PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Er importiert die von einer anderen Box erstellte Konfiguration für ein "Einzelgerät" in seine zweite Box und läßt sich dort (in diese importierte
Ein Szenario, was bei AVM so gar nicht geplant sein dürfte, wenn man sowohl in der Online-Hilfe (https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/avm/021/hilfe_wireguard) als auch in den jeweils beim Import angezeigen Seiten liest und dabei auch das "Kleingedruckte" nicht ignoriert, was sich immer hinter dem kleinen
Da es bei WireGuard® nun mal keinen syntaktischen Unterschied zwischen einer Konfiguration für den "Server" (definieren wir das mal als einen Endpoint, hinter dem sich ein ganzes Netzwerksegment befindet) und der für einen "Client" (hier definieren wir mal ein einzelnes Gerät, was seinerseits die WireGuard®-Verbindung mit niemandem teilt bzw. in diesem Falle dann NAT auf die eigene (VPN-)Adresse machen würde) gibt, läßt sich halt auch die falsche Konfiguration bei diesem Vorgehen importieren ... einer importierten Konfiguration sieht man es im
Was ich aber generell in der Online-Hilfe von AVM spannend finde ... nach den dort enthaltenen Texten:
unterstützt WireGuard® bei AVM gar keinen IPv6-Traffic INNERHALB des Tunnels.
Per se kann WireGuard® natürlich auch IPv6-Pakete per Tunnel durch die Gegend schicken ... nur bei der AVM-Implementierung dann doch nicht? Ich habe es noch nicht probiert ... aber wenn das stimmen sollte, was da in der Hilfe steht, muß man schon (sofern man wirklich sicher sein und auch keinen IPv6-Traffic in unsicheren Umgebungen "leaken" will) IPv6 deaktivieren auf seinem Client, wenn man eine vom FRITZ!OS generierte Konfiguration verwendet. Wobei mich auch mal interessieren würde (aber auch das nur theoretisch und ohne eigenen Antrieb, das jetzt GENAU auszutesten - ich wüßte ja noch nicht einmal, wie man das anstellen sollte), was die FRITZ!Box mit IPv6-Traffic anstellt, der dann doch (entgegen einer automatisch erstellten Konfiguration, denn das kann man ja auch "von Hand" nachbearbeiten) über den WireGuard®-Tunnel eintrifft. Der kann ja sowohl für lokale Ziele sein, als auch für "das Internet", wenn die Zieladresse auf der WAN-Seite der FRITZ!Box zu finden ist.
Da gäbe es ja mehrere Optionen, wie man reagieren kann ... von "unreachable" bis "administratively down" oder auch schlichtes Droppen der Pakete. Jedenfalls habe ich diese EXPLIZITE Aussage, daß IPv6-Traffic NICHT über die WireGuard®-Verbindung geroutet wird (und das verstehe ich so, daß es auch bei Wahl von
wg_config.conf
) noch eine weitere Verbindung einbauen (ob als LAN-LAN-Verbindung zur ersten Box oder erneut nur als einzelnes Gerät, verstehe ich auch nicht so richtig - ich tippe anhand der gezeigten Konfiguration auf letzteres, wegen der beiden IP-Adressen in Address = 192.168.20.201/24,192.168.40.201/24
) und erwartet dann, daß die dabei erzeugte wg_config.conf
am Ende auf dem Gerät, welches als "road warrior" fungiert, für eine Verbindung zu BEIDEN FRITZ!Boxen tauglich wäre (so habe ich das jedenfalls verstanden).Ein Szenario, was bei AVM so gar nicht geplant sein dürfte, wenn man sowohl in der Online-Hilfe (https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/avm/021/hilfe_wireguard) als auch in den jeweils beim Import angezeigen Seiten liest und dabei auch das "Kleingedruckte" nicht ignoriert, was sich immer hinter dem kleinen
i
im blauen Kreis verbirgt - der läßt sich ja tatsächlich auch anklicken und offenbart dann zusätzlichen "Erklärtext". Ich finde in der (Online-)Hilfe jedenfalls bei keinem beschriebenen Szenario der Einrichtung für ein "Einzelgerät" irgendeinen Hinweis darauf, daß man bei der "Abarbeitung" der Anweisungen irgendwo eine (fremde) Konfigurationsdatei importieren soll (jedenfalls nicht auf der FRITZ!Box, max. die erzeugte Konfiguration auf dem Einzelgerät).Da es bei WireGuard® nun mal keinen syntaktischen Unterschied zwischen einer Konfiguration für den "Server" (definieren wir das mal als einen Endpoint, hinter dem sich ein ganzes Netzwerksegment befindet) und der für einen "Client" (hier definieren wir mal ein einzelnes Gerät, was seinerseits die WireGuard®-Verbindung mit niemandem teilt bzw. in diesem Falle dann NAT auf die eigene (VPN-)Adresse machen würde) gibt, läßt sich halt auch die falsche Konfiguration bei diesem Vorgehen importieren ... einer importierten Konfiguration sieht man es im
Interface
-Abschnitt beim Parameter Address
eben auch nicht mehr an, ob es sich um ein entferntes Netz oder nur um ein einzelnes Gerät handelt.Was ich aber generell in der Online-Hilfe von AVM spannend finde ... nach den dort enthaltenen Texten:
bzw. auchDas Mobilgerät leitet zusätzlich alle IPv4-Internetanfragen über die VPN-Verbindung
an Ihre FRITZ!Box weiter. So können Sie in öffentlichen WLAN-Hotspots sensible Dienste wie E-Mail oder
Online-Banking genauso sicher nutzen, als wären Sie zuhause direkt per WLAN mit Ihrer
FRITZ!Box verbunden. IPv6-Internetanfragen werden nicht über die VPN-Verbindung geleitet.
(aus den beiden Hilfe-Seiten für die Verbindungen mit "Einzelgeräten")Der Computer leitet zusätzlich alle IPv4- Internetanfragen über die VPN-Verbindung
an Ihre FRITZ!Box weiter. So können Sie in öffentlichen WLAN-Hotspots sensible Dienste wie z. B. E-Mail
oder Online-Banking genauso sicher nutzen, als wären Sie zu Hause direkt per WLAN
mit Ihrer FRITZ!Box verbunden. IPv6-Internetanfragen werden nicht über die VPN-Verbindung geleitet.
unterstützt WireGuard® bei AVM gar keinen IPv6-Traffic INNERHALB des Tunnels.
Per se kann WireGuard® natürlich auch IPv6-Pakete per Tunnel durch die Gegend schicken ... nur bei der AVM-Implementierung dann doch nicht? Ich habe es noch nicht probiert ... aber wenn das stimmen sollte, was da in der Hilfe steht, muß man schon (sofern man wirklich sicher sein und auch keinen IPv6-Traffic in unsicheren Umgebungen "leaken" will) IPv6 deaktivieren auf seinem Client, wenn man eine vom FRITZ!OS generierte Konfiguration verwendet. Wobei mich auch mal interessieren würde (aber auch das nur theoretisch und ohne eigenen Antrieb, das jetzt GENAU auszutesten - ich wüßte ja noch nicht einmal, wie man das anstellen sollte), was die FRITZ!Box mit IPv6-Traffic anstellt, der dann doch (entgegen einer automatisch erstellten Konfiguration, denn das kann man ja auch "von Hand" nachbearbeiten) über den WireGuard®-Tunnel eintrifft. Der kann ja sowohl für lokale Ziele sein, als auch für "das Internet", wenn die Zieladresse auf der WAN-Seite der FRITZ!Box zu finden ist.
Da gäbe es ja mehrere Optionen, wie man reagieren kann ... von "unreachable" bis "administratively down" oder auch schlichtes Droppen der Pakete. Jedenfalls habe ich diese EXPLIZITE Aussage, daß IPv6-Traffic NICHT über die WireGuard®-Verbindung geroutet wird (und das verstehe ich so, daß es auch bei Wahl von
Gesamten Netzwerkverkehr über die VPN-Verbindung senden
dabei bleibt), so bisher auch noch nirgendwo gelesen ... oder zumindest keine Diskussionen mitbekommen, welche Konsequenzen das am Ende hat, wenn ein "Einzelgerät" dann doch beide IP-Adressierungen verwendet und ggf. sogar IPv6 präferiert wird (das läßt sich bei den meisten OS ja einstellen). Da kann man dann das "Verstecken" des eigenen Traffics (z.B. vor dem Betreiber eines unsicheren Hotspots) vergessen, wenn es um IPv6-Traffic geht.