FB 7583: Wireguard will nicht

[V10lator]

Mein Anbieter hat auf DSLite umgestellt. Nun habe ich leider ein paar Spielekonsolen welche ohne öffentliche IPv4 nicht funzen also dachte ich mir ich bin schlau und benutze Wireguard um die Konsolen über meinen Server online gehen zu lassen.

Die wireshark config auf dem Server sieht so aus:

[Interface]
Address = 10.0.0.1/24
SaveConfig = false
PreUp = modprobe wireguard
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = [SNIP]

[Peer]
PublicKey = [/SNIP]
AllowedIPs = 192.168.178.0/24
PersistentKeepalive = 25

Das hier habe ich an die FRITZ!Box verfüttert:

[Interface]
Address = 192.168.178.1/24
PrivateKey = [SNIP]

[Peer]
PublicKey = [SNIP]
AllowedIPs = 0.0.0.0/0
Endpoint = [[SNIP]]:51820
PersistentKeepalive = 25

Die Box zeigt eine Verbindung, auch der Server sieht eine:

# wg show
interface: wg0
 public key: [SNIP]
 private key: (hidden)
 listening port: 51820

peer: [SNIP]
 endpoint: [[SNIP]]:52034
 allowed ips: 192.168.178.0/24
 latest handshake: 2 minutes, 31 seconds ago
 transfer: 1.68 KiB received, 10.29 KiB sent
 persistent keepalive: every 25 seconds

Aber die Box routet nicht darüber: Schneide ich "Schnittstelle 1 ('avm-wg')" oder "wg0" auf der Fritte mit erhalte ich nur 0 byte files. Tracerouts zeigen das IPv4 über die normale Verbindung geht, nich via Wireguard.

So sieht das ganze dann noch auf der Box aus:

[Edit Novize: Riesenbild auf Vorschau verkleinert - siehe Forumsregeln]

Was mache ich falsch?

 

[V10lator]

Fur alle mit dem selben Problem: Auf dem Server darf nicht nur das Subnet der FRITZ!Box erlaubt sein, das WireGuard interne Netz muss ebenso:

AllowedIPs = 10.0.0.0/24,192.168.178.0/24

Zwischenzwitlich wurde viel getestet, deswegen hier nun nochmal die endgültigen configs. Zuerst vom Server:

[Interface]
Address = 10.0.0.1/24
SaveConfig = false
PreUp = modprobe wireguard
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = [SNIP]

[Peer]
PublicKey = [SNIP]
AllowedIPs = 10.0.0.0/24,192.168.178.0/24
PersistentKeepalive = 25

Und die Box:

[Interface]
PrivateKey = [SNIP]

[Peer]
PublicKey = [/SNIP]
AllowedIPs = 10.0.0.0/24,0.0.0.0/0
Endpoint = [[SNIP]]:51820
PersistentKeepalive = 25

Ja, das ist alles. Die restlichen Werte fügt die FRITZ!Box automatisch dazu.

Riesenbild auf Vorschau verkleinert - siehe Forumsregeln

Forumsregeln:

5.12 Beim Hochladen von Images möglichst eine Anzeige als Thumbnails/Miniaturansicht/Vorschaubild auswählen.

Wenn ich nun aber ein Bild copy&paste, so skaliert eure Forensoftware das automatisch zum Textfluss passend (sowohl auf Desktop als auch auf Mobile passt das Bid dann magisch). Auswählen kann ich da garnichts! Also war es mir nicht möglich die Anzeige auszuwählen und das "Riesenbild" war überhaupt nicht riesig sondern immer an das Ausgabegerät / die Bildschirmauflösung angepasst.

//EDIT: Zu früh gefreut: Nach einem reboot geht wieder nichts...

//EDIT²: Jetzt geht es mal nach einem reboot aller beteiligten Komponenten, mal nicht. Was zur Hölle ist da los und wie bekomme ich das stabil?

 

[NDiIPP]

Auswählen kann ich da garnichts! Also war es mir nicht möglich die Anzeige auszuwählen […]

https://www.ip-phone-forum.de/threa...-über-das-einbinden-übergroßer-bilder.310858/
https://www.ip-phone-forum.de/threa...llbilder-in-den-beiträgen.309136/post-2407363

 

[V10lator]

Nach 'nem Monat mal ein Update:
Ich hatta mich mit AVM in Verbindung gesetzt, dort wurde ich aber erst nicht ernst genommen. Schliesslich wurde ich etwas lauter woraufhin nochmals alle Daten (Logs usw.) abgefragt wurden und der Fall weiter gegeben wurde. Der neue Sachbearbeiter brauchte dann mal 1-2 Wochen um die Logs usw. mit vielen, vielen Departments zu besprechen.

Meine Fehlerbeschreibung war einfach:
Baut die Box den Wirguard Tunnel auf, so wird IPv4 über die normale Internetverbindung statt den Tunnel geleitet. Baut hingegen der Server den Tunnel auf, so funzt es wie es soll. letzteres ist allerdings nicht praktikabel da die Box den Wireguard Port gerne mal ändert.
Dazu gab es dann noch traceroutes zu 8.8.8.8 usw. die eben alles penibel zeigten.

Nun die sagenhafte Antwort:

Die von Ihnen geschilderte Problematik mit der VPN-Verbindung liegt an der folgenden Einschränkung seitens der FRITZ!Box:
Die Übertragung von IPv6-Daten innerhalb des WireGuard-Tunnels wird von der FRITZ!Box derzeit nicht unterstützt.

Verstehe ich das also richtig, AVM muss das durch mehrere Departments gehen lassen und kommt dann zu dem Schluss das 8.8.8.8 eine IPv6 Adresse ist? Applaus an die Experten bei AVM, ich werde die FRITZ!Box denke ich nun so stupide wie nur irgendwie möglich konfigurieren und einen richtigen Router dahinter hängen.

 

[BeeHaa]

Wenn man sich damit abfindet, daß es klassische Volksplasterouter sind die in Millionen Fällen funktionieren, weil sie da nicht mehr können müssen als sie können, dann sind die Geräte schon halbwegs ok. Das ist halt die Sache mit der Erwartungshaltung...

Wenn man mehr vorhat, sollte man den Hardwarestand entsprechend anpassen und sich nicht allzulange grimmen.

 

[frank_m24]

Welche Haken hast du in der Fritzbox VPN Konfiguration gesetzt? Die Config Files sind ja nur ein Aspekt, die das Verhalten beeinflussen.

Grundsätzlich kann man dein gewünschtes Verhalten erreichen, das nutzen ja viele so, die an DS-Lite oder CGNAT Anschlüssen sitzen. Das kann nur ein Konfigurationsproblem sein.