FritzBox AccessList bei WireGuard nicht möglich?

[c.wuensch]

Hallo zusammen,

ich bräuchte mal eure fachmännische Expertise...

Ich habe zwei FritzBoxen per Box-to-Box VPN miteinander verbunden, und dies nun vom alten IPsec auf das neue WireGuard umgerüstet.
(A): FritzBox 7530 AX mit IP-Range 192.168.1.x, die sich hinter einem NAT befindet, das IP-Range 192.168.100.x nutzt
(B): FritzBox 7530 mit IP-Range 192.168.178.x

Damit ich von Standort (B) aus auch auf die Geräte, die sich im übergeordneten Netzwerk (192.168.100.x) von Standort (A) befinden, hatte ich früher das FritzBox-Configfile modifiziert und in der accesslist folgendes eingetragen:

accesslist = "permit ip any 192.168.1.0 255.255.255.0",
             "permit ip any 192.168.100.0 255.255.255.0";

Mit dem früheren IPsec-VPN hatte das problemlos funktioniert, dass ich auch von Standort (B) aus auf die Geräte im Bereich 192.168.100.x zugreifen konnte.

Nun habe ich eine Wireguard-Verbindung eingerichtet - dort gibt es aber keine Zeile namens "accesslist" im Config-File.

Ich habe die Zeile mit obigem Inhalt einfach zusätzlich eingefügt. Das hatte aber keinen Effekt - die Anfragen zu 192.168.100.x werden jetzt ins Internet weitergeleitet.

Fällt jemandem eine Möglichkeit ein, wie man eine entsprechende Routing-Regel auch mit dem neuen Wireguard umsetzen könnte?

 

[chrsto]

Du solltest dich zunächst mit der grundlegenden Funktionsweise von WireGuard auseinander setzen.

Bei WireGuard entscheidet jeder Client selbst, welcher Traffic über das VPN geht und welcher nicht. Das erfolgt über die Zeile (Beispiel):

AllowedIPs = 192.168.2.0/24

 

[c.wuensch]

Interessant... Könntest du mir das für das konkrete Beispiel etwas näher erklären?
Also, der "Client" ist in diesem Fall wohl die FritzBox selber oder? Für die dahinterliegenden Rechner ist das VPN ja transparent.,,

Müsste ich dann auf der FritzBox B eine Zeile hinzufügen?

AllowedIPs = 192.168.1.0/24
AllowedIPs = 192.168.100.0/24

Oder müssten die IPs in einer Zeile mit einem Separator hintereinander geschrieben werden?

 

[PeterPawn]

Weder noch - man MUSS keine der beiden Möglichkeiten wählen, da beide funktionieren. Der Separator wäre das Komma, wie jede (eigene) Internetsuche leicht offenbaren hätte können (so viel Konjunktiv, den man so leicht hätte vermeiden können - schon wieder leider nur Konjunktiv).

 

[c.wuensch]

Ich habe inzwischen herausgefunden, wie es (bei der FritzBox) geht,
Die Syntax unterscheidet sich tatsächlich von dem, was man ansonsten im Internet findet.

wg_allowed_ips = "192.168.1.0/24", "192.168.100.0/24";

 

[PeterPawn]

Das ist aber auch etwas anderes - das Format der Einträge in der vpn.cfg ist logischerweise ein anderes. Aber das würde beim Import einer passenden Konfigurationsdatei (so, wie ansonsten überall beschrieben) auch automatisch korrekt erzeugt.

Ich würde Nachahmern vom direkten Ändern der Datei im FRITZ!OS abraten, zumal es dabei einiges zu beachten gibt (mind. den CRC32-Wert am Ende, wenn es über Ex-/Import geht).

 

[c.wuensch]

Ich habe einfach die gespeicherten Settings mit dem FBEditor editiert, und danach wieder in die FritzBox importiert.
Habe ich dabei etwas falsch gemacht? Hätte ich noch etwas beachten müssen?

 

[PeterPawn]

Nein, aber der FBEditor ist ja auch nicht per se bei Dir installiert gewesen, oder? Der kümmert sich tatsächlich (in der richtigen Version) um die erwähnte Prüfsumme.

Meines Wissens (korrigiere mich) gibt es keine Version dieses Programms mehr, die tatsächlich so funktioniert, wie das mal beschrieben/gedacht war und die selbst in der Lage ist, bei aktueller Firmware mit "Anmeldezwang" und aktivierter 2FA die Daten aus der Box zu laden und/oder wieder zurückzuschreiben. Und am "händischen" Export, der Wahl eines passenden Editors (der muß "CR only"-Zeilenenden unterstützen) bzw. der Installation einer JRE für den FBEditor scheitern schon einige.

Da dürfte die Verwendung einer passenden Datei mit der WIreGuard®-Konfiguration für den Import (den erlaubt das FRITZ!OS ja auch anstelle des Anlegens einer neuen Verbindung) für die allermeisten einfacher und weniger aufwendig sein, mal abgesehen vom Problem der korrekten Syntax und den Folgen einer falsch editierten Datei beim Import.

 

[georg3003]

Folgende Variante funktioniert NICHT

wg_allowed_ips = "192.168.20.0/24";
wg_allowed_ips = "192.168.99.0/24";


So wird nur die zweite IP übernommen und eingetragen. In der Weboberfläche fällt die erste Variante weg.


Offline ist in der GUI folgendes zu sehen.

Jetzt wird es aber verrückt! Sobald die Kiste online ist, ist nur noch die erste IP sichtbar, und auch nur die erste IP erreichbar die zweite aber nicht.

So sieht der Eintrag aus:
wg_allowed_ips = "192.168.20.0/24 , 192.168.99.0/24";

das "-Zeichen stand auch brav vor und hinter dem Komma. wie in Beitrag #5 gezeigt. Es wurde von der Box geändert, wie von @PeterPawn oben beschrieben. Er hat ja immer Recht!

Ergo, es muss eine andere Lösung geben. Evt geht ja eine 2. WG Verbindung mit der zweiten IP. zum Ziel.

Ich muss leider einen kleinen Fehler eingestehen ich bezeichne fälschlicherweise das Netzwerk als IP. Ich weise noch darauf hin, dass IP also z.B. 192.168.20.0/24 ein Netzwerk ist (ein C-Klasse Netz)


EDIT/ERGÄNZUNG/KORREKTUR

Es scheint wohl mein Fehler gewesen zu sein.

Ich habe anscheinend die Anführungsstriche vergessen. Ich hatte es wohl irgendwie versäumt. SORRY. Wie folgt funktioniert es einwandfrei.
RICHTIG wg_allowed_ips = "192.168.20.0/24", "192.168.99.0/24";
FALSCH wg_allowed_ips = "192.168.20.0/24 , 192.168.99.0/24";

Also alles OK, perfekt. UND wie immer PeterPawn hat IMMER RECHT!!! Ich bewundere ihn einfach.

 

[Shaco341]

Also alles OK, perfekt. UND wie immer PeterPawn hat IMMER RECHT!!! Ich bewundere ihn einfach.

Hallo Georg,

ich habe es wie du probiert aber ich bekomme es einfach nicht zum Laufen.
Andere Beiträge zu diesem Use-Case konnte ich nicht finden.

Habe eine FB 7490 (192.168.178.X) und eine 7590 AX (192.168.43.X) per WireGuard gekoppelt.
Die 7590 AX ist wiederum per IPSec zu einer 7430 (kann kein WG) (192.168.22.X) gekoppelt.
Ich möchte vom Netz der 7490 über die 7590 AX ein NAS im Netz der 7430 erreichen.

In der VPN-Konfiguration der 7490 habe ich die Zeile
wg_allowed_ips = "192.168.43.0/24", "192.168.22.0/24";
hinzugefügt.
Im Webinterface steht dann auch nach der Übernahme: 192.168.43.0, 192.168.22.0
Nach einen Neustart der 7490 steht in der WG Konfig jedoch nur:
AllowedIPs = 192.168.43.0/24

Ich erreiche aus dem Netz der 7490 nicht das Netz der 7430.
Zugriff aus dem Netz der 7590 AX (43.X) zum Netz der 7430 (22.X) läuft problemlos.
Die 7490 scheint die IPs der 7430 über die WAN-Schnittstelle zu routen.
Eine statische Route (192.168.22.0, 192.168.43.1, 255.255.255.0) lässt mich die 7490 nicht einrichten.

Hat jemand eine Idee? Ich habe gelesen, dass die 7490 bei der WG-Implementierung "speziell" sein soll.

Danke und Grüße Daniel

 

[Peter_Lehmann]

Hat jemand eine Idee?

Auch wenn ich jetzt wieder "Dresche" von den Anhängern des "AVM-WireGuard" bekomme:
Hole dir in der Bucht zwei der fast kostenlos angebotenen (unverständlicherweise ungeliebten) F!B 7412 (oder zwei andere für OpenWRT geeignete Geräte). Flashe sie mit OpenWRT und installiere das originale WireGuard. Mit den jetzt vorhandenen Konfigurationsmöglichkeiten kannst du so ziemlich "alles" machen - weil du nicht durch die AVM-Implementation eingeschränkt bist.
Wie ich hier schon oft geschrieben habe, betreibe ich ein Netz mit neun, in drei EU-Ländern stationierten, WireGuard-Routern. Daran angeschlossen die neun privaten Hausnetze und sämtliche aushäusig betriebene Mobilgeräte.

vy 73 de Peter

 

[Shaco341]

Ich habe weder das Interesse noch die Zeit solch eine Lösung umzusetzen.
Ich bin einfach nur technich interessiert, ob und wie es, wie oben angefragt, funtioniert.

Ich würe mich weiterhin freuen, wenn jemand den obigen Sachverhalt klären könnte bzw. bestätigen könnte (jemand mit einer FB 7490 zwei wg_allowed_ips zum Test einstellt und berichtet was passiert).

Parallel werde ich jetzt übergangsweise einfach ein IPSec VPN zwischen 7490 und 7430 einrichten.

 

[georg3003]

...

Habe eine FB 7490 (192.168.178.X) und eine 7590 AX (192.168.43.X) per WireGuard gekoppelt.
Die 7590 AX ist wiederum per IPSec zu einer 7430 (kann kein WG) (192.168.22.X) gekoppelt.
Ich möchte vom Netz der 7490 über die 7590 AX ein NAS im Netz der 7430 erreichen.
....

Ich erreiche aus dem Netz der 7490 nicht das Netz der 7430.
Zugriff aus dem Netz der 7590 AX (43.X) zum Netz der 7430 (22.X) läuft problemlos.
Die 7490 scheint die IPs der 7430 über die WAN-Schnittstelle zu routen.
Eine statische Route (192.168.22.0, 192.168.43.1, 255.255.255.0) lässt mich die 7490 nicht einrichten.
...

Hallo @Shaco341 ,

Ich glaube ich weiß wo das Problem liegt. Eine Fritzbox ist zwar auf Linux basierend, jedoch modelt AVM aber einiges um. Oder setzt es vielleicht nicht richtig oder nur unvollständig um.
Meine Feststellung: DIE Fritze kann nicht korrekt Routen.
In deinem Problem würde eventuelle eine statische Route helfen, jedoch bekommst du die nicht rein in die Box. Es wird höchstwahrscheinlich der Fehler erscheinen "Die IP liegt nicht im IP Bereich der Fritze"
Also kannst du in den Wind rauchen. Ich versuche gerade etwas ähnliches: Ein OpenwrtRouter soll auf ein Netz hinter der FB zugreifen. egal was ich mache, die Fritze leitet gar nichts weiter. (Ich glaube VPNs werden von der FB nicht korrekt geroutet oder gar nicht oder wie auch immer. Mal klappt mein vorhaben, mal nicht. Ich habe noch keine Regel erkannt. oder es liegt an der Firewall der FB.) Und eingeben??? was und dann wo? und wenn dann FEHLER.
Mir scheint der Vorschlag von Peter realistisch zu sein. Du bist ja Technikinteressiert, sonst würdest du es nicht schreiben und hier fragen. Mein Tip nimm so eine sehr güstige oder auch eine 4040 mit openwrt, kannst du fast alles machen.

Auch wenn ich jetzt wieder "Dresche" von den Anhängern des "AVM-WireGuard" bekomme:

Nein du hast in meinen Augen Recht! Es ist gut aber inperfekt und kompliziert.

Hole dir in der Bucht zwei der fast kostenlos...F!B 7412 (oder zwei andere für OpenWRT geeignete Geräte). Flashe sie mit OpenWRT und installiere das originale WireGuard. ..... kannst du so ziemlich "alles" machen -...

Wie ich hier schon oft geschrieben habe, betreibe ich ein Netz mit neun, in drei EU-Ländern stationierten, WireGuard-Routern. ...neun privaten Hausnetze und sämtliche aushäusig betriebene Mobilgeräte.

@Peter_Lehmann
kannst du mir eine PN schicken? Ich hätte da die eine oder andere Frage dazu


shaco
Ich hoffe ich konnte dir irgendwie helfen, damit du nicht soviel Zeit verlierst mit unnötigen Versuchen.
Du darfst gerne hier über deinen Erfolg berichten, sollte ich wirklich unrecht haben.

 

[stoney]

Sollte sich "euer" Vorhaben nicht wie folgt lösen/umsetzten lassen?

Über WireGuard-VPN zwischen zwei FRITZ!-Netzwerken auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen | FRITZ!Box 7590

Mit WireGuard können Sie zwei FRITZ!-Netzwerke an unterschiedlichen Standorten über eine sicher verschlüsselte VPN-Verbindung miteinander verbinden (LAN-LAN-Kopplung). Wenn sich in einem der beiden FRITZ!-Netzwerke ein weiterer Netzwerk-Router befindet, der das IP-Netzwerk dieser FRITZ!Box mit...

fritz.com

 

[georg3003]

Danke @stoney für den Hinweis. Aber umsonst gibt es eine Anleitung, wenn die allgemeinen Regeln nicht vollständig beachtet werden, bzw. eine eigene Realität erschaffen wird.