[Sammlung] Wireguard VPN von AVM ab FW 7.39

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
4,487
Punkte für Reaktionen
758
Punkte
113
So jetzt hier mal ein Sammelthema für Wireguard damit das nicht über 4 verschiedene 7.39er Themen verteilt wird.



 
Zuletzt bearbeitet:
Dann hier nochmal die Frage - bisherige Antworten auch
---
Mal eine Frage zu Wireguard und Verbindung FritzBox zu einem Wireguard Server.
Soweit ich jetzt quer gelesen habe kann man damit Handy und Co mit der FritzBox verbinden weil diese ein Wireguard Server bereitstellt.
Kann man damit auch eine FritzBox zu einem entfernten Wireguard Server verbinden?
Wenn ja wie und wo gebe ich die Daten ein.
---
Geht in der aktuellen Labor nicht.
Inhaus Version soll dies möglich sein -- Test meinerseits steht noch aus
 
Ich habe ein Problem mit wireguard.
Ich möchte von einem Android Handy per VPN auf IoBroker zu Hause zugreifen. Das funktioniert auch super solange ich mit dem Handy außerhalb des Heim Wlans bin. Hier funktioniert die Verbindung super und ich kann zugreifen.

Sobald ich mit dem Handy allerdings im Wlan der Fritzbox verbunden bin und wireguard zusätzlich aktiv ist, komme ich nicht mehr auf den IoBroker in meinem Heimnetz, weder per dns noch per IP-Adresse, teilweise wird im Browser dann timeout oder address not reachable angezeigt.
Externe Adressen, also z.b. www.google.de funktionieren aber problemlos.

Habt ihr eine Idee was hier schief läuft? Muss ich noch irgendetwas konfigurieren?
Ich möchte eigentlich der Einfachheit halber das VPN auch im Heimnetz aktiv haben.

VG
 
  • Like
Reaktionen: erik
Hier müsste der Mod die von mir gemachten screenshots zu den Einstellungen reinsetzen ...
 
Sobald ich mit dem Handy allerdings im Wlan der Fritzbox verbunden bin und wireguard zusätzlich aktiv ist
Warum baust du denn aus deinem Heimnetz einen Tunnel in dein Heimnetz auf? Das kann nur Routing Kuddelmuddel geben, kein Wunder, dass da unvorhergesehene Effekte auftreten. Das Android Handy hat plötzlich 2 Interfaces mit gleichen Zielrouten.
 
Wie gesagt, wenn man eine solche Konstellation baut, dann muss man mit Einschränkungen rechnen. Das ist bei IPv4 halt einfach nicht sauber gelöst. Mag nervig sein, aber da muss man dann im Zweifel den VPN Client deaktivieren, ggf. mit so Tools, die in Abhängigkeit vom Standort oder Netz automatisch Verbindungen auf- und abbauen.
 
@erik (und andere):

JA, meine Smartphones werden dauerhaft über das WG-VPN betrieben. Und JA, es funktioniert auch alles darüber und ich habe keinerlei Nachteile festgestellt. Ich bleibe also bei dem, was ich mal geschrieben habe.

ABER:
- ich betreibe meine VPN-Server auf externen Geräten, und
- ich weiß nicht, was AVM bis jetzt realisiert hat und zukünftig (im nächsten Release) realisieren wird.
- Und ich kann in der Open-WRT-Software sehr viele Einstellungen machen, wo ich nicht weiß, was davon im "AVM-Wireguard" möglich ist.
 
Verrätst du auch (vielleicht per PN) wie du es konfiguriert hast? Ich verwende auch openWRT, verzichte auf Masquerading, setze stattdessen in den beteiligten Routern statische Routen und seit ich das so mache, funktioniert es wie ich es will, mit den genannten Einschränkungen im Heimnetz bei Fritz App Fon. Auch IPv6 bekomme ich noch nicht durch den Tunnel, aber der Tunnel selbst wird rein über IPv6 aufgebaut.
 
Hallo @erik, Ich antworte lieber im Forum, denn dort gehört das IMHO hin.

Also ich habe meine WG-Server so konfiguriert, wie es einige Monate später in der c't in mehreren Artikeln beschrieben wurde. Besser kann ich das nicht beschreiben. Ich habe, glaube ich, schon mal die Quellen gepostet, kann es aber bei Bedarf gern noch einmal tun.

Für die Tunnel nutze ich jeweils einen anderen ULA-Bereich, welcher jeder F!B zugeordnet wurde (fd00:: bis fd07:: ) und jeweils einen eigenen IPv4-Bereich (192.168.20/21/22/... .0) Alle Tunnelendpunkte werden jeweils hochgezählt. (Also, selbst wenn mal alle Clients aktiv sein sollten, gibt es niemals eine Überschneidung und unter den Servern ohnehin nicht.)
Die ggw. acht beteiligten Router haben selbstverständlich einen unterschiedlichen IP-Bereich (mein eigener: 192.168.188.0) und alle WG-Server dann identisch die .200 (nur wegen der Übersichtlichkeit).

Auf allen WG-Servern und den WG-Clients wurde überall auf volle DS-Unterstützung geachtet. Also jeweils Schnittstellen für IPv4 und 6 angelegt und konfiguriert. Letzteres auch bei den DynDNS-Namen. Jede der 8 F!B und jeder der 8 WG-Server haben für IPv4 und 6 eine funktionierende Namensauflösung. Und dass auf den Servern ein eigener DDNS-Client läuft, erwähne ich nur der Vollständigkeit halber.
Und als erstes wurde diese Namensauflösung (IPv4 und 6) dann auch intensiv getestet.

In der F!B habe ich für die ankommende Erreichbarkeit (der externen WG-Server ...) jeweils für IPv4 und IPv6 Portweiterleitungen und Firewallöffnungen angelegt. Und für jeden Tunnel auch für einen anderen UDP-Port.

Weiterhin wurden in den 8 F!B auch jeweils statische Routen angelegt, für den jeweiligen Tunnel und das Hausnetz (soweit wie gewollt).
statische Routen.png
Die .188.200 ist in diesem Fall das Gateway, also mein WG-Server.

Auf den (ca. 25) Androiden des gesamten Netzes läuft die offizielle WG-App. Auch hier ist, wie im Screenshot erkennbar, überall die IPv4 und IPv6 eingetragen. Auch die meines pi-hole (oder der anderen DNS-Server), welcher selbstverständlich auch übers VPN funktioniert. (Das muss im pi-hole aber aktiviert werden, Standard ist: nur auf interne Anfragen …)
WireGuard_Android.jpg

Und dann läuft auf den Androiden der Familie noch die ganz normale (leider alte: 2.3.0) Fon-App.
Die (richtige) F!B wurde sofort angezeigt und (leider nur bei dieser alten Version) erfolgte auch sofort nach Eingabe der Auth.-Daten die Verbindung.
Es ist sogar möglich, mich über das VPN mit einer der anderen 7 F!B zu verbinden und zu telefonieren (was wir auch gerne machen, wenn wir mal "ungestört" sein wollen.)
Aber hier gibt es auf dem Androiden sonst keinerlei Änderungen, also nur die Standardkonfiguration.

Ich schlage deshalb noch einmal vor, bis zum Erscheinen der Releaseversion (7.50 ??) die Füße stillzuhalten. Nicht, dass dann alles "von alleine" funktioniert.

Und noch einmal in aller Deutlichkeit:
Ich habe das VPN wirklich dauerhaft aktiv, auch zu Hause im eigenen WLAN! Ich schalte für die Nacht grundsätzlich mein WLAN (mit dem Timer der F!B) ab und den Androiden in den Flugmodus (muss ja G.s.D. nicht mehr 24/7 erreichbar sein). Und am Morgen schalte ich zuerst den Flugmodus aus und den WG-Client kurz aus und dann gleich wieder ein. Letzteres lediglich wegen der sinnlosen Zwangstrennung bei meinem Provider. Und wenn ich mir mit ip a s das Netzwerk des Androiden ansehe, ist nichts "falsches" zu entdecken.


vy 73 de Peter
 

Anhänge

  • statische Routen.png
    statische Routen.png
    11.1 KB · Aufrufe: 66
Zuletzt bearbeitet:
Mein Problem ist, dass in den mir bekannten ct Artikeln nur Clients bzw. einzelne Geräte mit dem WG-Server verbunden werden. Ich will aber zwei Netze verbinden und zusätzlich noch einige Handys anbinden, die dadurch Zugriff auf beide Netze bekommen sollen.
Das habe ich momentan erreicht, aber ohne IPv6 im Tunnel und ohne Ton bei der Fon-App, wenn ich im Heimnetz bin. Mal sehen was in der ct noch zu finden ist.
 
Mein Problem ist, dass in den mir bekannten ct Artikeln nur Clients bzw. einzelne Geräte mit dem WG-Server verbunden werden.
WG zeichnet sich ja eigentlich dadurch aus, dass es keinen Unterschied zwischen Server und Client gibt. Die Verbindung ist bi-direktional gleichberechtigt, jeder WG Teilnehmer ist gleichzeitig Server und Client. Demnach gibt es immer nur eine oder mehrere Punkt-zu-Punkt Verbindungen zwischen zwei Teilnehmern. Verbindungen zwischen den Teilnehmern obliegt dann den Knoten mit mehreren gleichzeitigen Verbindungen.

Ich will aber zwei Netze verbinden und zusätzlich noch einige Handys anbinden, die dadurch Zugriff auf beide Netze bekommen sollen.
Das ist ausschließlich eine Frage der "Allowed IPs" in Wireguard, ob dort Netze oder Hosts erlaubt sind. Natürlich müssen die jeweiligen Teilnehmer in der Lage sein, den Datenverkehr entsprechend zu routen, wenn ein ganzes Netz übertragen werden soll. Und in den jeweiligen Zielnetzen muss der Weg ins VPN für alle Endgeräte klar sein, was besondere Bedeutung bekommt, wenn das VPN Gateway nicht auf dem Default Gateway residiert (Stichwort statische Routen).

Ich hab das übrigens genau so laufen. Zwei Netze sind über WG permanent miteinander verbunden, und es gibt mobile Clients, die sich von außen einwählen und Zugriff auf beide Netze haben.

Das habe ich momentan erreicht, aber ohne IPv6 im Tunnel und ohne Ton bei der Fon-App, wenn ich im Heimnetz bin.
Wie gesagt, bei den Konfigurationsmöglichkeiten auf aktuellen Smartphones halte ich es für nahezu ausgeschlossen, dafür eine befriedigende Lösung zu finden. Selbst auf einem Linux mit Root Rechten wäre ich mir nicht sicher, ob man das Routen-Setup passend hingebogen bekommt, um alle Eventualitäten abzufangen.
Die Lösung ist ganz klar Trennung der VPN Verbindung im Heimnetz.
 
  • Like
Reaktionen: erik
Könntet ihr bitte mal folgendes testen:

Wenn ich mein Handy über IPSec verbinde, funktioniert die Fritz!Fon-App und ich komme auch die FB-Oberfläche und werde nur nach dem Passwort gefragt. Auch der Rest (andere interne Geräte) oder Internet-Zugriff funktioniert.

Wenn ich das Handy aber über Wireguard verbinde, ist es leicht anders. Die Fritz!Fon-App funktioniert nicht mehr und bei der FB-Oberfläche bekomme ich einen Anmelde-Bildschirm mit Username und Passwort, wie wenn ich von extern käme. Der Rest funktioniert weiterhin.

Es ist auch egal, ob das Handy im heimischen WLAN hängt oder nicht, dieser Unterschied bleibt.

Ich habe Wireguard auch mal auf meinem heimischen PC installiert. Da ist das ebenso - Fritzbox-Anmeldescreen mit User-/Passwort. Leider kann ich da nicht von wirklich "extern" testen.

Hat jemand eine Erklärung für diesen Effekt?
 
Dann hier nochmal die Frage - bisherige Antworten auch
---
Mal eine Frage zu Wireguard und Verbindung FritzBox zu einem Wireguard Server.
Soweit ich jetzt quer gelesen habe kann man damit Handy und Co mit der FritzBox verbinden weil diese ein Wireguard Server bereitstellt.
Kann man damit auch eine FritzBox zu einem entfernten Wireguard Server verbinden?
Wenn ja wie und wo gebe ich die Daten ein.
---
Geht in der aktuellen Labor nicht.
Inhaus Version soll dies möglich sein -- Test meinerseits steht noch aus
Hi,

ja klar geht es eine Verbindung zu einem anderen Server herzustellen.

Und zwar war es kurzfristig wohl deaktiviert, aber seit der 94100 Inhaus etwa ist wieder eine Lan2Lan Verbindung möglich. Einfach auf der Fritze, die eine Verbindung zu einem Server herstellen soll, eine "normale" Kofiguration einlesen lassen und fertig. (Kann bestimmt irgendwie über die original WG Software erstellt werden.) (Oder auch von der Fritze übernehmen und modifizieren.)

Eigentlich wie mit der Gegenseite beim Erstellen der WG Verbindung.

Dabei ist denke ich an folgendes zu beachten: Wenn ihr eine Lan2LAn verbindung plant, dann sollte die Box mit einer echten IPv4 als Server eingerichtet werden. Soll heissen, ihr erstellt auf der ersten (Server Box) Fritze die Config, kopiert sie, speichert sie evt. irgendwo, und tragt sie dann auf dem anderen Gerät ein.

Warum? Solltet ihr eure Private IP z.B. 192.168.x.x oder eine Mobilfunk IP von O2 als Server einstellen wollen, vermute ich sehr stark, daß es bestimmt nicht funktionieren wird, weil nicht erreichbar. (bei anderen Anbietern kann es anders sein.) Ich vermute mal mit DS-Lite ist es ähnlich. Aber funktionert vielleicht über IPv6.

IPv6 habe ich bisher nicht testen können.
 
Ich habe ein Problem mit wireguard.
Ich möchte von einem Android Handy per VPN auf IoBroker zu Hause zugreifen. Das funktioniert auch super solange ich mit dem Handy außerhalb des Heim Wlans bin. Hier funktioniert die Verbindung super und ich kann zugreifen.

Sobald ich mit dem Handy allerdings im Wlan der Fritzbox verbunden bin und wireguard zusätzlich aktiv ist, komme ich nicht mehr auf de

was hier schief läuft? Muss ich noch irgendetwas konfigurieren?
Ich möchte eigentlich der Einfachheit halber das VPN auch im Heimnetz aktiv haben.

VG
So ähnlich habe ich es auch festgestellt.
einfach daheim wg abschalten, dann funktioniert es bestimmt wieder.

Sind wohl bestimmt routing probleme
 
Aber darum geht's ja hier, nicht um Wireguard selbst, sondern um die AVM-Implementierung davon.
Was wir nicht jetzt aufdecken, wird uns auch in die 7.50-Final folgen.
 
Schaut doch nach der Anmeldung mal in die Ereignisse. Bei mir steht, wenn ich im Heimnetz bin, Anmeldung von 192.168.11.x erfolgreich. Komme ich über wireguard, steht da die tatsächliche IP meines PC im anderen Netz, das ist bei mir 192.168.2.x oder wenn es das Handy ist, steht da die IP des Handys im Wireguard-Netz, bei mir 192.168.20.x. Die Fritzbox verteilt dafür wohl 10.x.x.x Adressen. Wenn ein Client aus einem anderen Subnetz kommt, behandelt ihn die Fritzbox als "Anmeldung aus dem Internet".
 
Ich habe ein Problem mit wireguard.
Ich möchte von einem Android Handy per VPN auf IoBroker zu Hause zugreifen. Das funktioniert auch super solange ich mit dem Handy außerhalb des Heim Wlans bin. Hier funktioniert die Verbindung super und ich kann zugreifen.

Sobald ich mit dem Handy allerdings im Wlan der Fritzbox verbunden bin und wireguard zusätzlich aktiv ist, komme ich nicht mehr auf den IoBroker in meinem Heimnetz, weder per dns noch per IP-Adresse, teilweise wird im Browser dann timeout oder address not reachable angezeigt.
Externe Adressen, also z.b. www.google.de funktionieren aber problemlos.

Habt ihr eine Idee was hier schief läuft? Muss ich noch irgendetwas konfigurieren?
Ich möchte eigentlich der Einfachheit halber das VPN auch im Heimnetz aktiv haben.

VG
Hoppla, mit der neuen Firmware die heute Nacht installiert worden ist (07.39-94458 BETA) funktioniert es nun plötzlich.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,361
Beiträge
2,250,846
Mitglieder
374,014
Neuestes Mitglied
flindiesel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.