[Sammlung] Wireguard VPN von AVM ab FW 7.39

Ich habe folgendes Problem:
Ich habe zwei wg instanzen im Heimnetz. Eine auf der FB. Ich habe bei der Konfiguration keine möglichkeit für ipv6 gefunden. Für mich ist nur die Erreichbarkeit von außen entscheidend. Ist das mit wg überhaupt möglich? Falls ja wie trimme ich den fritz vpn darauf? dyndns kommt mit ipv6 klar.

Die zweite instanz läuft auf einem raspi. Auch wenn ich den port für wg über ipv6 freischalte bekommen meine clients keine verbindung hin. Muss wg für eingehende Verbindungen über ipv6 speziell konfiguriert werden?
 
Für mich ist nur die Erreichbarkeit von außen entscheidend. Ist das mit wg überhaupt möglich?
Wenn deine Fritzbox eine öffentliche IPv6 hat, brauchst du nichts weiter zu tun. Sobald wg richtig eingerichtet ist, ist es auch über IPv6 von außen erreichbar.

Auch wenn ich den port für wg über ipv6 freischalte bekommen meine clients keine verbindung hin.
Du arbeitest auch auf der richtigen IP? Bei IPv6 hat der Raspi eine andere IP, als der Router. Das ist grundsätzlich anders, als bei IPv4, vor allem für dyndns. Da musst du dafür sorgen, dass der Raspi eine dyndns Adresse hat, nicht die Fritzbox.
 
Wenn deine Fritzbox eine öffentliche IPv6 hat, brauchst du nichts weiter zu tun. Sobald wg richtig eingerichtet ist, ist es auch über IPv6 von außen erreichbar.
Bist du sicher? In der VPN Übersicht sehe ich immer nur die IPv4 (die öffentliche)

Du arbeitest auch auf der richtigen IP?
Ja. dyndns synct den lan prefix und die interface ID ist fest hinterlegt. Hab ich auch geprüft über ein nslookup. es ist die IP des raspi
 
In der VPN Übersicht sehe ich immer nur die IPv4 (die öffentliche)
Und das ist wirklich ein Wireguard VPN? Und die Box hat eine ordnungsgemäße IPv6 Konfiguration?

Ja. dyndns synct den lan prefix und die interface ID ist fest hinterlegt.
Das ist sehr gut. Dann musst du mit Hilfe von tcpdump und über den Paketmitschnitt der Fritzbox schauen, wie weit die Pakete kommen. Auf dem Internet Interface der Box müssen sie ja auf jeden Fall ankommen, danach checkst du das LAN Interface der Box und dann mittels tcpdump das Netzwerkinterface des Raspi.
 
Ich habe gestern mit dem Wireguard experimentiert:
+ Die Verbindung per Handy (LTE nach DSLite-Anschluss) wurde schnell aufgebaut.
+ Ich kann per Chrome-Browser auf die UI's der Geräte im Netz zugreifen.
- Ein zufälliger Anruf zuhause wurde von der Fritz!Fon-App signalisiert, ich konnte abnehmen & mein Gegenüber hören, sie mich aber nicht.
- Die Fritz!TV App fand den DVBC-Repeater nicht, obwohl ich auf dessen UI zugreifen konnte.

Ich habe die Verbindung über die "Vereinfachte Einrichtung" erstellt. Muß ich hier eine "Benutzerdefinierte ..." Verbindung anlegen und, falls ja, mit welchen Einstellungen?
Muß bzw. kann ich dann an der Verbindung noch was feintunen und,wenn ja, auf welcher Seite?

Was definitiv schlecht umgesetzt ist ist die Darstellung des QR-Codes. So wie er im Text platziert ist, könnte man es für einen Mustercode halten und sucht vergeblich nach dem Button "QR-Code anzeigen". Den gibt's aber nicht - der klein dargestellte QR-Code ist tatsächlich schon der Code, den die Wireguard-App einlesen muß. Damit das Handy den erkennt, muß man entweder näher ran oder im Browser reinzoomen.
Hier müßte (und könnte!) AVM die Darstellung vergrößern - Platz wäre da.
 
Das mit dem QR-Code kann ich ausdrücklich bestätigen.

Ansonsten hatte ich im 7590-Labor-Thema schon einen kurzen Test der neuen VPN-UI gemacht: https://www.ip-phone-forum.de/threads/fritz-box-7590-laborserie-07-39-–-sammelthema.312181/post-2475924
Technisch ist der einzige Unterschied nun, dass ich jetzt mit einem Import der wg_config.txt der Gegenüber-7590 keine nonfunktionale Geräte-Verbindung mehr erzeuge, sondern eine Fehlermeldung, juhu!

Nun habe ich den verlinkten Vorgang in umgedrehter Richtung wiederholt mit vorheriger Anlage einer (übrigens funktionierenden) Smartphone-Verbindung per QR.
Geändert hat sich beim Import der wg_config.txt nichts, dieselbe Fehlermeldung ohne vollzogenen Import. Nach dem Erzeugen der WG-Konfiguration funktionierte aber die IKEv1-Verbindung zu derselben Box nicht mehr. Nach dem Löschen der (geplanten) WG-LAN2LAN-Verbindung war IKEv1 jedenfalls wieder verbunden.
 
Zuletzt bearbeitet:
Da ich bei IPv6 noch in den Kinderschuhen stecke, wollte ich von den Spezialisten hier erfahren, ob es bei echtem Dualstack und entsprechendem Dyndns-Service (IPv4+IPv6) eigentlich nicht möglich sein sollte, auf einer per LAN oder WLAN verbundenen IP-Client-FB Wireguard zu konfigurieren bzw. als Server dort bereitzustellen?

-Hier ggfs. auf 2 IP-Clients 7490-07.39-96327 u. 7590-07.39-96333 wo ich im IP-Clientmode keinen VPN-Reiter entdecke-

An anderer Stelle hier im Forum wird Wireguard auf einem Raspi oder OpenWRT-FB7412 ja wärmstens angepriesen?

Sicherlich ist die WG-Umsetzung noch nicht fertig. Allerdings wäre ein Ausblick auf die Möglichkeit und/oder Unmöglichkeit für mich sehr hilfreich.

Mein Motiv: Die Client-FBs hier sind nicht vermesht mit der Master-DSL-FB und haben auch unterschiedliche Smarthome-Devices angemeldet bzw.im Händling. Da ihre Auslastung gering ist und die Smarthome-Behandlung für VPN übersichtlicher gestaltet werden könnte, sähe ich Vorteile.

Für ein meinem Wissenstand geeignetes Feedback many TX
LG
 
ds77, danke für die Vergleichsmöglichkeit!

Die Unterschiede bei mir waren:
[Interface]
ListenPort = 51463 (fehlte)
DNS = (2. DNS fehlte)


Eine manuelle Korrektur änderte aber bei meinen beiden 7590 v96346 nichts am Import-Fehler-Problem.

Kleiner AVM-Witz am Rande: Als ich die Namens-Eingabe "versehentlich" mit ENTER abschloss, erzeugte die Box erfolgreich eine Geräte-Verbindung.
 
Aha, dann ist es ja logisch, dass es mit der RETURN Taste nicht geht. :)
 
Da ich bei IPv6 noch in den Kinderschuhen stecke, wollte ich von den Spezialisten hier erfahren, ob es bei echtem Dualstack und entsprechendem Dyndns-Service (IPv4+IPv6) eigentlich nicht möglich sein sollte, auf einer per LAN oder WLAN verbundenen IP-Client-FB Wireguard zu konfigurieren bzw. als Server dort bereitzustellen?
Ja, aus Netzwerksicht ist das kein Problem.

-Hier ggfs. auf 2 IP-Clients 7490-07.39-96327 u. 7590-07.39-96333 wo ich im IP-Clientmode keinen VPN-Reiter entdecke-
Und genau da hast du das Problem benannt. Die Boxen sind im IP-Client Modus kein Router und stellen deshalb auch kein VPN zur Verfügung. Das wird sich wohl auch nicht ändern.

Die Client-FBs hier sind nicht vermesht mit der Master-DSL-FB und haben auch unterschiedliche Smarthome-Devices angemeldet bzw.im Händling. Da ihre Auslastung gering ist und die Smarthome-Behandlung für VPN übersichtlicher gestaltet werden könnte, sähe ich Vorteile.
Für den Anwendungsfall würde theoretisch auch ein VPN Server auf der Masterbox reichen. Aber im Grunde hast du natürlich Recht. Ich habe nur Zweifel, dass es sich mit Boxen im IP-Client Modus realisieren lässt.

An anderer Stelle hier im Forum wird Wireguard auf einem Raspi oder OpenWRT-FB7412 ja wärmstens angepriesen?
Das funktioniert tatsächlich ausgezeichnet. Betreibe ich seit langem, anfänglich über Jahre mit OpenVPN und seit ca. 1,5 Jahren mit Wireguard.
 
Kurze Frage .. ich habe mehrere Tunnel Lan-2-Lan zur anderen FRITZ!Boxen bzw. auch zu 2 Sophos UTM am laufen. Kann ich das so weiter zu neuen WireGuard-Verbindungen laufen lassen oder muss ich mich entscheiden nur noch WireGuard zu nutzen?

Gruß Patrick
 
Gute Frage. Ich habe keine Ahnung, ob AVM irgendwann das alte IPSec-Protokoll rausschmeißt, weil das zwingend eine öffentliche IPv4-Adresse erfordert. Internetnutzer bekommen diese, wenn überhaupt, nur noch gegen Aufpreis.
 
  • Like
Reaktionen: padowa76
Ja, aus Netzwerksicht ist das kein Problem
Danke für den Hinweis.
Die Boxen sind im IP-Client Modus kein Router
Könnte ein I-Net-Zugang über LAN/WLAN als "anderer Anbieter" das Problem lösen? Auch die Mobilfunk-Fallback-Geschichte wäre ein Ansatzpunkt?
Ansonsten kann man/frau nur hoffen, dass sich bei Zeiten die "Modifikations-Cracks" der Sache annehmen?

oder muss ich mich entscheiden nur noch WireGuard zu nutzen?
Die Quizfrage wird sein, ob AVM in einer Release-Version beides parallel zulässt/unterstützt?
Einfacher und sicherlicher weniger fehleranfällig wäre ein Aussondern des IKE, zumal u.a. Android12 das wohl nichtmehr unterstützt. Die IPv4<->IPv6-Geschichte ist imho schon komplex genug.
LG
 
Könnte ein I-Net-Zugang über LAN/WLAN als "anderer Anbieter" das Problem lösen?
Direkt auf der Fritzbox kann nur helfen, wenn du sie nicht als "IP-Client" betreibst. Das hat aber zur Folge, dass die Clients der einzelnen Fritzboxen in separate Netze verlegt werden und sich damit auch gegenseitig nicht mehr erreichen können.

Ansonsten kann man/frau nur hoffen, dass sich bei Zeiten die "Modifikations-Cracks" der Sache annehmen?
Man kann über freetz jederzeit einen VPN Server auch auf IP-Client Boxen betreiben. Das geht auch heute schon.

Die Quizfrage wird sein, ob AVM in einer Release-Version beides parallel zulässt/unterstützt?
Äußerst unwahrscheinlich, da im IP-Client Modus explizit genau die Funktionen abgeschaltet werden, die man für das VPN Gateway brauchen würde. Genau dafür ist der IP-Client Modus da. Ich kann mir nicht vorstellen, dass sie die ursprüngliche Intention komplett über den Haufen werfen.



Ich habe keine Ahnung, ob AVM irgendwann das alte IPSec-Protokoll rausschmeißt, weil das zwingend eine öffentliche IPv4-Adresse erfordert.
In der aktuellen Labor kann auch IPSec IPv6. Siehe Testbericht bei Heise.
 
Danke für den Hinweis auf Freetz. Iirc waren dort eher Modifikationen zu OpenVPN angesagt. Dass Wireguard unterstützt würde, wäre mir neu -falls ich da nix verschlafen haben bei Freetz-NG-.

Äußerst unwahrscheinlich
Das bezog sich auf #35 und der Frage, ob AVM zukünftig Wireguard und IKEv1 gleichzeitig in einer FW unterstützt/unterstützen wird.

LG
 
Ach so, sorry, das hab ich falsch verstanden. Da in der Labor sowohl IKE als auch Wireguard mit IPv6 Unterstützung drin sind, halte ich es für sehr wahrscheinlich, dass das auch im Release der Fall sein wird.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.