Wireguard VPN soll allein aufgebaut werden ,nach Ausfall

[haeberlein]

Hallo!
Weiss jemand wie man es anstellen kann das die Wireguard VPN Verbindung bei Ausfall nach einer gewissen Zeit wieder automatisch aufgebaut wird? Wenn man auf eine Fritzbox ohne öffentliche IP zugreifen will muss diese nämlich die Wireguard Verbindung (LAN-LAN Kopplung) aufbauen. Blöd ist nur wenn diese Verbindung aus welchen Gründen auch immer ausfällt. Dann muss man zu dieser Box hinfahren und diese resetten.

 

[FlyingToaster]

Für WireGuard benutzt die Box doch IPv6, mit MyFritz- bzw. anderen DynDNS-Anbietern.
Dann sollte man doch per IPv6 auch HTTPS-Fernwartung machen können.

 

[haeberlein]

Ja aber blöd wenn die nichtöffentliche Fritzbox nur IPv4 kann (Starlink). Und wie gesagt wenn die VPN Verbindung der nicht öffentlichen Fritzbox ausfällt (also normales Internet ist noch vorhanden) komme ich auch via Myfritz nicht auf diese Box ,das ist eben der Mist bei diesen nicht öffentlichen IP Adressen.

 

[FlyingToaster]

Ja, CG-NAT-IPv4 ist wirklich tragisch. Gibt es keine Hardware dahinter mit Rustdesk, TeamViewer oder ZeroTier-VPN?
Dann das nächste Mal würde ich grundsolide Hardware hinstellen, und nichts mit experimenteller WireGuard-Unterstützung.

 

[haeberlein]

Klappt ja wunderbar nur eben bei Verbindungsabbruch müsste man entweder durch eine GSM Steckdose die Box neu starten ,oder eben mittels Software alle xx Minuten einen Neuaufbau veranlassen. Habe das AVM schon vorgeschlagen. Neue Hardware will ich mir deswegen nicht exta noch kaufen.

 

[FlyingToaster]

Wenn alles davon Abhängt, das LAN-LAN-VPN immer in der richtigen Richtung anzuschubsen, würde ich zunächst mal warten und dabei mal das WG für eine Weile auf der nicht-Starlink-Box deaktivieren.
Das hatte bei mir beim alten IKEv1 manchmal geholfen. Das regelmäßige Anschubsen habe ich bei meinem letzten LTE-Netz per Anmeldung über VPN auf einem VoIP-Account der public-IPv4-Box gelöst und wieder eingeführt, weil mir die Wartezeiten nach den Idle-Trennungen zu hoch waren.

ZeroTier kann man übrigens auch auf ein ausgedientes Smartphone pappen und muss dafür nicht unbedingt einen richtigen Router kaufen.

 

[Metzger]

Man möge mich hier nicht schlagen,
aber ich habe das an einem widerspenstigen Repeater mit einer Zeitschaltuhr gelöst, die das Ding jede Nacht für 2 Minuten abschaltet......
Nicht sonderlich elegant, aber effektiv :-D

 

[haeberlein]

Habe nun noch eine normale VPN Verbindung eingerichtet ,so das ich von aussen über diese bei Bedarf auf den Router zugreifen kann und diesen dann auch neu starten kann.

 

[FlyingToaster]

Und wie geht die VPN-Verbindung ohne öffentliche IPv4 und ohne IPv6?

 

[Peter_Lehmann]

Hallo @haeberlein:
Bitte definiere "normale VPN Verbindung".

Also, wenn die stabile Verbindung über VPN (hier: WireGuard) von großer Wichtigkeit ist, dann würde ich mich niemals auf das (sri: für Laien der Einfachheit wegen kastrierte) AVM-VPN verlassen.
Mein Vorschlag: hole dir aus der Bucht für wenige €nen eine 7412, flashe diese mit OpenWrt und installiere ein vollwertiges WireGuard.
Dort kannst du dich mit diversen Scripten so richtig austoben und alles erreichen, was du für deine Problemlösung haben möchtest.
Nur ein Beispiel: wenn wegen der sinnfreien Zwangstrennung (bei mir …) sich einer meiner 8 VPN-Endpunkte nicht mehr sofort verbindet, stellt mein Script fest, dass sich die IP des Internet -Zuganges geändert hat, und startet den Netzwerkdienst neu. => 5 Sekunden Ausfall.
Je nach Triggerpunkt kann man so ziemlich alle Funktionen und auch den kompletten WireGuard-Router neu starten. Man muss nur wissen, was man (eventuell) benötigt.

vy 73 de Peter

 

[erik]

In openWRT gibt es ein Script, welches bei Nichterreichbarkeit der Gegenstelle die erneute Auflösung des dyndns-Hostnamens anschiebt. Dieses muß man mit Cron starten. So etwas muß AVM auch in die Fritzbox einbauen.

Und wie geht die VPN-Verbindung ohne öffentliche IPv4 und ohne IPv6?

Ganz einfach, von innen heraus. Nur muß das die Verbindung aufbauende Gerät diese Verbindung auch dauerhaft halten und bei Bedarf selbständig neu aufbauen. Genau das ist hier das Problem.

 

[deraaf]

Kein Mist, das macht bei mir ein Pi Zero 2 mit Wireguard und ausreichender Performance. Und Strom bekommt der von der Fritzbox. Das alles ohne WG in der Fritzbox zu benutzen. Ein TP-Link 902AC sollte das Problem auch lösen (OpenWRT via tftp flashen und gut). Oder ein kleiner GLI-Net..

 

[erik]

oder eine 7412 oder sogar eine 7312, wenn man Strom sparen will, die läuft ebenfalls an USB-Anschlüssen. Vorteil gegenüber dem Raspberry, die Fritz-Geräte sind billiger und werden nicht beschädigt, wenn plötzlich der Strom weg bleibt. An einer Endstelle nehme ich trotzdem einen Raspberry, weil der gleichzeitig das Handy über Bluetooth mit der Fritzbox verbindet.

Trotzdem sollte sich AVM was einfallen lassen, wenn sie Wireguard einbauen muß man es auch nutzen können und öffentlich erreichbare IPs sind nicht überall Standard.