[Frage] Client - wireguard - fritzbox1 - fritzVPN - fritzbox2 - Ziel ... wie?

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
Hallo, ich habe 2 fritzbox-LANs über das fritzboxVPN per LAN-LAN-Kopplung verbunden. Auf Fritzbox 1 läuft auch wireguard über das ich mit einem client in LAN1 komme. LAN2 erreiche ich damit nicht. Ist das möglich? Wie stelle ich das an? In
Freetz: rc.custom habe ich
Code:
ip route add 192.168.10.0/24 via 10.0.0.1 dev wg0
eingetragen. Das hilft aber nicht.
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Der Client weiß auch, dass er fritzbox2 hinter dem Wireguard VPN findet? Die fritzbox2 kennt den Weg zurück?

Das Routing muss über die gesamte Kette konsistent sein. Du machst ja kein NAT zwischendurch, wie man sieht.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
Ich weiß leider nicht wie die Fritzbox das organisiert. Wenn ich aus dem Netz der einen Box eine Adresse aus dem netz der anderen Box aufrufe geht das ja. Wenn nun mein client im einen Netz ist, könnte es ja sein, daß die Box dessen Anfrage an das 2. Netz korrekt routet. Tut sie aber nicht.
Übrigens macht der o. g. Eintrag "ip route add 192.168.10.0/24 via 10.0.0.1 dev wg0" meine fritzbox-LAN-LAN Kopplung kaputt. Dann erreiche ich das andere Netz mit einem PC im einen Netz nicht mehr obwohl die box für da LAN-LAN-VPN grün zeigt.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Ich glaube, ein paar Grundlagen IP-routing könnten nicht schaden.

Die Fritzboxen kümmern sich um ihre lokalen Subnetze. Die werden natürlich übers AVM VPN gekoppelt und die Routen dafür eingerichtet. Aber der wireguard Client ist natürlich ein Fremdling, da er sich ja nicht im Netz einer der beiden Fritzboxen befindet. D.h., DU musst dafür sorgen, dass beide Fritzboxen ihn kennen, und DU musst dafür sorgen, dass auch der wireguard Client alle erforderlichen Routen hat. Natürlich musst du davor schon dafür gesorgt haben, dass alle Subnetze sauber voneinander getrennt sind.

Übrigens würde ich bei dem wireguard Tunnel dem wireguard deamon das Routing überlassen, sprich die entsprechenden Einträge in die Konfig machen. Weil sonst bekommst du ggf auch Probleme, weil die Netze nicht auf der Liste der "allowed Networks" stehen. Auf Seite der Fritzbox2 musst du natürlich von Hand die entsprechenden Routen eintragen, z.B. in den IP Settings der Fritzbox. Gateway ist da natürlich fritzbox1.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
Ich habe jetzt einiges dazu versucht zu finden. Leider lassen sich keine Tuts zu wireguard auf der fritte finden. Vielleicht kann mir hier jemand sagen, wie ich auf der fritzbox dieses wireguard NAT hinbekomme. iptables gibt es da offenbar nicht.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Leider lassen sich keine Tuts zu wireguard auf der fritte finden.
Braucht man nicht. Für deine Fragestellung reicht Standard Wireguard Know How. Eigentlich ist es nicht mal Wiregaurd spezifisch. Es geht ausschließlich ums Routing. Allerdings kann man sich der Wireguard Mechanismen bedienen, um einen Teil der Routen automatisch erzeugen zu lassen.

Vielleicht kann mir hier jemand sagen, wie ich auf der fritzbox dieses wireguard NAT hinbekomme.
Warum willst du denn NAT? Klar, kann theoretisch funktionieren, aber die ganzen Nachteile, die du dir damit einfängst, würde ich mir sparen.

iptables gibt es da offenbar nicht.
Früher gabs das auch, aber vielleicht geht das nicht mehr. Wie dem auch sei, ich würd eh kein NAT machen.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
In der Hoffnung auf eine Hilfestellung kopiere ich jetzt mal mein setup hier rein.
freetz wireguard config:
Code:
[Interface]
ListenPort   = 56789
PrivateKey   = ganzgeheim

[Peer]
PublicKey    = auchgeheim
PresharedKey = eigentlichegal
AllowedIPs   = 10.0.0.11/32

auf dem peer ist

Code:
[Interface]
Address             = 10.0.0.11/32
DNS                 = 192.168.0.1
PrivateKey          = geheimschluessel

[Peer]
Endpoint            = meindynds:56789
PublicKey           = schlussel
PresharedKey        = eigentlichegal
AllowedIPs          = 0.0.0.0/0
PersistentKeepalive = 90

in der fritzbox AVM-GUI habe ich noch die route 10.0.0.0/24 - 192.168.0.1 freigegeben. Das hilft aber nichts. Ich komme nach wie vor mit dem client ins LAN aber nicht ins Internet. Wo liegt mein Fehler?
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Na, da herrscht aber Chaos. Das größte Problem ist, dass du nicht beschreibst, welche IPs deine Geräte benutzen und was du eigentlich willst. Oben wolltest du noch Zugriff auf das Netz von Fritzbox2, aber nicht ins Internet. Das ist was völlig anderes. Und wenn du ins Internet willst: Über Fritzbox1 oder Fritzbox2? Fürs Internet brauchst du natürlich NAT.

Aber zu den Konfigs:
  • Warum hat die freetz Box keine Wireguard Adresse? In den Interface Teil würde ich eine rein machen
  • Woher kommt die DNS Adresse 192.168.0.1? Oben erzeugst du noch eine Route 192.168.10.0 über wireguard. Wie passt das zusammen?
in der fritzbox AVM-GUI habe ich noch die route 10.0.0.0/24 - 192.168.0.1 freigegeben.
Warum? Und wie genau hast du das gemacht?

Vielleicht solltest du erst mal sauber beschreiben, wie dein Setup im Moment ist und was du eigentlich erreichen willst. Das könnte es erheblich einfacher machen.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
Ja, das stimmt, ich habe 2 Probleme: Das eine ist die LAN-LAN-Kopplung (Titel). Das zweite (ggf. getrennte) ist der Zugang zum Internet. Die o. g. config habe ich nach dieser Anleitung erstellt.
  • Warum hat die freetz Box keine Wireguard Adresse? In den Interface Teil würde ich eine rein machen
im freetz-interface hat der wireguard-server diese Adresse bekommen: 10.0.0.1/24
  • Woher kommt die DNS Adresse 192.168.0.1? Oben erzeugst du noch eine Route 192.168.10.0 über wireguard. Wie passt das zusammen?
Hier mal meine (geplante) Topologie:

Peer(10.0.0.11) --wireguard-Netz--- wgServer(10.0.0.1) = fritzbox1(192.168.0.1) ---fbVPN--- fritzbox2(192.168.10.1) --- Ziel(e)
über die gefreetzte fritzbox1 sollen die peers des wireguard auch ins internet können.

in der fritzbox AVM-GUI habe ich noch die route 10.0.0.0/24 - 192.168.0.1 freigegeben.
Warum? Und wie genau hast du das gemacht?
Das ist ein Versuch gewesen, dem wireguard-Netz Zugriff auf's Internet zu geben.

was geht:
  • peer erreicht netz von fritzbox1
  • clients in den LANs von fritzbox1 und fritzbox2 können sich erreichen
was nicht geht
  • peer kommt nicht über fritzbox1 ins internet
  • peer erreicht Ziele im Netz von fritzbox2 nicht
Ursprünglich war ich naiv davon ausgegangen, daß wenn mein peer das LAN von fritzbox1 erreicht, er auch wie alle Geräte in diesem LAN Internetzugriff hat und die fritzbox LAN-LAN-Kopplung mitnutzen kann.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Die o. g. config habe ich nach dieser Anleitung erstellt.
Offenbar nicht, denn da fehlen ja Teile in deiner Konfig.

über die gefreetzte fritzbox1 sollen die peers des wireguard auch ins internet können.
Dafür brauchst du NAT auf fritzbox1. Hast du iptables etc. drauf? Ansonsten musst du dein Freetz Image noch mal bauen. Fang am besten damit an, um sicher zu gehen, dass das alles funktioniert, auch platzmäßig im Image.
Ggf. kannst du über NAT dann auch den Zugriff auf das LAN2 realisieren, mit einigen Routen auf dem wireguard Client. Aber sei dir bewusst, dass der Zugriff von LAN2 zum Wireguard Client dann nicht so einfach möglich ist.

Das ist ein Versuch gewesen, dem wireguard-Netz Zugriff auf's Internet zu geben.
Bei dir ist wildes Stochern im Nebel, oder? Du hast nicht den Hauch einer Ahnung, was du tust und warum du es tust bzw. welche Auswirkungen gewisse Einstellungen haben, die du vornimmst. Das wird spätestens bei dieser Aussage deutlich.
Das, was du vorhast, ist nicht trivial und erfordert - auch aus Sicherheitsrücksichten! - detailliertes Wissen über die zugrundeliegenden Mechanismen und Technologien. Ich habe nicht das Gefühl, dass du das hast.

Ursprünglich war ich naiv davon ausgegangen, daß wenn mein peer das LAN von fritzbox1 erreicht, er auch wie alle Geräte in diesem LAN Internetzugriff hat und die fritzbox LAN-LAN-Kopplung mitnutzen kann.
Das ist der Punkt: Der wireguard Client ist kein Gerät im Netz der fritzbox1. Das erkennt man spätestens an seiner IP Adresse.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18
@frank_m24 Danke zwischendurch, daß Du Dir Zeit nimmst, Dich mit meiner Thematik auseinanderzusetzen. Ja, von dem vielleicht ein Promille Erdenbürger, die ihren Router mit Sonderfirmware flashen und sich dann mit nicht trivialer Netzwerktopologie beschäftigen bin ich wahrscheinlich der unterbelichtetste. Aber ich bin gewillt zu lernen. Ich nehme erst mal mit: Ohne iptables geht es nicht. Allerdings steht bei freetz-ng "Current state (largely broken)". Mal sehen, ob der build läuft...
freetz-ng hat gar keinen unsable branch in github - woher bekommt man iptables?
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Wenn es nicht drin ist, dann geht es halt nicht. Man muss ja auch den Kernel mit den entsprechenden Kernel-Modulen kompilieren. Es ist durchaus denkbar, dass man iptables im Moment gar nicht bauen kann, vielleicht weil die Open Source Pakete dafür fehlen.

Aber ohne NAT sehe ich nicht, dass du den wg client über den Tunnel ins Internet bekommst. Entweder lässt du ihm den lokalen Internetzugang, oder du stellst um auf AVM VPN. Der Zugriff auf LAN2 wäre wohl möglich.
 

rspring

Neuer User
Mitglied seit
17 Nov 2006
Beiträge
183
Punkte für Reaktionen
1
Punkte
18

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,136
Punkte für Reaktionen
112
Punkte
63
Der der wg client ja im Moment noch die Defaultroute über den Tunnel schickt, liegt das Problem in der fritzbox2. Dort musst du eine Route ins wg Netz einrichten, Gateway ist die fritzbox1.

Wenn du die Defaultroute über den Tunnel im wg Client wegnimmst, musst du dort natürlich ebenfalls eine Route für das LAN2 einrichten. Trage es mit in die "AllowedIPs" ein.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via