[Sammlung] Wireguard VPN von AVM ab FW 7.39

[Benares]

Da hab ich kein Gefühl dafür. Klar hält WG die Verbindung offen und die Schlüssel werden öfter erneuert. Aber wieviel Daten das erzeugt - keine Ahnung. Ich schalt es ein, wenn ich's brauche und wieder ab, wenn ich's nicht mehr brauche. Man sieht übrigens im WG-Client auf dem Handy sehr schön, was da läuft und wieviel Daten das erzeugt.

Kommst du über diesen Weg auch auf clients (z.B. Repeater) hinter der Fritzbox ?

Ja, bei mir geht das problemlos. Das Handy hat dann halt 2 IPs in gleiche Netz, die .15 (normal) bzw. die .203 über VPN. Da aber "Erlaubte IPs" auf "192.168.0.0/24, 0.0.0.0/0" steht müsste alles über den Tunnel laufen. Auf meinem PC habe ich das auch spaßeshalber mal eingerichtet, obwohl der immer zu Hause steht. da klappt das genauso.

 

[armin56]

Das habe ich eben auch einmal mit meinem Smartphone probiert. Ich habe mich bei aktiviertem WG auf meine Ip-client Box angemeldet, und komme offensichtlich mit der IP vom WG-Tunnel auf diese Box.
Sieht man sich das Protokoll in der WG-App an, so wird wohl jede Minute ein Keepalive Paket geschickt und kurz danach auch eines empfangen.

 

[alexandi]

Erlaubte IP's sind bei mir 192.168.178.0/24, 0.0.0.0/0
Eine Änderung zu 192.168.0.0/24, 0.0.0.0/0 hilft auch nicht.

 

[Benares]

Nein, muss natürlich zum Heimnetz passen, ich hab halt 192.168.0.0/24, du wohl 192.168.178.0/24.
Keine Ahnung, wieso das bei dir nicht klappt. Ich musste nichts dafür modifizieren. Ich hab aber auch davon gehört, dass manche über den Tunnel nur auf die Fritte selbst kommen und auf keine Geräte dahinter.

Hier mal die Konfi von meinem PC (.10 (LAN), .200 (VPN)), kannst ja mal vergleichen.

[Interface]
PrivateKey = ...
Address = 192.168.0.200/24
DNS = 192.168.0.1, fritz.box

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 192.168.0.0/24, 0.0.0.0/0
Endpoint = irgendwas.myfritz.net:51022
PersistentKeepalive = 25

... und auf der Gegenseite (Fritte) passt dann das dazu:

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 192.168.0.200/32
PersistentKeepalive = 25

 

[Peter_Lehmann]

Keepalive wird vom WireGuard-Entwickler nur Verbindung zwischen zwei Netzen empfohlen und nicht für eine Verbindung zwischen einem Client zu einem Server. (Ich schreibe bewusst, auch wenn es technisch nicht ganz korrekt ist, von einem Client und einem Server, denke mal, das ist verständlicher so, wenn ich ein "auswärts" betriebenes Gerät als Client und die zu Hause stehende (bei mir externe und umgeflashte) Fritz-Box als Server bezeichne.)

Du kannst ja problemlos die WG-Verbindung in der App deaktivieren und dort mal das Keepalive rausnehmen. Bei mir ist das immer deaktiviert.

Hast du in der Fritz-Box etwas unter

DNS-Rebind-Schutz​

eingetragen?

Und ich habe mir die entsprechenden statischen Routen für die von außerhalb und innerhalb zu erreichenden Netzwerke angelegt.
(Auch hier in beiden Fällen keine Angaben, ob das bei dem AVM-WireGuard erforderlich ist.)

Und, weil ich auch nicht den AVM-Dienst für DYNDNS , sondern aus gutem Grund einen externen DYNDNS-Provider (dynv6.com) nutze, läuft bei mir auf jedem zu erreichenden Gerät ein eigener Dyndns-Client, dessen IPv6 und auch die IPv4 direkt in der WireGuard-App addressiert werden.

Ja, bei mir läuft alles konfigurationsmäßig im Dualstack-Betrieb, obwohl fast alles über das modernere Protokoll IPv6 läuft.

 

[armin56]

@alexandi Bei mir sieht die WG Konfiguration am Smartphone folgendermaßen aus:

Ich habe nichts im Rebind Schutz stehen.

 

[Benares]

Ist bei mir genauso, halt nur mit 192.168.0.x statt 192.168.178.x. Unter Rebind-Schutz hab ich auch nichts drin.

 

[alexandi]

Rebind-Schutz ist leer.
Meine Konfig sieht auch nicht viel anders aus. So wurde sie hon der Fritte erzeugt

 

[Benares]

Und die Gegenseite passt dazu? Ich meine jetzt den [Peer]-Eintrag für die .202 (s.o.)

 

[alexandi]

Sollte passen:

 

[Benares]

Ja, sollte. Hast du mal versucht die Verbindung neu anzulegen, ob es da genauso ist?
Keine Ahnung, was da noch alles unter der Oberfläche passiert.

 

[alexandi]

Ja ist genauso.

Trotzdem danke.

 

[Soliph]

Verbindung zwischen Fritzbox 7590 (FW 7.57) und Mullvad über Wireguard funktioniert. Allerdings habe ich DNS-Leaks. Meine DNS-Anfragen stammen von meinem tatsächlichen Internet Provider. Anbei meine Conf. Ich sende den gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung. Was mache ich falsch?

 

[Peter_Lehmann]

Hallo @Soliph!

Um zu verstehen, was du beabsichtigt, wenn du deinen gesamten Internetverkehr über einen kommerziellen VPN-Anbieter leitest, wäre es schön, wenn du dafür einige verständliche Gründe anführst.

vy 73 de Peter

 

[Soliph]

@Peter_Lehmann Vielen Dank für die schnelle Rückmeldung. Gegenwärtig teste ich. Du hast wiederholt in diesem Thread mit wertvollen Beiträgen auf Deine Meinung zu der fehlenden Erhöhung der IT-Sicherheit hingewiesen durch Nutzung kommerzieller VPN-Dienste (#278, #317). Ich würde gerne bei meiner Frage bleiben.

 

[Peter_Lehmann]

Selbstverständlich kannst du bei deiner Frage bleiben. Das ist dein Recht, und ich werde dich auch keinesfalls beeinflussen wollen. (Auch wenn ich so manchmal bei dieser Thematik meinen grauen Kopf schütteln muss.)
Meine Frage, was du mit dem VPN erreichen willst, ist auch bei deinem Problem wirklich sachbezogen und ehrlich.
Beispiel: So mancher VPN-Nutzer glaubt immer noch daran, dass er mit einem VPN irgendeine Anonymität erreichen oder zumindest selbige verbessern kann.
Jetzt schreibst du, dass du den DNS-Server deines ISP nutzt => und damit könnte der ISP schon mitloggen, welche Seiten du aufrufst. Nun, nutzt du einen DNS, welchen dir der VPN-Provider bereitstellt, kann dieser mitloggen … .
Und wer der wohlklingenden Werbung irgendeines kommerziellen Providers glaubt, der glaubt auch, dass der Zitronenfalter Zitronen faltet.
Genau deshalb meine Frage. Wer unbedingt ein VPN nutzen will oder muss, der sollte sich selbst ganz genaue Ziele setzen, was er damit letztendlich erreichen will - und danach entweder seinen Provider aussuchen oder zumindest seine (die wenigen möglichen) Einstellungen entsprechend setzen. Wenn ich mich in einem solchen Thema melde, dann wirklich nur, um zu verhindern, dass ein gutgläubiger Nutzer in irgendeine Falle läuft.

 

[frank_m24]

Was mache ich falsch?

Vermutlich gar nichts. Wenn ein System mehrere DNS Server hat, werden die nicht als Fallback betrachtet, sondern die Anfragen werden auf alle verteilt. Folglich wird die Box (auch) die Provider DNS Server anfragen. Darüber hinaus nutzen viele Anwendungen keine System-DNS Server mehr, sondern eigene. Auch das kann bei DNS Leak Tests zu unerwarteten Ergebnissen führen.

 

[Benares]

Wenn ein System mehrere DNS Server hat, werden die nicht als Fallback betrachtet, sondern die Anfragen werden auf alle verteilt.

Bist du dir da sicher? Ich kenn das so, dass die anderen DNS-Server erst angefragt werden, wenn der primäre nicht erreichbar sein sollte.

 

[frank_m24]

In der Fritzbox definitiv nicht. Wenn man da 2 VPN Server eingetragen hat, wird mal der eine, mal der andere gefragt. Ich geh davon aus, das passiert auch bei VPN Verbindungen noch, obwohl ich es da noch nicht getestet habe.

 

[Soliph]

@frank_m24 Könnte es etwas bringen, IPv6 zu deaktivieren und den öffentlichen DNS-Server bei Störungen und in den Fritzbox-Einstellungen unter Internet -> Zugangsdaten -> DNS-Server manuell die den DNS4v-Server des VPN-Anbieters einzutragen? Allerdings wird dann meine Internetverbindung wahnsinnig langsam.