[Sammlung] Wireguard VPN von AVM ab FW 7.39

[frank_m24]

Bei den Clients habe ich folgendes: 192.168.178.0/24, 0.0.0.0/0

Ja. Wobei man nur einen der beiden Einträge braucht. Bei 192.168.178.0/24 kann der Client nur aufs Heimnetz zugreifen, bei 0.0.0.0/0 geht auch der Internetverkehr durch den Tunnel. Deshalb kann man einen Eintrag löschen.

 

[lets_see]

Und für die Deaktivierung des allein zukunftsfähigen IPv6 hast du auch bestimmt einen guten Grund?
[Edit Novize: Überflüssiges Fullquote auf relevanten Teil reduziert - siehe Forumsregeln]

Ja, hab ich. Den Aufwand. War bisher immer deaktiviert und ich brauche es aktuell nicht. Never change a running System. Wenn ich es brauche aktiviere ich es.

 

[genuede]

Hatte früher 3 Fritzboxen mit IPsec lan2lan gekoppelt. Da eine der Boxen eine Reisebox war, konnte ich immer über den Gastnetzzugang einer der zwei anderen Boxen testen. Dies ist mit Wireguard nicht mehr möglich. Konfiguration ist aber in Ordnung, da es über den mobilen Hotspot des Smartphones funktioniert. Es baut sich einfach kein Tunnel von der Reisebox mehr auf.

Jemand eine Idee? Warum anderes Verhalten zwischen IPsec und Wireguard?

 

[sayhellotoadele]

Bild(er) als Vorschaubild(er) (siehe https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ ) eingebunden by stoney

Kann mir jemand erklären warum das Erstellen einer Wireguard Verbindung auf der FB 7530 (eigentlich eine 7520) nicht funktioniert? Installiert ist FRITZ!OS: 7.56

 

[genuede]

@sayhellotoadele: Bist du direkt an der Box? Oder Fernzugriff? Beim Einspielen wurde - zumindest bei mir - die DSL-Verbindung immer neu aufgebaut. Daher flog während des Einspielens der Config die Verbindung weg! Habe die Config dann immer auf USB-Stick kopiert und auf die jeweilige Box lokal aufgespielt!
Gruß Gerhard

 

[sayhellotoadele]

@sayhellotoadele: Bist du direkt an der Box? Oder Fernzugriff?

Ja Fernzugriff via DynDNS. Das war auch das Problem, danke für den Tipp!

Über die lokale Verbindung hat das Setup jetzt funktioniert.

Interessant ist auch, dass man sich sehr strikt an diese Anleitung halten muss:

WireGuard-VPN zur FRITZ!Box am Smartphone oder Tablet einrichten | AVM Deutschland

Richten Sie Ihre VPN-Verbindung vom Smartphone oder Tablet zur FRITZ!Box ganz einfach und kostenlos über WireGuard ein - egal ob Android oder iOS.

avm.de

Sonst funktioniert überhaupt nichts.

 

[stoney]

Interessant ist auch, dass man sich sehr strikt an diese Anleitung halten muss:
....
Sonst funktioniert überhaupt nichts.

Und das wundert Dich jetzt? Wozu sollte es denn sonst solche Anleitungen geben, wenn man diese nicht ganz genau befolgt?

 

[sayhellotoadele]

Und das wundert Dich jetzt? Wozu sollte es denn sonst solche Anleitungen geben, wenn man diese nicht ganz genau befolgt?

Verwundert hat mich, dass

a) nicht beschrieben wurde, dass die Einrichtung des Wireguard oder IPSec Zugangs nicht via DynDNS bzw. Fernzugriff Zugriff möglich ist. Der Zugang wird zwar eingerichtet und scheint aktiviert, in Wahrheit ist aber nutzlos da er nicht funktionsfähig ist. Hat mich mindestens 1 Stunde gekostet das selbstständig bzw. durch @genuede herauszufinden.
b) Der myFRITZ Zugang zwingend aktiviert werden muss, obwohl bereits DynDNS eingerichtet ist.

 

[stoney]

zu a) muss ich Dir Recht geben, dass so (aktuell) nicht aufgezeigt wird - es wäre sicherlich auch für viele andere User wertvoll, dass Du dies an AVM kommunizierst, sodass die Anleitungen diesbezüglich optimiert werden, damit es zB direkt in den Voraussetzungen/Einschränkungen genannt wird

FRITZ!Box Supportanfrage

Kontaktieren Sie unser kompetentes FRITZ!Box-Support-Team per Email über unser Supportformular.

avm.de

zu b) steht es allerdings in der Anleitung direkt bei 1 MyFRITZ einrichten - falls es (aktuell) bereits auch über einen anderen ddns Anbieter funktionieren würde dies sicherlich als Alternative mit angegeben sein (dies ist imho sogar möglich, allerdings nicht OutOfTheBox - dazu muss man soweit ich es im Hinterkopf habe, die Konfig(s) vorher manuell bearbeiten und (erneut) einspielen)

 

[cos77]

a) erschliesst sich doch automatisch wenn b) voraussetzung ist.
aber ja, man kann es deutlicher machen und manchmal muss man die anleitungen mehr mals genauer durchgehen

 

[Profanta]

b) Der myFRITZ Zugang zwingend aktiviert werden muss, obwohl bereits DynDNS eingerichtet ist.

Das stimmt nicht. Ich habe die WG-Verbindung(en), PC zu von mir betreuten Fritzboxen, nur mittels eines externen Dyn-DNS Dienstes eingerichtet.,

 

[cos77]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Hat AVM die Anleitungen aktualisiert?
Ich könnte schwören, dass MyFritz Zwang war.

 

[Profanta]

Hat AVM die Anleitungen aktualisiert?

Sieht ganz danach aus. Als ich die ersten WG-Einrichtungen (mit Erscheinen der 7.50 für die 7590 bzw. 7520) durchgeführt habe, stand in den Anleitungen noch (sinngemäß): MyFritz oder ein anderer DynDNS Dienst.
Auch habe ich damals - ich glaube es war die 7590 die schon einen IPSec Zugang hatte - den WG-Zugang über den IPSec zugang einrichten können.

 

[knutmail]

Hallo, ich habe mich die Tage auch mal bei meiner Fritzbox mit 7590 Wiregurad konfiguriert.
Der VPN Tunnel kann unter meinem Windows Rechner und auch auf meinen iOS Gerten aufgebaut werden, nur unter iOS
ich bei aufgebauten Tunnel nicht auf die fritz.box oder andere lokalen LAN Geräte, somit vermute ich der Tunnel steht nicht korrekt.
Kennt jemand dieses Problem?
Es scheint der VPN Tunnel auf gar nicht korrekt aufgebaut zu werden, unter der Fritzbox ist dieser nicht grün.

 

[eDonkey]

Auch habe ich damals - ... - den WG-Zugang über den IPSec zugang einrichten können.

Meine Empfehlung: Unter WireGuard einen "Dummy" anlegen, damit die Box die Schlüssel generiert, diesen kann man deaktivieren, aber nicht löschen, da die Box nach dem löschen der letzten Wireguard-Verbindung die Schlüssel verwirft. Dann mit der Syntax der Wireguard-Verbindung als importierbare Config auseinandersetzen und erzeugen (auch mit eigenem DynDNS Eintrag). Diese kann man dann über den IPSec-Import (!?!) importieren. Anders als beim Import von IPSec-Configs werden bestehende WireGuard-Verbindungen NICHT überschrieben, sondern zusätzlich, mit gleichem (!) Namen eingefügt. Deshalb lösche ich die zu ersetzenden WireGuard-Verbindungen erst, und deshalb der "Dummy".

 

[zap-o-post]

Hallo ich habe in meinem Heimnetz mehrere VLANs laufen. Entsprechende Routen auf der Fritzbox 7530 sind vorhanden. Wenn ich Wireguard nutze kann ich damit auch in die anderen Netze gelangen.
Nun möchte ich auch eine Wirecard config anlegen, womit der Client nur in ein bestimmtes VLAN gelangen darf. Im Heimnetz bekommt der Client eine IP aus dem entsprechenden VLAN und gut ist.
Ich habe schon versucht, die clientconfig unter windows so anzupassen, dass eine IP aus dem anderen VLAN vergeben wird. VPN wird aufgebaut, aber es ist kein Traffic möglich.
Was könnte ich tun, damit bestimmte VPN Clients nur in ein bestimmtes VLAN dürfen?

 

[frank_m24]

Allowed IPs anpassen.

 

[zap-o-post]

Allowed IPs anpassen.

Ich habe mich vielleicht etwas unglücklich ausgedrückt...
Der Client soll eine IP aus dem anderen VLAN erhalten. Wenn man das über Allowed IPs regelt passt das routing teilweise nicht.
Da schlimmste scheint mir aber, dass der der Client die "Allowed IPs" jederzeit überschreiben könnte. Wie kann man das verhindern?

 

[frank_m24]

Der Client soll eine IP aus dem anderen VLAN erhalten.

Der Client braucht zwangsläufig eine IP aus dem Transportnetz des VPNs. Das ist bei Wireguard zwingend Bestandteil der Konfiguration. Wenn du eine Fritzbox als Wireguard Knoten verwendest, dann ist das Transportnetz zwangsläufig das LAN Netz der Fritzbox. Das kann bei anderen Wireguard Apps anders sein, aber in der Fritzbox ist es so implementiert.

Das sind also die Voraussetzungen. An denen kommst du nicht vorbei. Alles Weitere musst du übers Routing, also über die Allowed IPs regeln.

Wenn man das über Allowed IPs regelt passt das routing teilweise nicht.

Wieso das?

Da schlimmste scheint mir aber, dass der der Client die "Allowed IPs" jederzeit überschreiben könnte. Wie kann man das verhindern?

Gar nicht. Aber spielt das in deinem Setup eine Rolle? Denn grundsätzlich muss man natürlich sagen: Das Netz erst über VLANs zu trennen und dann wieder statische Routen einzurichten, damit sich die einzelnen Segmente erreichen können, ist in etwa so, wie einen Zaun bauen ohne Zaunlatten. Heißt: Den Aufwand kann man sich sparen. Folglich kannst du in der Konstellation auch einen VPN Client nicht aussperren, da dir die lokalen Mittel der Zugriffssteuerung dafür fehlen. Entweder vertraust du dem VPN Client, oder du musst die VLANs in deinem Heimnetz wirklich sauber trennen. Wenn du dann VPN Zugriff auf verschiedene VLANs brauchst, heißt das auch, ein Wireguard Knoten pro VLAN. Mit einer Fritzbox bekommst du das auch nicht hin, dafür musst du schwereres Geschütz auffahren.

 

[Shaco341]

Hallo,

weiß von euch jemand, wie man auf beiden Seiten in der FritzBox den Endpunkt eintragen kann?
Auf jeweils einer Seite ist bei mir der Endpunkt leer. Was ja bedeutet, dass die Verbindung bei Trennung nur von der Seite aufgebaut werden kann, wo der Endpunkt eingetragen ist.

Manuell editieren kann man die Verbindungen ja leider nicht, da die Einstellungen ausgegraut sind.

Danke und Grüße
Daniel