[Problem] Wireguard verursacht Konflikte

[flapane]

Hallo zusammen,

ich habe die Fritz OS 7.50 erst gestern installiert (Fritzbox 7520) und möchte die langsamere IPSec VPN Verbindung zur Fritzbox 7530 mit einer schnelleren Verbindung über Wireguard ersetzen.

Ich habe einen 100/40 Telekom DSL Anschluss.

Die beiden Netzwerke sind ja über unterschiedliche IP zu erreichen:

Lokale Fritzbox 7520:
LAN 192.168.10.x
Subnetz 255.255.255.0

Entfernte Fritzbox 7530:
LAN 192.168.178.x
Subnetz 255.255.255.0

Es sollen nur bestimmte Geräte aus der Fritzbox 7520 über das Wireguard VPN das Internet erreichen können. Dieselbe Konstellation funktioniert problemlos mit IPsec.

Ich habe die Anleitung von AVM gefolgt (Remote Base: 192.168.10.0, Subnetz 255.255.255.0) und auf der entfernten Fritzbox 7530 eine Router zu Router Wireguard Verbindung erstellt. Danach habe ich die Datei in die lokale Fritzbox 7520 importiert.

Leider wird es beim Import die folgende Fehlermeldung angezeigt: https://avm.de/service/wissensdaten...egenstelle-verursacht-einen-Netzwerkkonflikt/

Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt​

Ich habe verschiedene Einstellungen probiert (nur NetBios, keine Auswahl der Geräte in der lokalen Fritzbox 7520, kein Gesamtverkehr über das VPN...) aber leider wird es immer diese Fehlermeldung angezeigt.

Es gibt keine weiteren Wireguard Verbindungen auf den beiden Fritzbox, sondern nur bestehende IPsec Verbindungen.

Hat jemand vielleicht dasselbe Problem behoben?

Viele Grüße
F.

 

[stsoft]

Remote Base: 192.168.10.0, die 0 am Ende könnte das Problem sein. Das sollte die exakte IP-Adresse und kein Netz sein.

 

[PeterPawn]

Das sollte die exakte IP-Adresse und kein Netz sein.

Das übernimmt das FRITZ!OS aber (bei einer LAN-LAN-Verbindung) automatisch richtig und trägt die .1 ein, wenn man ein Netz angibt - was auch nicht zwingend stimmen muß, aber dem Standard entspricht, wenn der Box-Besitzer da nichts verändert hat (und diese Fälle berücksichtigt das AVM-VPN per se nicht, weder mit WireGuard®, noch mit IPSec).

Der Begleittext dazu: https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/avm/021/hilfe_howto_vpn_wireguard_fbfb und:

- wer also eine abweichende IP-Adresse für seine (entfernte) FRITZ!Box verwendet, kann/muß die auch passend angeben ... solange es die .1 ist aber nicht.

Egal, ob man da eine Adresse oder ein Netzwerk angibt ... es wird IMMER ein AllowedIPs-Eintrag mit einer /24-Maske für diese Verbindung verwendet (in der Konfiguration der lokalen Box, die man sich bei den WireGuard®-Einstellungen auch anzeigen lassen kann), im Gegensatz zu einer /32-Maske bei einem "Einzelgerät".

@flapane: Ich würde es mal mit einem Import bei deaktivierter IPSec-Verbindung versuchen ... DA könnte tatsächlich ein Konflikt entstehen, wenn plötzlich ZWEI Wege für die Auslieferung von Paketen an den Peer GLEICHZEITIG vorhanden sind.

 

[flapane]

Ich konnte das Problem mir Hilfe von AVM beheben, in dem ich die IPsec Verbindungen komplett entfernt habe. Eine Deaktivierung war leider nicht ausreichend. Das finde ich verwirrend und soll in der Dokumentation geschrieben werden. Dies habe ich AVM entsprechend gemeldet.

 

[rspring]

Ich sehe das gleiche Phänomen. Habe alle IPsec gelöscht. Das Problem besteht aber weiterhin.
FB 7490 7.51-103578 BETA

 

[flapane]

Interessant. Ob mit der Version 7.51 etwas sich geändert hat...

 

[rspring]

Ich habe keine Idee. Keins der Probleme auf der Hilfeseite von AVM trifft zu. In download der config findet sich der Ziel-IP-Bereich nicht. Es ist unerklärlich, wo die Box einen Konflikt sieht.

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

update:
Mit einem entfernten Netzwerk, das nicht mit 192.168 beginnt, geht es. Ganz offensichtlich ein bug.

update2:
auch beim Import auf fritzbox 2 beschwert sie sich, daß die Adresse der Gegenstelle Probleme bereite. Hier muß man also auch die *.conf datei auf Quatsch ändern, also auf NICHT 192.168.*, dann importieren und nachträglich über den config export und z. B. http://www.mengelke.de/Projekte/FritzBox-JSTool wieder die korrekten IP-Adressen einstellen.
Ein Gemache....

 

[flapane]

Es wäre also nicht ausreichend, dass die Netzwerke auf 192.168.1.x bzw 192.168.178.x sind.