[Sammlung] Wireguard VPN von AVM ab FW 7.39

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
eDonkey schrieb:
Oder meinst Du den DynDNS-Name des Client? Der benötigt keinen.
Zum Vergrößern anklicken....
Genau um den Punkt geht es.
Ich komme nich in die Wireguard config der Client/Filial-Fritzbox, ohne dass mich die Fritzbox dazu auffordert DynDns zu parametrieren. Ich habe und will hier aber gar kein DynDns parametrieren.
 
Zuletzt bearbeitet:
Deine Formulierungen sind irreführend, Du redest einerseits von einem Client, meinst aber eine 2. FB. Bei einem Lan2Lan-VPN giebt es keinen Client, das wäre das was von der Fritzbox unterstützt wird und dazu braucht die 2.FB zwingend einen DynDNS-Account, ansonsten läßt die FB die Konfiguration nicht zu. Eine FB im Client-Mode zu betreiben, ist nicht vorgesehen, ging noch nie, leider.
 
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gemäß der Forumsregeln gelöscht]
In Wireguard Terminologie ist das ein "Client". In AVM Terminologie nennt sich das "Filiale".
(Ich habs in meinem initialen Post soeben auch nochmal verbessert. Danke für den Hinweis.)

Terminologie hin oder her:

Wozu sollte die Filial-FB ein DynDNS brauchen. Natürlich kann ich hier (wie eingangs von mir genannt) igendwelche Phantasiewerte eingeben.
Hat jemand anderes hier eine bessere Idee als diese Variante oder konstruktiven Vorschlag?
 
Zuletzt bearbeitet von einem Moderator:
Das stört mich schon lange, bei einer über Mobilfunk nur über IPv4 angebundenen Box reicht nicht mal ein MyFritz-Account, weil der eine interne IP zurückmeldet. Ein Dyndns-Account, der die IP, von dem die Anfrage kommt, abspeichert ist nötig, um Wireguard einzurichten. Für den Aufbau der Wireguard-Verbindung ist der zwar nicht nützlich, anders funktioniert es aber nicht.
 
Also bzgl. Verbindung zu einem VPN Anbieter (mein Beispiel Proton VPN) über die 7490 mit fritzbox-7490-labor-102539 (funktioniert halt einfach nicht), Details hier ->

https://twitter.com/i/web/status/1615191897806630914

hat AVM mir geantwortet:

vielen Dank für Ihre Rückmeldung zum Labor für die FRITZ!Box. Sie hatten uns folgendes Problem beschrieben:
Fritzbox kann mit der Wireguard Config von Proton VPN nicht umgehen.
Folgender Parameter ist das Problem:
AllowedIPs = 0.0.0.0/0
sowie
AllowedIPs = 0.0.0.0/0,::/0

führen zu:
"Importierte Konfigurationsdatei passt nicht zu den erweiterten Einstellungen (Gesamter Datenverkehr)."
Zum Vergrößern anklicken....

Aufgrund Ihres Feedbacks zu Ihrem beschriebenen Problem möchten wir Ihnen gern mehr Informationen mitgeben.
Für die FRITZ!Box 7490 steht die WireGuard-Funktion nur eingeschränkt zur Verfügung.

Das Szenario "Firmeneinwahl" (zu einem VPN-Anbieter) sowie die Optionen
[ ] Gesamter Datenverkehr über diese Verbindung
[ ] NetBIOS über diese Verbindung zulassen (Für Microsoft Windows Datei- und Druckerfreigaben)
[ ] nur bestimmte Geräte nutzen diese Wireguard-Verbindung
(wie IPSEC: Geräteabwahl)

stehen bei der FRITZ!Box 7490 nicht zur Verfügung bzw. werden von der FRITZ!Box 7490 leider technisch bedingt nicht unterstützt.
Zum Vergrößern anklicken....
 
Ich habe nachdem mit der neuen Firmware wg auf den Boxen Einzug gehalten hat, meine bisherige über separate wg-Installationen auf einen RPi auf die Fritz!Box (7590) umgebaut.

Das sind:
Kopplung von zwei Netzen als Lan-Lan-Kopplung = läuft

Zusätzlich ist auf jeder Box ein weiterer Peer für einen Road Warrior eingerichtet.
Zunächst auf der ersten Box ein Peer erstellt, dann mit der hieraus resultierenden config über den Dialog der zweiten Box diesen dort angelegt importiert und das bestehende Profil um diesen Peer erweitern lassen.

Als Ergebnis bekommt der Road Warrior eine Konfiguration, die wie folgt aussieht:

Code: 
[Interface]
PrivateKey = ...
Address = 192.168.20.201/24,192.168.40.201/24
DNS = 192.168.20.1, 192.168.40.1
DNS = fritz.box

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 192.168.20.0/24,0.0.0.0/0
Endpoint = blablablubs.irgendwo:12345
PersistentKeepalive = 25

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 192.168.40.0/24
Endpoint = blablablubs2.irgendwo:56789
PersistentKeepalive = 25

Diese Konfig auf einem Android führt allerdings dazu, dass nur das Netzwerk erreichbar ist, das im Interface an erster Stelle angegeben ist. Im diesem Fall also alles von 192.168.20.0/24
Geräte im zweiten Netzwerk sind erst erreichbar wenn die Konfiguration geändert wird und im Interface die 192.168.40.201/24 an die erste Stelle kopiert wird.

D.h. die von AVM (und mir) gewünschte parallele Erreichbarkeit beider Netzwerke funktioniert bei mir aktuell nicht.

Kennt jemand das Problem beim Zugriff auf zwei separate Netzwerke über eine Client-Konfiguration?
 
Bin zwar kein Experte ;) Mal versucht statt Komma ein Semekolon zu verwenden bei Interface? Oder beim 2ten Peer die Quelle hintenan zu stellen?
 
Ich glaube, es gibt aktuell einen Bug in nahezu allen Firmwares, die Wireguard bieten. Ich konnte ihn gerade mit der aktuellen Inhaus für die 5530 nachvollziehen.

Wenn man eine VPN Verbindung für einen Road Warrior erzeugt, und gibt dort an, dass nicht der gesamte Internetverkehr durch den Tunnel geleitet werden soll, dann ist trotzdem 0.0.0.0/0 in der Client Konfiguration enthalten. In der Folge kommen die Clients nicht mehr ins Internet. Nimmt man die Default Route manuell raus aus der Zielkonfiguration, dann funktioniert alles wie vorgesehen.
 
  • Like
Reaktionen: Micha0815
Micha0815 schrieb:
versucht statt Komma ein Semekolon zu verwenden bei Interface?
Zum Vergrößern anklicken....
Die Config wird nur akzeptiert, wenn alle Angaben durch Komma getrennt sind.

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

frank_m24 schrieb:
Wenn man eine VPN Verbindung für einen Road Warrior erzeugt, und gibt dort an, dass nicht der gesamte Internetverkehr durch den Tunnel geleitet werden soll, dann ist trotzdem 0.0.0.0/0 in der Client Konfiguration enthalten.
Zum Vergrößern anklicken....
Jupp, das habe ich nicht einmal bemerkt, weil meine Anwendung vorsieht, dass für den Client dann tatsächlich der gesamte Verkehr über einen der Tunnel geht.

Allerdings funktioniert das Erreichen des jeweils im Interface an zweiter Stelle angegebene Netzwerk bei mir auch nicht, wenn die Default-Route gelöscht ist.
 
Zuletzt bearbeitet von einem Moderator:
Die Erreichbarkeit eines zweiten Netzes habe ich durch Setzen einer statischen Route im Router des ersten sowie des zweiten Netzes sowie durch Einfügen des IP-Bereiches in den allowed IPs der Wireguard-Konfiguration hinbekommen.
 
So wie @erik es beschreibt, muss es auch sein. Der Weg muss Ende-zu-Ende bekannt sein. Solange die VPN Routen nicht durchs Default Gateway erschlagen werden, müssen entsprechende statische Routen erzeugt werden. Bei den Wireguard Endpunkten kann man das erzeugen der Routen ggf. durch die Allowed IPs automatisieren.
 
frank_m24 schrieb:
Der Weg muss Ende-zu-Ende bekannt sein.
Zum Vergrößern anklicken....

Aber nach meinem Verständnis ist doch genau das mit den in der Config festgelegten Endpunkten definiert. WG weiß über die AllowedIPs, dass er Pakete für dieses Segment über das wg-Interface routen soll.

Mir erscheint es so, dass das Problem darin liegt, dass dieses Interface zwei IP-Adressen zugewiesen bekommt, weil AVM für den Tunnel jeweils eine IP aus dem Netz der Fritte nutzt, anstatt für den Tunnel ein anderes Subnetz zu nutzen.
 
NetSupport schrieb:
weil AVM für den Tunnel jeweils eine IP aus dem Netz der Fritte nutzt
Zum Vergrößern anklicken....
Dann ist das wohl der falsche Typ von Tunnel - bei einer LAN-LAN-Kopplung wird KEINE Adresse aus dem LAN-Segment zugewiesen.
 
NetSupport schrieb:
WG weiß über die AllowedIPs, dass er Pakete für dieses Segment über das wg-Interface routen soll.
Zum Vergrößern anklicken....
Bei der WG Verbindung schon. Aber du willst ja offenbar ein 2. Subnetz erreichen. Und das muss sowohl im Router es ersten als auch in dem des 2. Subnetzes vorbereitet werden.
 
  • Like
Reaktionen: erik
frank_m24 schrieb:
Aber du willst ja offenbar ein 2. Subnetz erreichen.
Zum Vergrößern anklicken....
Damit ich die Sache verstehe.

Es gibt zwei unabhängige Netze, die nicht einmal miteinander gekoppelt sein müssen.
Auf der ersten FB wird über den Dialog eine einfache wg-config für ein Einzelgerät generiert.
Auf einer zweiten FB bietet AVM die Möglichkeit an, die bestehende Konfiguration zu importieren, damit:

Der PrivateKey des Client-Interface ausgelesen, der PublicKey daraus berechnet und als neuer Peer in die eigene Konfiguration aufgenommen wird.
Gleichzeitig wird die bestehende Client-Config um den Peer der zweiten FB ergänzt und dem Anwender zum Download angeboten. Das alles passiert ohne dass sich die beiden Boxen selbst über Site2Site kennen.

Wo also soll eine statische Route in der einen wie in der anderen FB einen Sinn ergeben? Ziel ist ja, dass die Netze direkt vom Road Warrior erreicht werden und nicht über Bande. Und wenn, welches wäre das Gateway für das jeweils andere Subnetz?

Vielleicht verstehe ich die Idee dahinter nicht, doch so wie AVM es anbietet, ist der Import einer bestehenden Config zum Erweitern eines zusätzlichen Peers funktionslos, da nur das Subnetz mit der generierten Config erreichbar ist, welches im Interface in der Zeile Address an erster Stelle angegeben ist, sprich auf der ersten FB generiert wurde. Zumindest auf Android, ob es unter anderen OS genauso ist, habe ich noch nicht testen können.
 
Zuletzt bearbeitet:
Der Client (Android) kann sich ja nur zu einer Fritzbox gleichzeitig verbinden. Das zweite Netz erreicht er also nur "über Bande", also auf dem Umweg über die zweite WG-Verbindung zwischen beiden Fritzboxen. Wie man bei AVMs eigenartiger Implementation ohne separaten IP-Bereich für das Wireguard-Netz aber nun Routen anlegen soll, ist mir auch schleierhaft, ich bleibe vorerst bei meinen separaten Geräten.
 
  • Like
Reaktionen: Peter_Lehmann
NetSupport schrieb:
Ziel ist ja, dass die Netze direkt vom Road Warrior erreicht werden und nicht über Bande. Und wenn, welches wäre das Gateway für das jeweils andere Subnetz?
Zum Vergrößern anklicken....
Du willst also auf dem Roadwarrior eine Konfiguration erzeugen, die 2 Peers bedienen kann? Kann man das in Apps von IOS und Android überhaupt? Ich glaube nicht. Jedenfalls ist mir dann immer noch nicht klar, was die Importfunktion der Fritzbox damit zu tun hätte.

Wie dem auch sei, selbst wenn das einzurichten ist und dann nicht wie vorgesehen funktioniert, wäre es ein Problem des Roadwarriors, und nicht der Fritzboxen.
NetSupport schrieb:
Vielleicht verstehe ich die Idee dahinter nicht, doch so wie AVM es anbietet, ist der Import einer bestehenden Config zum Erweitern eines zusätzlichen Peers funktionslos, da nur das Subnetz mit der generierten Config erreichbar ist, welches im Interface in der Zeile Address an erster Stelle angegeben ist, sprich auf der ersten FB generiert wurde. Zumindest auf Android, ob es unter anderen OS genauso ist, habe ich noch nicht testen können.
Zum Vergrößern anklicken....
Ich verstehe nicht im Entferntesten, was du damit erreichen willst. Die Import-Funktion der Fritzbox erweitert ja nicht eine vorhandene Konfig um einen neuen Peer, sondern legt eine neue Konfig an, die unabhängig von den existierenden funktioniert. Wie also sollen da unterschiedliche Subnetze eine Rolle spielen? In der Roadwarrior Konfig der Fritzbox gibt es nur ein Subnetz, nämlich das der Fritzbox, da AVM mit Proxy ARP arbeitet.

Ich habe das Gefühl, du versuchst da, ein riesiges Routing Kuddel Muddel aufzubauen.
 
frank_m24 schrieb:
Du willst also auf dem Roadwarrior eine Konfiguration erzeugen, die 2 Peers bedienen kann? Kann man das in Apps von IOS und Android überhaupt? Ich glaube nicht. Jedenfalls ist mir dann immer noch nicht klar, was die Importfunktion der Fritzbox damit zu tun hätte.
Zum Vergrößern anklicken....
Diese Config wird natürlich nicht auf dem Road Warrior erzeugt. Das ist eine Funktion, die die FB beim Anlegen eines weiteren Zuganges selbst anbietet (einfach mal die Frage, ob es bereits eine bestehende Config gibt im Dialog mit "Ja" beantworten).

frank_m24 schrieb:
Die Import-Funktion der Fritzbox erweitert ja nicht eine vorhandene Konfig um einen neuen Peer...
Zum Vergrößern anklicken....
Doch, genau das tut sie. Mit dem Ergebnis, dass der Client eine Config bekommt, die nur zur Hälfte funktioniert. Du musst dafür natürlich den "Frage-Antwort-Dialog" nutzen und nicht die obere Option, in der tatsächlich einfach nur stumpf ein weiterer Peer auf der Box mit einer unabhängigen Config angelegt wird.

frank_m24 schrieb:
In der Roadwarrior Konfig der Fritzbox gibt es nur ein Subnetz, nämlich das der Fritzbox, da AVM mit Proxy ARP arbeitet.
Zum Vergrößern anklicken....
Nein, nicht nachdem du dieses von einer weiteren FB hast "bearbeiten" lassen. Mag sein, dass AVM hier etwas anbietet, was in ihrem Setup nicht funktionieren kann.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 225 (Mitglieder: 17, Gäste: 208)

Neueste Beiträge

Statistik des Forums

Themen
244,807
Beiträge
2,218,757
Mitglieder
371,493
Neuestes Mitglied
msh7
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück