[Sammlung] Wireguard VPN von AVM ab FW 7.39

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
362
Punkte für Reaktionen
112
Punkte
43
Hallo @Nagra!

Grundsätzlich kann Wireguard mehrere VPN-Tunnel aufbauen und verwalten. Mein eigenes Netz besteht aus ggw. acht (!) externen weit verteilten VPN-Servern (umgeflashte 4040 und 7412) und baut somit 7 verschiedene Tunnel auf. Also, "Wireguard" kann das schon! Auch das Importieren mehrerer Konfigurationen aus exportierten Profilen.
Ob es das neue "AVM-Wireguard" auch kann, weiß wohl von uns hier noch niemand. Die meisten sind froh, wenn sie darüber überhaupt schon eine Verbindung zustande bringen ... .

Mein Vorschlag:
Eine aktuelle Sicherung deiner Konfigurationen und des/der WG-Profile durchführen und einfach selbst mal testen. Wenn du das alles richtig planst und durchführst, kannst du ja bei einem Fehlschlag ganz schnell wieder zum funktionierenden Setup zurück.
Da ich mich persönlich ggw. (noch) nicht mit dem "AVM-Wireguard" befassen will, kann ich dir auch nicht sagen, ob es hier möglich ist, unterschiedliche udp-Ports für die Tunnel zu vergeben. Zumindest musst du ja den entsprechenden Port deines VPN-Providers realisieren.

vy 73 de Peter
 
  • Like
Reaktionen: Nagra

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Habe gerade versucht ein site to site VPN (Wireguard) zwischen 6690 und der 7590 mit der neusten Labor ( bei beiden) einzurichten.....
Kein Erfolg.
Funktioniert es aktuell noch nicht, oder mache ich was falsch?

6690:
- Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? = nein
- Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden? = ja
- Soll die Einstellungsdatei der Gegenstelle importiert und automatisch um die neue Verbindung erweitert werden? = nein
- WireGuard-Einstellungen anzeigen (7590) und in die Maske (6690) Kopieren
- Fertigstellen
- Einstellungen speichern

7590:
- Verbindung hinzufügen
- Benutzerdefinierte Einrichtung
- Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? =ja
- Name der WireGuard®-Verbindung = x
- Datei auswählen = gespeicherte Einstellungen der 6690
- Fertigstellen

?

Grüsse
Peter
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Die exportierte Einstellungsdatei der 6690 ist deren eigene. Erstelle mit der 7590 ebenfalls so eine Datei und vergleiche mal. Eigentlich kann man daraus erschließen, wo man welchen Schlüssel eintragen muß und welche Einstellungen über kreuz nötig sind. Dann beide Verbindungen löschen und die angepassten Dateien importieren.
 

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Müssen denn "Öffentlicher Schlüssel" und "Vereinbarter Schlüssel" auf beiden Boxen übereinstimmen?
 

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Ok, da scheint wohl der Wurm drin zu sein.
Mit der Letzten Beta hat die VPN Verbindung zwischen 6690 und 7590 wunderbar funktioniert....jetzt habe ich es nach vielen Versuchen nicht geschafft.

Hat jemand von euch zwei Fritzboxen mit der aktuellsten Beta über Wireguard verbunden?
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Hier x die Config beider Boxen:

6690 FRITZ!OS:07.39-96998 Inhaus (internet Adresse sc1kq9..........myfritz.net:53...)
[Interface]
PrivateKey = eHBeXi0p/............=
ListenPort = 53...
Address = 192.168.181.1/24
DNS = 192.168.181.1,192.168.199.1
DNS = fritz.box
[Peer]
PublicKey = Z/Fad6P5LwNoR...........=
PresharedKey = iEBnlpMOVh.....................=
AllowedIPs = 192.168.199.0/24
PersistentKeepalive = 25


7590 FRITZ!OS:07.39-96975 BETA
[Interface]
PrivateKey = oEXvatOHy.......=
ListenPort = 50189
Address = 192.168.199.1/24,192.168.199.1/24
DNS = 192.168.199.1,192.168.181.1
DNS = fritz.box

[Peer]
PublicKey = 23Z6NydG................=
PresharedKey = iEBnlpMOV...................=
AllowedIPs = 192.168.181.0/24
Endpoint = sc1kq9.............myfritz.net:53...
PersistentKeepalive = 25


Vielleicht habe ich ja doch noch n groben Fehler drin?
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Der PresharedKey muß übereinstimmen. Der PrivateKey ist für jede Box einmalig, allerdings muß der PublicKey in der Config der anderen Box immer aus dem PrivateKey des Verbindungspartners errechnet worden sein.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Bei openWRT kann man den eintragen, muß es aber nicht. Das soll wohl die Sicherheit zusätzlich erhöhen. Zu probieren wäre, ob sich zwei Fritzboxen verbinden, wenn man den PresharedKey aus der Config-Datei rauslöscht. Bei meiner Testbox habe ich den drin gelassen und beim Raspi, der als Verbindungspartner dient, habe ich ihn eingetragen. Die anderen Peers des Raspi laufen ohne PresharedKey.

Das schöne beim OpenWRT ist, dass man über die Weboberfläche Luci einen PrivateKey erzeugen lassen kann und dann im Status den dazugehörigen PublicKey angezeigt bekommt. Damit habe ich die von der Fritzbox erzeugten Keys zugeordnet, um vernünftige Config-Dateien für Fritzbox und Raspi zu erzeugen. Ich weiß, dass das auch über die Konsole geht, mit Windows und Copy & Paste ist Webkonfiguration aber bequemer.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Micha0815

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Hab den PresharedKey rausgelöscht.....kein Erfolg.
Mit den heutigen Beta-Versionen auch kein Erfolg.
 
Zuletzt bearbeitet:

H'Sishi

Aktives Mitglied
Mitglied seit
31 Jan 2007
Beiträge
2,570
Punkte für Reaktionen
124
Punkte
63
Wenn ich das richtig verstehe, muß der Private-Key aus Box 1 in den Public-Key Box 2 eingetragen werden und der Private-Key aus Box 2 in den Public-Key Box 1.
Der Preshared-Key muß in beiden Boxen identisch sein.

Das Setup aus #68 wäre also fehlerhaft, da die Keys falsch zugeordnet sind.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

repete1

Neuer User
Mitglied seit
15 Jan 2007
Beiträge
92
Punkte für Reaktionen
3
Punkte
8
Jetzt läuft es! Hab in der 7590 die IPv6-Unterstützung in den Zugangsdaten ausgeschaltet.
 

B612

IPPF-Promi
Mitglied seit
30 Jan 2021
Beiträge
3,771
Punkte für Reaktionen
620
Punkte
113

H'Sishi

Aktives Mitglied
Mitglied seit
31 Jan 2007
Beiträge
2,570
Punkte für Reaktionen
124
Punkte
63
Wie gesagt, "wenn ich das richtig verstehe ...". Wenn ich falsch liege, möge man mich korrigieren.
Ich nahm an, dass jede Box den Public-Key der jeweiligen Gegenstelle nutzt, um den Traffic auf der entsprechenden Strecke zu verschlüsseln und die empfangenen Datenpakete jeweils mit dem eigenen "Private"-Key zu entschlüsseln.

Um B612's Frage aus #74 zu beantworten ... ah ... ok, mein Fehler, bin in der Zeile verrutscht. Auf den ersten Blick sah es aus, als wäre der Private-Key der ersten Box als Preshared-Key der 2. Box eingetragen.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,857
Punkte für Reaktionen
239
Punkte
63
Um es noch mal richtigzustellen: Der aus dem PrivateKey der ersten Box errechnete PublicKey muß bei Box 2 eingetragen werden und umgekehrt. Der PrivateKey sollte die Box aus Sicherheitsgründen nicht verlassen.
 
  • Like
Reaktionen: H'Sishi

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
362
Punkte für Reaktionen
112
Punkte
43
Die (sorry!) "kastrierte" AVM-Version von WireGuard baut ja letztendlich auf das "WireGuard" von Jason Donenfeld auf. Im Unterschied zum originalen WireGuard auf OpenWrt ist das "AVM-WireGuard" letztlich nur in seinen Konfigurationsmöglichkeiten mehr oder weniger beschränkt worden, damit auch unbedarfte Nutzer ("interessierten Laien") damit umgehen können.
Trotzdem möchte ich gerade interessierten Laien, welche das "AVM-WireGuard" nutzen wollen, sehr ans Herz legen, die Originaldokumentationen von WireGuard als Wissensquelle heranzuziehen. Auch die von mir mehrfach geposteten Quellen aus der c't sind dazu sehr gut geeignet.
Viele Probleme und viele Fragen, welche hier im Forum gepostet werden, könnten die User dann selbst lösen. Außerdem ist selbst erworbenes Wissen immer "besseres Wissen"!

vy 73 de Peter

edit: Tappfühler korrigiert ;-)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: H'Sishi und Micha0815

Zurzeit aktive Besucher

Statistik des Forums

Themen
241,040
Beiträge
2,156,498
Mitglieder
365,292
Neuestes Mitglied
Heee
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet für bis zu 10 Nutzer dauerhaft kostenlos. Gehostet ab 10 Nutzer und selbst verwaltet im ersten Jahr kostenlos. Ohne Risiko testen!

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.