[Sammlung] Wireguard VPN von AVM ab FW 7.39

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo @Nagra!

Grundsätzlich kann Wireguard mehrere VPN-Tunnel aufbauen und verwalten. Mein eigenes Netz besteht aus ggw. acht (!) externen weit verteilten VPN-Servern (umgeflashte 4040 und 7412) und baut somit 7 verschiedene Tunnel auf. Also, "Wireguard" kann das schon! Auch das Importieren mehrerer Konfigurationen aus exportierten Profilen.
Ob es das neue "AVM-Wireguard" auch kann, weiß wohl von uns hier noch niemand. Die meisten sind froh, wenn sie darüber überhaupt schon eine Verbindung zustande bringen ... .

Mein Vorschlag:
Eine aktuelle Sicherung deiner Konfigurationen und des/der WG-Profile durchführen und einfach selbst mal testen. Wenn du das alles richtig planst und durchführst, kannst du ja bei einem Fehlschlag ganz schnell wieder zum funktionierenden Setup zurück.
Da ich mich persönlich ggw. (noch) nicht mit dem "AVM-Wireguard" befassen will, kann ich dir auch nicht sagen, ob es hier möglich ist, unterschiedliche udp-Ports für die Tunnel zu vergeben. Zumindest musst du ja den entsprechenden Port deines VPN-Providers realisieren.

vy 73 de Peter
 
  • Like
Reaktionen: Nagra
Habe gerade versucht ein site to site VPN (Wireguard) zwischen 6690 und der 7590 mit der neusten Labor ( bei beiden) einzurichten.....
Kein Erfolg.
Funktioniert es aktuell noch nicht, oder mache ich was falsch?

6690:
- Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? = nein
- Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden? = ja
- Soll die Einstellungsdatei der Gegenstelle importiert und automatisch um die neue Verbindung erweitert werden? = nein
- WireGuard-Einstellungen anzeigen (7590) und in die Maske (6690) Kopieren
- Fertigstellen
- Einstellungen speichern

7590:
- Verbindung hinzufügen
- Benutzerdefinierte Einrichtung
- Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? =ja
- Name der WireGuard®-Verbindung = x
- Datei auswählen = gespeicherte Einstellungen der 6690
- Fertigstellen

?

Grüsse
Peter
 
Die exportierte Einstellungsdatei der 6690 ist deren eigene. Erstelle mit der 7590 ebenfalls so eine Datei und vergleiche mal. Eigentlich kann man daraus erschließen, wo man welchen Schlüssel eintragen muß und welche Einstellungen über kreuz nötig sind. Dann beide Verbindungen löschen und die angepassten Dateien importieren.
 
Müssen denn "Öffentlicher Schlüssel" und "Vereinbarter Schlüssel" auf beiden Boxen übereinstimmen?
 
Ok, da scheint wohl der Wurm drin zu sein.
Mit der Letzten Beta hat die VPN Verbindung zwischen 6690 und 7590 wunderbar funktioniert....jetzt habe ich es nach vielen Versuchen nicht geschafft.

Hat jemand von euch zwei Fritzboxen mit der aktuellsten Beta über Wireguard verbunden?
 
Hier x die Config beider Boxen:

6690 FRITZ!OS:07.39-96998 Inhaus (internet Adresse sc1kq9..........myfritz.net:53...)
[Interface]
PrivateKey = eHBeXi0p/............=
ListenPort = 53...
Address = 192.168.181.1/24
DNS = 192.168.181.1,192.168.199.1
DNS = fritz.box
[Peer]
PublicKey = Z/Fad6P5LwNoR...........=
PresharedKey = iEBnlpMOVh.....................=
AllowedIPs = 192.168.199.0/24
PersistentKeepalive = 25


7590 FRITZ!OS:07.39-96975 BETA
[Interface]
PrivateKey = oEXvatOHy.......=
ListenPort = 50189
Address = 192.168.199.1/24,192.168.199.1/24
DNS = 192.168.199.1,192.168.181.1
DNS = fritz.box

[Peer]
PublicKey = 23Z6NydG................=
PresharedKey = iEBnlpMOV...................=
AllowedIPs = 192.168.181.0/24
Endpoint = sc1kq9.............myfritz.net:53...
PersistentKeepalive = 25


Vielleicht habe ich ja doch noch n groben Fehler drin?
 
Der PresharedKey muß übereinstimmen. Der PrivateKey ist für jede Box einmalig, allerdings muß der PublicKey in der Config der anderen Box immer aus dem PrivateKey des Verbindungspartners errechnet worden sein.
 
Bei openWRT kann man den eintragen, muß es aber nicht. Das soll wohl die Sicherheit zusätzlich erhöhen. Zu probieren wäre, ob sich zwei Fritzboxen verbinden, wenn man den PresharedKey aus der Config-Datei rauslöscht. Bei meiner Testbox habe ich den drin gelassen und beim Raspi, der als Verbindungspartner dient, habe ich ihn eingetragen. Die anderen Peers des Raspi laufen ohne PresharedKey.

Das schöne beim OpenWRT ist, dass man über die Weboberfläche Luci einen PrivateKey erzeugen lassen kann und dann im Status den dazugehörigen PublicKey angezeigt bekommt. Damit habe ich die von der Fritzbox erzeugten Keys zugeordnet, um vernünftige Config-Dateien für Fritzbox und Raspi zu erzeugen. Ich weiß, dass das auch über die Konsole geht, mit Windows und Copy & Paste ist Webkonfiguration aber bequemer.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Micha0815
Hab den PresharedKey rausgelöscht.....kein Erfolg.
Mit den heutigen Beta-Versionen auch kein Erfolg.
 
Zuletzt bearbeitet:
Wenn ich das richtig verstehe, muß der Private-Key aus Box 1 in den Public-Key Box 2 eingetragen werden und der Private-Key aus Box 2 in den Public-Key Box 1.
Der Preshared-Key muß in beiden Boxen identisch sein.

Das Setup aus #68 wäre also fehlerhaft, da die Keys falsch zugeordnet sind.
 
Jetzt läuft es! Hab in der 7590 die IPv6-Unterstützung in den Zugangsdaten ausgeschaltet.
 
Wie gesagt, "wenn ich das richtig verstehe ...". Wenn ich falsch liege, möge man mich korrigieren.
Ich nahm an, dass jede Box den Public-Key der jeweiligen Gegenstelle nutzt, um den Traffic auf der entsprechenden Strecke zu verschlüsseln und die empfangenen Datenpakete jeweils mit dem eigenen "Private"-Key zu entschlüsseln.

Um B612's Frage aus #74 zu beantworten ... ah ... ok, mein Fehler, bin in der Zeile verrutscht. Auf den ersten Blick sah es aus, als wäre der Private-Key der ersten Box als Preshared-Key der 2. Box eingetragen.
 
Um es noch mal richtigzustellen: Der aus dem PrivateKey der ersten Box errechnete PublicKey muß bei Box 2 eingetragen werden und umgekehrt. Der PrivateKey sollte die Box aus Sicherheitsgründen nicht verlassen.
 
  • Like
Reaktionen: H´Sishi
Die (sorry!) "kastrierte" AVM-Version von WireGuard baut ja letztendlich auf das "WireGuard" von Jason Donenfeld auf. Im Unterschied zum originalen WireGuard auf OpenWrt ist das "AVM-WireGuard" letztlich nur in seinen Konfigurationsmöglichkeiten mehr oder weniger beschränkt worden, damit auch unbedarfte Nutzer ("interessierten Laien") damit umgehen können.
Trotzdem möchte ich gerade interessierten Laien, welche das "AVM-WireGuard" nutzen wollen, sehr ans Herz legen, die Originaldokumentationen von WireGuard als Wissensquelle heranzuziehen. Auch die von mir mehrfach geposteten Quellen aus der c't sind dazu sehr gut geeignet.
Viele Probleme und viele Fragen, welche hier im Forum gepostet werden, könnten die User dann selbst lösen. Außerdem ist selbst erworbenes Wissen immer "besseres Wissen"!

vy 73 de Peter

edit: Tappfühler korrigiert ;-)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: H´Sishi und Micha0815
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 836 (Mitglieder: 25, Gäste: 811)

Neueste Beiträge

Statistik des Forums

Themen
246,159
Beiträge
2,247,089
Mitglieder
373,679
Neuestes Mitglied
wt-77
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück