Wireguard mit Openwrt hinter Fritzbox

Dittesizer

Neuer User
Mitglied seit
28 Jul 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo liebes Forum,

habe mich hier mal registriert um meine Frage zu stellen, ich komme einfach nicht weiter :( Finde auch nicht so Recht im Internet etwas, daher versuch ichs mal bei euch schlauen Köpfen ;)

Zunächst mal hab ich meine Paint Künste unter Beweis gestellt um euch grob den Aufbau meines Netzwerks zu zeigen. Der DSL Anschluss läuft über die Fritzbox, diese übernimmt auch die Aufgaben DHCP, primary DNS, Einwahl zum Internet, fungiert als DECT Station für Festnetz, etc etc. Also der ganz normale Fritzbox Betrieb!

Leider ist mir dann irgendwann aufgefallen, dass ich nicht in der ganzen Wohnung WLAN habe. Habe mir dann einen Linksys WRT3200 ACM Router gekauft und dort Openwrt drauf geflasht (aktuellste Version, funktioniert auch alles) - habe ein langes Netzwerkkabel durch die Wand gebohrt und die beiden Geräte miteinander verbunden. Der Linksys Router funkt jetzt zusätzlich nochmal im 5GHZ WLAN die selbe SSID mit selben PSK raus, sodass ich darauf vertraue, dass die Endgeräte sich einfach mit dem stärksten Gerät verbinden. Den WAN Port an dem Linksys benutze ich nicht, ich habe die default Route einfach über das br-lan Interface gelegt:

root@linksys:~# ip r
default via 192.168.178.1 dev br-lan proto static
192.168.178.0/24 dev br-lan proto kernel scope link src 192.168.178.2

Skizze.png
Bild gemäß Boardregeln als Vorschaubild eingebunden by stoney

Ich möchte gerne Wireguard auf dem Linksys Router installieren, weil das IP - Sec VPN der Fritzbox die Clienten irgendwie immer nach 60 Minuten trennt. Außerdem soll Wireguard schneller sein und mir soll ja nicht langweilig werden!

Leider komme ich nicht an der Firewall der Fritzbox vorbei. Ich habe dort eine Portfreigabe für den Wireguard Port eingestellt, leider kann sich mein Iphone nicht connecten :( Gibt es einen Guide für einen derartigen Aufbau? Die Fritzbox Firewall zu deaktivieren kommt natürlich nicht in Frage und ich möchte auch keinen Exposed Host nutzen, weil die Geräte ja das selbe WLAN rausfunken und somit im selben Subnetz stehen sollen.

Gruß!
 
Zuletzt bearbeitet von einem Moderator:
Da sind zunächst diverse Fragen zu klären.

- Die Freigabe erfolgt über IPv4 oder IPv6? Falls IPv4: Hat die Box eine öffentliche IP? Falls IPv6: Hast du bedacht, dass das iPhone dann die IP des Linksys benötigt und nicht die der Fritzbox?
- Arbeitest du mit dyndns oder ähnlichem? Klappt die Auflösung?
- Was kommt denn an an deinem OpenWRT wenn du den Verbindungsversuch startest? Klappt ein Verbindungsversuch aus dem lokalen Netz?
 
Hallo Frank,

danke für die schnelle Antwort! Auch ich will dir die Antworten auf die Fragen gern geben:

Ich probiere es über IPv4, habe in der Fritzbox eine udp Freigabe für den Wireguard Port eingestellt. Das sollte passen? Mit tcp komme ich jedenfalls zu dem selben Fehler.

Ich arbeite per myfritz Konto mit dieser xxxxxxxxxxxxxxxxxxxx.myfritz.net Adresse, die habe ich auch bei Wireguard eingestellt. Habe temporär auch mal meine öffentliche aktuelle IPv4 eingetragen, das scheint aber nicht der Fehler zu sein. Anpingen aus dem LTE Netz meines Smartphones kann ich die öffentliche myfritz Adresse problemlos, auch der Zugang zur Fritzbox per IP Sec VPN der Fritzbox funktioniert über diese Adresse.

Verbindungsversuch aus dem lokalen Netz ins Wireguard VPN geht auch schon nicht, ich habe das Log File mal hier angehängt. Scheint so zu sein, als wäre das VPN Gateway (also der Linksys Router) nicht erreichbar, oder?
 

Anhänge

  • wireguard.jpg
    wireguard.jpg
    257.2 KB · Aufrufe: 15
Ich probiere es über IPv4, habe in der Fritzbox eine udp Freigabe für den Wireguard Port eingestellt. Das sollte passen?
WG-Port und (interne) IPv4-Adresse (192.168.178.2 ?) des OpenWRT?
Teste mal mit tcpdump auf dem OpenWRT, ob die WG-Pakete dort ankommen. Evtl. ist der WG-Server/-Peer auf dem OpenWRT nicht richtig konfiguriert.
 
Verbindungsversuch aus dem lokalen Netz ins Wireguard VPN geht auch schon nicht, ich habe das Log File mal hier angehängt. Scheint so zu sein, als wäre das VPN Gateway (also der Linksys Router) nicht erreichbar, oder?
Ja, das sollte auf jeden Fall der erste Ansatz sein.
 
ich habe die default Route einfach über das br-lan Interface gelegt
Möchtest OpenWrt im Modus Dump-Access-Point betreiben? Dann gehe bitte die Anleitung in deren Wiki durch, weil das alles etwas komplizierter ist. Der nächste Schritt wäre dann auf der FRITZ!Box mitzuschneiden, ob die Weiterleitung klappt, also einmal WAN = 1. Interntverbindung und LAN = LAN.
 
Moin!

Danke für eure Mühen! Da googlet man 3 Jahre, verzweifelt, erstellt sich einen Account in nem Forum und findet es dann paar Stunden später doch selbst :eek::p

Der Fehler lag im Detail. Im Router war ein PSK im Wireguard Interface eingetragen, auf der Iphone App nicht. Hab jetzt den PSK einfach raus gelöscht im Webinterface vom Openwrt, jetzt geht alles wie es soll. Was genau bringt der Key? Bin kein Kryptograf, sollte ich da einen rein setzen? Hab mich mal eingelesen bei Wikipedia, klingt kompliziert ^^ Klingt allerdings auch so, als sei es ohne diesen PSK schon sicher genug... Meinungen?


@sonyKatze: ja genau, ein Dump-Access-Point, war aber alles so wie in deinem Guide konfiguriert :)
 

Anhänge

  • PSK.png
    PSK.png
    37.5 KB · Aufrufe: 24
Bin kein Kryptograf, sollte ich da einen [PSK] rein setzen?
Kurz: Wenn es klappt und Du die Mühe nicht scheust, ja.

Lang: Im Internet finden sich einige Erklärungen, zum Beispiel diese … das Ganze basiert auf der Hypothese, dass Forward-Secrecy – wie das in Wireguard (und auch HTTPS) verwendete ECDH – durch Quanten-Computer knackbar wird. Vereinfacht: ECDH nutzt vergleichsweise kurze Schlüssel, die mathematisch errechenbar sind. ECDH erstellt während dem Verbindungsaufbau dynamisch einen Shared-Key. Wenn Du jetzt dort in das Feld etwas einträgst und so einen statischen Shared-Key nutzt (daher: „pre“), hat eine Rechen-Maschine verloren, weil es wieder reiner Zufall ist. Oder akademischer: Mit einem PSK nutzt Du eine symmetrische Verschlüsselung. Asymmetrische Verschlüsselungen allein sind gefährdet, nachdem es entsprechend leistungsfähige Quanten-Computer gibt (daher: „Post-Quantum-Ära“).

Aber solch spezifische Fragen würde ich auf Reddit oder StackExchange stellen. Wireguard ist ein internationales Thema. Quanten-Computer und Forward-Secrecy ebenfalls. Solche Fragen können sauber nur Uni-Informatiker und von diesen auch nur speziell Geschulte beantworten. Die haben normalerweise Besseres zu tun, als in Internet-Foren Fragen zu beantworten – die würden Dir sogar sagen, dass auf dem Screenshot in dem Info-Bobbel doch schon alles steht. Hust.
findet es dann paar Stunden später doch selbst
Macht nix. Freuen wir uns gemeinsam. :)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.