kann man auch den Privat-Key der Fritzbox bei Bedarf anpassen.

 

[Ronaldo]

Da erwischt du mich auf dem falschen Fuß.

Backup mache ich dann mit welchen Programm bekomme ich das Backup geöffnet?
Wenn ich es mit einem Packprogramm öffne habe ich zwei xx.images Dateien die ich nicht editieren kann.
Wenn ich die edietieren kann warum soll ich dann diese als VPN(IPSec) importieren? Oder ist hier nur eine Datei gemeint die aus dem Abschnitt erzeuge und dann importiere. Warum dann als VPN(IPSec) und nicht VPN(Wireguard)?
Bin hier was FritzBox betrifft blutiger Anfänger.

 

[KunterBunter]

Backup mache ich dann mit welchen Programm bekomme ich das Backup geöffnet?

System -> Sicherung -> Sichern. Dann die Datei mit einem Texteditor oder dem FBEditor öffnen.

 

[eDonkey]

Backup mache ich dann mit welchen Programm bekomme ich das Backup geöffnet?

Ich mach das immer mit Notepad++.
Die VPN-Konfiguration landet immer, egal ob VPN(IPSec) oder VPN(Wireguard), in der vpn.vfg. Einfach nach diesem Abschnitt im Backup danach suchen.

Spoiler: .export

**** CFGFILE:vpn.cfg
/*
* /var/tmp.cfg
* Wed Dec 7 15:35:13 2022
*/

meta { encoding = "utf-8"; }

vpncfg {

 

[Ronaldo]

Wenn ich das jetzt richtig verstehe dann bearbeite ich den Abschnitt vpn config und speiche dies als Datei und importiere das ganze dann als IPSec.

Nun meine Abschnitt sieht so aus

Spoiler: vpn.cfg

**** CFGFILE:vpn.cfg
/*
* /var/tmp.cfg
* Thu Jan 1 01:03:01 1970
*/

meta { encoding = "utf-8"; }

vpncfg {
vpncfg_version = 3;
global {
wg_listen_port = 0;
}
}


// EOF

Anhand meiner obigen Daten was muss ich da wie eintragen?

 

[eDonkey]

Wenn ich das jetzt richtig verstehe dann bearbeite ich den Abschnitt vpn config und speiche dies als Datei und importiere das ganze dann als IPSec.

Das muß in etwa so aussehen, nur bekommst Du auf diesem Weg leider nicht den Privat-Key und den Port der Box geschrieben.

vpncfg {
        vpncfg_version = 3;
        global {
                wg_private_key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
                wg_public_key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=";
                wg_listen_port = [PORT];
        }
        connections {
                enabled = no;
                editable = yes;
                use_ikev2 = no;
                conn_type = conntype_wg;
                name = "WGdummy";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                app_id = 0;
                wg_public_key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=";
                wg_preshared_key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
                wg_allowed_ips = "xxx.xxx.xxx.x/xx";
                wg_persistent_keepalive = 25;
                wg_endpoint = "xxxxxxx.xxxxxxxxxx.xxx:[PORT]";
                wg_dyndns = "xxx.xxxxxxxx.xx";
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = yes;
                wg_fulltunnel = no;
                wg_configured = yes;
                }
}

 

[PeterPawn]

Das muß in etwa so aussehen

Hmm ... bei mir ist das auch in einer Export-Datei alles noch ordentlich eingerückt, so daß man die "Struktur" schon auf den ersten Blick erkennen kann. Wieso ist das bei Deiner Export-Datei nicht auch so?

 

[eDonkey]

Hmm ... bei mir ist das auch in einer Export-Datei alles noch ordentlich eingerückt,

Wenn ich den Spoiler editiere, sieht das, im Spoiler-Editor wohlgemerkt, super aus.

PS: Hab die vpn.cfg mal als .txt angehämgt

 

[stoney]

Spoiler funktioniert da nicht, habs mal als CODE eingebunden

 

[eDonkey]

Eine Frage in die Runde, hat jemand noch die Inhouse mit Terminal-Zugriff am Laufen und kann mir den Pfad zum "wg"-Binary nennen. In der Release-Version ist das nicht zu finden.
Danke

edit: Selbst gefunden, lag/liegt direkt im /bin/.

 

[eeausli]

Das muß in etwa so aussehen, nur bekommst Du auf diesem Weg leider nicht den Privat-Key und den Port der Box geschrieben.

Hmm,

bekommt man dadurch evtl. auch folgendes in den Griff ?

Gute Frage. Sobald ich Wireguard aktiviere, meckert die Fritz
Nach den Tutorials sollen ja die Wireguard-Devices (wg0) aller VPN-Knoten in ein eigenes Netz kommen. Siehe Wireguard Site to Site. Allerdings ist der Fritzbox das egal. Die vergibt für das Wireguard Device dieselbe IP wie für eth0. Ich wollte die o.g. Konfiguration auch erzwingen über das Laden der Config. Da weigerte sich die Fritzbox aber.

Ich habe nämlich genau dasselbe Problem.
Ich habe einen wireguard server auf einem per öffentlicher ipv4 erreichbaren Vserver installiert und wenn ich mich vom laptop oder handy versuche einzuwählen klappt alles wunderbar.
Auch mein Edgerouter-X verbindet sich mit dem VPN-Server und sämtliches routing funktioniert wie gewünscht.
Nur eben nicht in der Fritzbox. Die weigert sich scheinbar die vorgegebene Konfiguration zu übernehmen und ändert lieber die lokale wireguard Addresse auf etwas anderes, als die von mir gewünschte und vorgegebene vpn adresse (10.255.255.6)

 

[eDonkey]

bekommt man dadurch evtl. auch folgendes in den Griff ?

Bei der Peer-Config von Linux zu Fritzbox läßt Du einfach das Virtuelle Netzwerk weg.

#Fritzbox
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.xxx.0/24
Endpoint = domain.dyndns.com:51820
PersistentKeepalive = 25

Der Import der VPN.cfg über VPN(IPSec) ist meiner Meinung nach der beste Weg, den ich schon seit Jahren für IPSec nutze. Der Syntax wurde von AVM angepasst und erweitert, wobei einiges noch ungenutzt scheint, z.B. könnte ich mir vorstellen, daß irgendwann auch die dem Standard entsprechenden virtuellen Adressen ein Thema werden (wg_slave_network = ), spätestens dann, wenn AVM das Tunneln von IPv6 einbaut, was laut schriftlicher Antwort von AVM, derzeit nicht möglich ist. Am Ende entscheidet die Box über "wg_configured= yes/no" wofür die Config steht.
PS:
Das Tunneln von IPv6 von Linux zu Linux funktioniert nämlich nur, wenn man zusätzlich virtuelle ipv6-Adressen verwendet.

 

[Th3M3]

Servus,
ich betreibe meine F!B 7490 als Client hinter der eigentlichen Internet-FritzBox (also kaskadiert, mit eigenem Heimnetz) und will (nach der offiziellen Anleitung von AVM) eine WireGuard-Verbindung vom Smartphone zu dieser Box herzustellen.
Dass die Heimnetze beider Fritzboxen unterschiedlich sein müssen und ich in der Internet-FritzBox eine Portfreigabe einrichten muss, war mir auch ohne die Anleitung von AVM klar.

Aber im myfritz-Namen der 7490 wird nun auch die lokale IPv4 (192.168.178.44) bekanntgegeben (per nslookup getestet), den die Box als Client von der Internet-FritzBox erhalten hat.
Die Internet-FritzBox läuft am Glasfaseranschluss und hat dort selbst nur eine IPv4 über CGNAT.

WireGuard scheint sich nun stur zu der IPv4 aus dem myfritz-Namen verbinden zu wollen, wodurch partout keine Kummunikation gelingt (Zähler empfangener Daten bleibt auch nach mehreren Minuten bei 0B).
Der myfritz-Name enthält aber auch die korrekte IPv6 und erst mit Änderung des Endpoints in Wireguard zu dieser IPv6 kommt die Kommunikation zustande.

Funktioniert bei euch WireGuard mit myfritz ohne öffentlich erreichbare IPv4?
Gibt es eine Konfigurationslösung dafür, oder muss ich zwingend einen anderen dynDNS-Anbieter nutzen bzw. IPv6 fest eintragen?

 

[stsoft]

Das kann so nicht funktionieren, denn die 7490 ist ja nicht direkt aus dem Internet erreichbar.
Die WG Einrichtung mußßt Du auf de r7590 machen.

 

[Th3M3]

Das kann so nicht funktionieren, denn die 7490 ist ja nicht direkt aus dem Internet erreichbar.
Die WG Einrichtung mußßt Du auf de r7590 machen.

Die 7490 ist doch zumindest per IPv6 aus dem Internet erreichbar. Ich habe dazu in der vorgeschalteten Internet-FritzBox eingestellt, dass ein Teil des IPv6-Präfix an nachgeschaltete Router weitergegeben wird.
Die Verbindung mit dem Smartphone geht doch grundsätzlich, nur eben nicht mit dem myfritz-Namen, sondern nur direkt mit der IPv6 als Endpoint in WireGuard.

Die Internet-Fritzbox ist leider nur eine 7560, die das neue Fritz!OS wohl garnicht bekommen wird.
Es würde zudem ohnehin keinen Sinn ergeben, die WireGuard-Verbindung dahin aufzubauen, denn damit würde ich ja trotzdem nicht ins Heimnetz meiner 7490 kommen.
Und der Verbindungsaufbau würde voraussichtlich ebenfalls scheitern, da die IPv4 der Internet-FritzBox wegen CGNAT ebenfalls nicht öffentlich erreichbar ist.

 

[eDonkey]

Ich würde das Problem damit umgehen:
einen festen ipv6-Prefix über Tunnelbroker für die 7560 zulegen, damit bleibt die ipv6-Adresse auf der 7490 immer die selbe. Und dann halt im Wireguard-Client nicht den MyFritz-Namen, sonder die ipv6-Adresse der 7490 nehmen. Diese muss (glaube ich) in [] eingeschlossen werden.

 

[Th3M3]

Ich würde das Problem damit umgehen:

Ich möchte das nicht umgehen, sondern vielmehr wissen, ob bei euch in selbiger Konstellation das gleiche Verhalten auftritt oder evtl. sogar funktioniert.
Momentan läuft die Verbindung mit fest eingetragener IPv6 als Endpoint seit Wochen ohne Probleme.
Aber AVM behauptet in ihrer Anleitung, dass es mit dem myFritz-Namen geht, was sich bei mir aber als falsch herausstellt.
Mit denen stehe ich mittlerweile auch schon in Kontakt, habe mehrfach auf Verlangen die Supportdaten geschickt und nun auch die Logs von WireGuard, aber die wollen partout nicht glauben, dass WireGuard bei der Namensauflösung des Endpoints IPv4 vor IPv6 bevorzugt.
Aber vllt. mache ich irgendwo einen Fehler?!??