Fritzbox 7590 keine WireGuard Verbindung

zante1

Neuer User
Mitglied seit
18 Feb 2013
Beiträge
123
Punkte für Reaktionen
0
Punkte
16
Fritzbox als Router hinter einem Huawai Booster-OTE Greece.
Jetzt wollte ich eine WireGuard VPN Verbindung in der 7590 einrichten, welche leider nicht funktioniert. Das Problem ist, dass die FB natürlich keine öffentliche IP bekommt, nur die IP vom vorgeschalteten OTE Router (192.168.3.56) somit meldet die FB natürlich zu MyFritz eine falsche IP und die Adresse xxxxxxxrxxxxxzxwgi.myfritz.net funktioniert somit nicht . Ich habe eine Dyndns Adresse von einem Drittanbieter, jedoch habe ich bei WireGuard keine Möglichkeit gefunden diese einzugeben. Kann das sein, dass somit VPN mit WireGuard nicht funktioniert?
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Doch, mit der aktuellen Labor kann man seine Wireguard-Konfiguration exportieren, anpassen und in eine neue Verbindung importieren. Nicht vergessen, den richtigen UDP-Port im vorgeschalteten Router freizugeben bzw. weiterzuleiten. MyFritz sollte eigentlich die IPv6 nehmen, wenn die IPv4 eine private ist. Dann muß man natürlich im vorgeschalteten Router auch den UDP-Port für IPv6 öffnen. Das können nicht alle Router. Mit einer externen IPv4-Dyndns-Adresse, die man in die Konfig manuell einträgt, sollte es aber auch mit IPv4 gehen.
So richtig simpel wie von AVM gewohnt ist das aber noch nicht.
 
  • Like
Reaktionen: pumpstation1

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,636
Punkte für Reaktionen
203
Punkte
63
Fritzbox als Router hinter einem Huawai Booster-OTE Greece.
Das ist ein Mobilfunknetz, oder? Ist sichergestellt, dass die IPs von außen erreichbar sind? Das ist in Mobilfunknetzen häufig nicht der Fall.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Oh, das hatte ich übersehen. Dann gibt es evtl. natürlich noch weitere Fallstricke. Falls die IPv4 im Mobilfunknetz geNATed wird, es aber eine IPv6 gibt, ist auch diese oft für eingehende Verbindungen netzseitig blockiert. In diesem Fall kann man nur ausgehende VPN-Verbindungen zu einer Gegenstelle mit öffentlich erreichbarer IP aufbauen. Die Fritzbox verlangt aber trotzdem einen eingerichteten Dyndns-Account, sonst ist die Wireguard-Konfiguration nicht aufrufbar. Eigentlich für ausgehende Verbindungen unnötig, ist aber so.

Es gibt Provider, die auch dann die öffentliche IP registrieren, wenn die Fritzbox eine private IP meldet. Bei mir macht das spdyn.de, die nehmen aber keine neuen Kunden mehr an.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Nee, für eine eingehende Verbindung muß ich erreichbar sein, also meine nicht statische IP über einen Dyndns-Dienst bekanntgeben. Will ich mich abgehend mit einem anderen VPN-Server verbinden, ist das nicht nötig. Trotzdem muß in einer Fritzbox, die sich aktiv ausgehend mit einer anderen Gegenstelle verbinden soll, ein Dyndns-Dienst eingerichtet sein, sonst ist die Wireguard-Konfiguration mit der derzeitigen Laborfirmware gar nicht erst erreichbar.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Dann muß ich aber die Dyndns-Adresse der Gegenstelle eintragen. Selber brauche ich dazu keine Dyndns-Adresse, die Fritzbox will aber einen Account eingerichtet haben, sonst läßt sie mich nicht an die Konfiguration.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113
die Fritzbox will aber einen Account eingerichtet haben, sonst läßt sie mich nicht an die Konfiguration.
OK jetzt habe ich es verstanden. Danke! Na dann irgend einen Dummy Account einrichten. Der muss ja vielleicht nicht mal stimmen und klappen.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Der muss ja vielleicht nicht mal stimmen und klappen.
Das weiß ich nicht, mit MyFritz und dort registrierter interner IP gab sich die per Mobilfunk und nur per IPv4 verbundene 7530 nicht zufrieden, nachdem ich spdyn eingerichtet habe und dort die tatsächliche öffentliche IP (die wegen CGN natürlich auch nicht erreichbar ist) registriert war, konnte ich endlich die Konfiguration vornehmen bzw. importieren. Wenn ich danach Dyndns und wahlweise zusätzlich MyFritz deaktiviere, komme ich wieder nicht an die Wireguard-Konfiguration, der VPN-Tunnel funktioniert aber weiterhin und wird auch als verbunden auf der Übersichtsseite angezeigt.
 

zante1

Neuer User
Mitglied seit
18 Feb 2013
Beiträge
123
Punkte für Reaktionen
0
Punkte
16
Das ist ein Mobilfunknetz, oder? Ist sichergestellt, dass die IPs von außen erreichbar sind? Das ist in Mobilfunknetzen häufig nicht der Fall.
Ja die Geräte hinter dem Booster sind alle erreichbar (Cams, PC, FB-Router), deshalb auch die Konfig. mit der FB. funktioniert derzeit eigentlich ganz gut. Der Booster hat Anbindung DSL und 4G. (
  • Mit der Hybrid Access-Technologie, die Festnetz- und Mobilfunkgeschwindigkeiten kombiniert, bleiben Sie auch bei einem Ausfall Ihrer Festnetzverbindung weiterhin online!)
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
362
Punkte für Reaktionen
112
Punkte
43
@zante1:

Ich will mich ja ggw. nicht tiefer mit dem "AVM-Wireguard" befassen und habe deswegen auch den Thread nicht komplett durchgelesen.
Trotzdem die Frage: Hast du in deinem "Booster" auch den oder die für den Tunnel benötigten udp-Ports freigegeben (IPv6) bzw. weitergeleitet (IPv4)?

vy 73 de Peter
 

zante1

Neuer User
Mitglied seit
18 Feb 2013
Beiträge
123
Punkte für Reaktionen
0
Punkte
16
Ich habe DZM im Booster aktiviert, mit diesem sollten sämtliche Anfragen an die Fritzbox durchgeleitet werden, denke mal, da benötige ich keine extra Weiterleitungen? Sorry, bin kein Spezialist für Netzwerke. Die Fritzbox eigene VPN (VPN-IPSec) mit "meiner" DDNS xxxxxxxddn.net Adresse klappt, da kann ich das VPN zur 7590 aufbauen. Denke, wenn es da funktioniert, sollte es auch mit WireGuard funktionieren. Das Problem ist halt nur, dass die WireGuard Einrichtung keine Möglichkeit bietet statt die FB eigene DDNS Adresse, meine eigene DDNS Adresse xxxxx.ddn.net zu benutzen. AVM muss sich dabei doch etwas überlegt haben, dass es beim "eigenen" VPN erlaubt ist und bei dem WireGuard, nicht?
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
362
Punkte für Reaktionen
112
Punkte
43
Ja, die F!B als DMZ (tcp und auch udp!) im "Booster" einzurichten, sollte eigentlich alles abdecken.
Bei meinen externen WG-Endpunkten läuft auf jedem dieser Geräte ein DynDNS-Client, welcher die IPv4 und IPv6 des WG-Endpunktes ausliest und an meinen DynDNS-Provider (dynv6.org) meldet. Ich wage zu bezweifeln, dass AVM dieses im "AVM-Wireguard" auch so macht. Warum sollten sie auch, denn für die vorgesehene Nutzung ist das ja nicht nötig.
Auf jeden Fall musst du die beiden IP für den WG-Endpunkt mit "dig" oder zumindest "ping" auflösen (und mit der Anzeige beim DynDNS-Provider vergleichen) können.

Mein ehrlicher und gutgemeinter Rat: Hole dir aus der Bucht für ein paar €nen eine 7412, flashe sie mit openWrt und richte dir einen funktionierenden und wirklich in jeder Hinsicht frei konfigurierbaren WG-Endpunkt ein.
 
  • Like
Reaktionen: zante1

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
AVM muss sich dabei doch etwas überlegt haben, dass es beim "eigenen" VPN erlaubt ist und bei dem WireGuard, nicht?
Wie ich schon schrieb, man kann die Wireguard-Konfiguration jetzt exportieren, den Zugang löschen, die Konfig-Datei anpassen und wieder importieren. Dabei kann man die Dyndns-Adresse natürlich anpassen.
 

alexandi

Aktives Mitglied
Mitglied seit
11 Jun 2009
Beiträge
2,223
Punkte für Reaktionen
372
Punkte
83
In der exportierten *.conf die MyFritz-Adresse einfach in die eigene DDNS-Adress ändern:

Endpoint = XXX.XX:59986
 
  • Like
Reaktionen: zante1

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113
  • Like
Reaktionen: zante1

zante1

Neuer User
Mitglied seit
18 Feb 2013
Beiträge
123
Punkte für Reaktionen
0
Punkte
16
Ich habe mal die *.conf von WireGuard exportiert, da sehe ich keine MyFritz Adresse, denke ich versteh da etwas falsch?

Also, ich habe jetzt die *conf aus der App exportiert, geändert und wieder importiert (vorher aus Windows) da hat es geklappt und eine Testverbindung aufgebaut :) Danke euch! Somit ist es + erledigt :) ich warte ob AVM da etwas nachbessert :)
 
Zuletzt bearbeitet:

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Mit "Einstellungsdatei herunterladen" bekommt man seine eigene Konfiguration. Diese Datei muß ja die eigene Dyndns-Adresse nicht enthalten, die der Gegenstelle (wenn vorhanden) steht aber drin. Man kann die Datei aber als Vorlage für die Erstellung der Konfiguration für die Gegenstelle verwenden.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
241,040
Beiträge
2,156,498
Mitglieder
365,292
Neuestes Mitglied
Heee
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet für bis zu 10 Nutzer dauerhaft kostenlos. Gehostet ab 10 Nutzer und selbst verwaltet im ersten Jahr kostenlos. Ohne Risiko testen!

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.