WireGuard auf FritzBox: Anfragen ins Internet routen

Lollek

Neuer User
Mitglied seit
21 Aug 2006
Beiträge
50
Punkte für Reaktionen
2
Punkte
8
Ich habe auf meiner 7590 (labor) nun endlich mal WireGuard ausprobiert. Leider habe ich noch nicht das gleiche Ergebnis wie mit IPSec erreicht.
Meine Clients verbinden sich zur FB und sind dann auch im VPN/LAN erreichbar bzw können auf Netzwerkresourcen zugreifen, allerdings werden Internetanfrage nicht nach außen geroutet. Auch ein 2 maliges absuchen einer Einstellungen und durchlesen der (etwas spärlichen) AVM-Doku hat leider keine Hilfe gebracht.

1655638875342.png

Hat dies mit der Option "Gesamter Datenverkehr" zu tun? Wo kann ich das einstellen?

Vielen Dank schon mal
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,769
Punkte für Reaktionen
236
Punkte
63
Ich weiß nicht sicher, ob man bei der Fritzbox dafür was aktivieren muss, aber bei anderen Wireguard Installationen entscheidet die Client-Konfiguration darüber, was durch den Tunnel geschickt wird, durch die Option "Allowed IPs".

Wobei "Client" eigentlich falsch ist, denn bei Wireguard reden zwei gleichberechtigte Instanzen miteinander. Jede entscheidet für sich, was sie durch den Tunnel schickt.
 

Lollek

Neuer User
Mitglied seit
21 Aug 2006
Beiträge
50
Punkte für Reaktionen
2
Punkte
8
Ich habe den Client (Peer :) ) Installationsprozess noch einmal neu durchgeführt. Warum auch immer, nun geht es. Dein Anstoß hat einscheinend schon gereicht. Danke
 

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
Ich bin hinsichtlich VPN und Wireguard noch ziemlicher Laie.
Daher meine Frage:
Ich kann per Wireguard auf das Fritzbox-Heimnetz zugreifen.
Klappt das auch für den VPN-geschützten Zugang zum Internet ?
Der Weg wäre:
Smartphone -> VPN -> Fritzbox -> Internet ?

Danke im voraus !
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,769
Punkte für Reaktionen
236
Punkte
63
Die Antwort steht in Beitrag #2. Die Frage bleibt, was du dir davon versprichst. Die Pakete deines Handys landen in beiden Fällen im Internet. In einem Fall müssen sie dafür nur einen längeren Weg zurücklegen und belegen Bandbreite auf deinem heimischen Internetzugang.
 
  • Like
Reaktionen: SurferFritz

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,955
Punkte für Reaktionen
270
Punkte
83
Das macht vor allem dann Sinn, wenn man mit dem Smartphone einen offenen Hotspot nutzt. Dann sind nämlich alle gesendeten Pakete durch den VPN-Tunnel geschützt. Bei der Nutzung einer Mobilfunkverbindung ist das nicht nötig. Man braucht den Tunnel nur, wenn man Dienste im eigenen Heimnetz verwenden will.
 
  • Like
Reaktionen: SurferFritz

SurferFritz

Neuer User
Mitglied seit
16 Feb 2021
Beiträge
65
Punkte für Reaktionen
14
Punkte
8
Ja genau, ich möchte den Tunnel bei einem offenen Hotspot nutzen.

Vielen Dank für eure Reaktionen.

Ich gehe nun davon aus, dass das in meinem Sinne funktioniert.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,955
Punkte für Reaktionen
270
Punkte
83
Jede entscheidet für sich, was sie durch den Tunnel schickt.
Weißt du da schon mehr? Mit einzelnen Geräten klappt das gut. Ich versuche schon seit mehreren Laborversionen eine Fritzbox mit Mobilfunkverbindung in ein bestehendes Wireguard-Netz zu integrieren. Das klappt auch mit importierter Einstellungsdatei sehr gut, ich kann die Box von außen erreichen und ich kann aus dem Netz der Box auf zwei andere Netze, die ihrerseits per Wireguard-VPN verbunden sind, zugreifen. Was ich nicht hinbekomme ist, den gesamten Traffic dieser Box übers VPN zu routen. Wenn ich 0.0.0.0/0 bei den allowed IPs in die Importdatei schreibe, scheitert der Import oder wahlweise wird der Eintrag einfach ignoriert, je nachdem, ob der IP-Bereich der Gegenseite zusätzlich angegeben wird oder nicht.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,769
Punkte für Reaktionen
236
Punkte
63
Nein, da die erste Inhaus auf meiner 5530 so gar nicht lief, bin ich noch nicht zum Testen gekommen.
 

Lollek

Neuer User
Mitglied seit
21 Aug 2006
Beiträge
50
Punkte für Reaktionen
2
Punkte
8
.... Was ich nicht hinbekomme ist, den gesamten Traffic dieser Box übers VPN zu routen. Wenn ich 0.0.0.0/0 bei den allowed IPs in die Importdatei schreibe, scheitert der Import oder wahlweise wird der Eintrag einfach ignoriert, je nachdem, ob der IP-Bereich der Gegenseite zusätzlich angegeben wird oder nicht.
Ich dachte, ich hätte es so verstanden, dass die dein Smartphone über Mobilfunkverbindung mit dem VPN verbinden willst. Was genau meinst du denn mit "gesamten Trafffic der Box übers VPN routen"? Die FB ist doch dein VPN-Server (auch wenn es so bei Wireguard nicht direkt heißt).
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,955
Punkte für Reaktionen
270
Punkte
83
Die FB ist doch dein VPN-Server
Eben nicht. Die Fritzbox meldet sich über VPN am heimischen Wireguard-Netz an. Dort steht wahlweise ein Raspberry 2B oder eine 7412 mit openWRT als Wireguard-Server zur Verfügung. Alle Geräte an dieser Fritzbox können alle Geräte im Heimnetz und in einem weiteren, ebenfalls per Wireguard mit dem Heimnetz verbundenen Netz erreichen. Für mich reicht das so, aber: Wenn ich z.B. im Ausland eine ausländische Datenkarte verwende und mich mit der Heimat verbinde, so will ich auch den ins Internet gehenden Traffic über dieses VPN laufen lassen, um z.B. geogeblockte Inhalte sehen zu können.

Gleiches gilt bei der Verwendung eines VPN-Providers. Den will ich ja nicht nur erreichen, sondern alles was vom Internet kommt und ins Internet geht soll ja über den Provider laufen, um Sperren aller Art zu umgehen. Genau dazu soll die Fritzbox alles, was sie nach draußen sendet und empfängt über den VPN-Tunnel leiten. Mit dem alten AVM-VPN IPSec geht das ganz einfach, indem man bei der Konfiguration einen Haken setzt. Bei der Wireguard-Beta gibt es keinen solchen Haken, und die bei openWRT oder Raspbian übliche Syntax der wg.conf unterscheidet sich von der AVM-Version.
 

Statistik des Forums

Themen
241,464
Beiträge
2,164,367
Mitglieder
365,954
Neuestes Mitglied
bakerinspain
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.