[Sammlung] Wireguard VPN von AVM ab FW 7.39

[LtSpock]

Ja sorry natürlich

Ich habe aus Versehen den falschen Publickey (nicht den der Fritzbox) im Account von Surfshark für die manuellen Einstellungen hinterlegt.

Das aktuelle Problem ist jetzt aber, dass wohl die DNS-Auflösung nicht richtig funktioniert. Manchmal geht es und manchmal nicht.

So sieht der Tunnel für Surfshark Frankfurt aus. Die DNS sind von Surfshark und direkt auf dem VPN-Server, um einen Leak zu verhindern. Soweit auch ok.

[Interface]
Address = xxxxx.myfritz.net:55985
PrivateKey = xxxxx
DNS = 162.252.172.57,149.154.159.92

[Peer]
PublicKey = xxxxx
AllowedIPs = 0.0.0.0/0
Endpoint = de-fra.prod.surfshark.com:51820

Wenn ich mir dann aber die Einstellungen auf der Fritzbox anschaue, werden die DNS von Surfshark nicht korrekt übernommen:

[Interface]
PrivateKey = xxxxxxx
ListenPort = 55985
Address = 192.168.1.1/24
DNS = 192.168.1.1,149.154.159.92. —> 162.xxx fehlt (s.o.)
DNS = fritz.box

[Peer] —> wgFritzbox Geräte
PublicKey = xxxx
PresharedKey = xxxxx
AllowedIPs = 192.168.1.101/32
PersistentKeepalive = 25
[Peer] —> Surfshark
PublicKey = xxxxxxx
PresharedKey = xxxxx
AllowedIPs = 0.0.0.0/0
Endpoint = de-fra.prod.surfshark.com:51820
PersistentKeepalive = 25

In der Fritzbox habe ich zwei eigene DNS eingestellt: Raspi mit Unbound/Pihole und einen externen Pihole/Unbound bei Strato.

Ich vermute, dass die Fritzbox bei aktivem Tunnel für den Datenverkehr intern nicht auflösen kann und nur sporadisch die 154.xxx zieht. Die 192.xxx braucht er halt, wenn ich mit dem Iphone auf die Fritzbox tunnele.


Was ich noch festgestellt habe ist, dass bei aktivem wgTunnel vom Iphone auf die Fritzbox der Microsoft Autehticator nicht richtig funktioniert. Wenn ich mich ins Firmennetzwerk einlogge, dann muss ich das mit dem Authenticator genehmigen, läuft dann aber in einen Timeout. Ohne wgTunnel funktioniert es einwandfrei.

 

[Xantorix]

Hallo @Xantorix!

standardmäßig ein Persistentes Keep-Alive von 25 Sekunden gesendet

Steht bei AVM auch in der config. Warum die Boxen den Tunnel deaktivierten kann ich nicht sagen. Es ist ja auch noch ne Inhouse Version. Mal sehen ob es für die 7490 noch ne final gibt und was die macht.

 

[frank_m24]

Das aktuelle Problem ist jetzt aber, dass wohl die DNS-Auflösung nicht richtig funktioniert. Manchmal geht es und manchmal nicht.

Sowas passiert vor allem immer dann, wenn du trotz VPN Verbindung deinen Provider DNS nutzen willst. Viele Provider lassen Zugriff auf Ihre DNS Server nur zu, wenn die Anfrage aus dem eigenen Netz kommt. Kommt sie von einem VPN Gateway, wird sie abgelehnt.

Da scheint also irgendwo in deinem DNS Setup noch der Wurm drin zu sein.

 

[LtSpock]

Ich nutze eigene DNS, einen internen Pihole mit hyperlokalem Unbound und einen externen Pihole bei Stratos ebenfalls mit hyperlokalem Unbound. Die Provider DNS nutze ich schon lange nicht mehr.

 

[frank_m24]

Und deine lokalen DNS Server lassen Zugriff von außen zu?

 

[LtSpock]

Der Pihole/DNS bei Stratos ist natürlich von aussen erreichbar der interne Pihole natürlich nicht.

Das Problem wird das Fritz-Wireguard sein:

[Interface]
PrivateKey = xxxxxxx
ListenPort = 55985
Address = xxxxx
DNS = 192.168.1.1,149.154.159.92. —> 162.xxx fehlt (s.o.)
DNS = fritz.box
[Interface]


Wie man sieht unterschlägt er einen DNS von Surfshark und lässt dafür den 192.168.1.1 bzw. fritz.box stehen, welche von der Cient-Config für Endgeräte richtigerweise angelegt wurde. Da wird im Interface sowohl für FritzClient—>VPN-Dienst als auch Endgeräte—> FritzServer alles schön durchgemixt, was so nicht richtig sein kann.
Leider kann man die Konfigurtion der Fritzbox nur herunterladen, aber nicht editieren.

Wenn man die Fritzbox sowohl als Client als auch Server konfiguriert, werden max drei DNS ins Interface geklatscht und für alle Peers gleichermaßen genutzt, was halt so nicht funktioniert.
Dem wgClient z.B. auf dem Iphone ist das egal, weil er ohnehin über die Fritzbox auflösen kann. Der FritzClient geht dann aber auf die Bretter. Es sei denn man ändert die DNS der Fritzbox auf solche um, welche von außen erreichbar sind.

Unter dem Strich kann man bei Konfig der Fritzbox als wgClient zwar DNS mitgeben, was aber bei der aktuellen Implementation nichts nützt.

 

[frank_m24]

Man erkennt deutlich, dass so ein externer VPN Anbieter kein Anwendungsfall bei AVM für die Entwicklung war. Dieser Nameserver ist natürlich tödlich, wenn du die Defaultroute übers VPN schickst.

 

[LtSpock]

Das kann man so vom status quo erkennen, wenn man möchte. Ich sehendas anders und habe bereits bei AVM eine Anfrage laufen. Wenn es Infos gibt werde ich berichten.

Andererseits ist es halt auch eine Laborversion und es gibt kein offizielles Statement von AVM, was die Einsatzszenarien von Wireguard schlussendlich sein werden. Einen VP-Dienstleister anbinden, um das ganze Heimnetz abzusichern halte ich heutzutage für ein Standardszenario, wenn ein Router Wireguard unterstützt. Um nur mit dem Iphone auf die Fritzbox zu verbinden reicht IPsec vollkommen aus.

Dass es funktionieren kann zeigen ja z.B. Router mit openWRT

 

[frank_m24]

Einen VP-Dienstleister anbinden, um das ganze Heimnetz abzusichern halte ich heutzutage für ein Standardszenario, wenn ein Router Wireguard unterstützt.

Vielleicht sind sie, was die Sinnhaftigkeit dieses Vorgehens angeht, anderer Meinung und wollen ihre Kunden genau davor schützen.

Was die Anwendungsfälle angeht, war AVM relativ deutlich, wie ich fand. Es sollen die gleichen Dinge mit IPv6 und mit Wireguard funktionieren, die heute mit IPSec und IPv4 gehen. Das sind:
- Zugriff von außen aufs Heimnetz
- Site-2-Site Verbindungen, aber lediglich mit dem jeweiligen Zielsubnetz, nicht mit der Defaultroute. Letzteres kann dann auch für Zugänge in ein Firmennetz genutzt werden.

Darauf werden erst mal die Optimierungen liegen. Ob deine Wunschfunktionen dann noch hinzukommen, und wann das der Fall sein wird, darüber kann man im Moment nur spekulieren.

 

[Peter_Lehmann]

@LtSpock:

Welchen der drei die IT-Sicherheit ausmachenden Kriterien erhöhst du, wenn du einen kommerziellen VPN-Dienstleister in deine Verbindung einbindest?
(Ich bin ja trotz meines schon recht hohen Alters immer noch lernfähig und möchte das einfach nur wissen und verstehen. Meine Frage ist keinerlei Kritik oder überhaupt keine Meinung zu deinem Vorhaben. Wirklich nur eine Frage.)

vy 73 de Peter

 

[LtSpock]

Vielleicht sind sie, was die Sinnhaftigkeit dieses Vorgehens angeht, anderer Meinung und wollen ihre Kunden genau davor schützen.

Vor was soll man den geschützt werden, wenn man einen serösen VPN-Anbieter benutzt. Es wäre einfacher als auf jedem Endgerät im Heimnetz Wireguard zu installieren, falls das überhaupt möglich ist. Abgesehen davon ist auf der Fritzbox durchaus vorgesehen, dass man nur bestimmte Geräte für den Tunnel zulässt, d.h. man hätte im Heimnetz eine zentrale Stelle an der man die Geräte verwaltet.

In deinem Kontext denke ich daher eher AVM will es sich nicht mit den Providern verscherzen, welche so ja keine Kundendaten mehr abgreifen können.

@Peter_Lehmann
Dazu kann man genug lesen:

Was ist VPN und wie funktioniert es?

Ein VPN verschlüsselt und anonymisiert Ihren Datenverkehr im Internet. Doch wie sicher ist eine VPN-Verbindung und wie richtet man sie ein?

www.kaspersky.de

VPN: 9 Gründe warum ihr einen VPN-Dienst nutzen solltet

Ein VPN bringt Anonymität und Sicherheit. Doch es gibt noch viele andere Gründe, warum ihr stets einen VPN-Dienst nutzen solltet. Wir zeigen euch neun davon.

www.netzwelt.de

Ich nutze VPN auf den Iphone und Tablet mit einem Profil. D.h. es wird automatisch immer mit VPN verbunden, wenn Mobilfunk verbunden oder in einem WLAN, welches nicht auf der Whitelist steht. Dabei wird alles an Trackern etc. rausgefiltert, aber die Seiten funktionieren trotzdem noch.


Warum soll, ich meine Daten der Werbeindustrie schenken? Man läuft ja auch nicht nackt durch die Strasse.

 

[frank_m24]

Vor was soll man den geschützt werden, wenn man einen serösen VPN-Anbieter benutzt.

Vor der finanziellen Schröpfung.

In deinem Kontext denke ich daher eher AVM will es sich nicht mit den Providern verscherzen, welche so ja keine Kundendaten mehr abgreifen können.

Ich kann dich beruhigen, das können sie immer noch. Der Unterschied ist nur, dass es einen weiteren Provider gibt, der auch deine Kundendaten abgreift und sich das auch noch von dir bezahlen lässt.

 

[LtSpock]

ist das so? Bitte um Erklärung

 

[frank_m24]

Das wird hier offtopic. Das hier finde ich ganz nett: https://www.kuketz-blog.de/kommentar-der-mythos-vom-anonymen-vpn-zugang/
Der hier ist noch besser: https://gist.github.com/joepie91/5a9909939e6ce7d09e29

Aber das sollte davon auch genug sein. Über die technische Umsetzung können wir gern weiter diskutieren.

Übrigens, wenn du Werbung und Tracker filtern willst, dann mach es doch einfach mit einem PiHole. Wesentlich weniger aufwendig, kostet wesentlich weniger Performance und ist komplett kostenlos.

 

[LtSpock]

Ich habe zwei Piholes (s.o.) und der Inhalt der Links ist soweit bekannt. Danke!
Mir gehts auch nicht um 100% Anonymität, da ich keine gesetzwidrigen Dinge mache.

Bleiben wir on topic bei der technischen Umsetzung von Wireguard auf der Fritzbox.

Ich werde testweise mal die zwei VPNs von Surfshark in der Fritzbox eintragen, dann sollte theoretisch die DNS-Auflösung funktionieren, weil die 192.xxx dann ja auf diese DNS geht.

 

[frank_m24]

Du kannst die Links und willst trotzdem weiterhin ein VPN nutzen? Puuh.

Ich werde testweise mal die zwei VPNs von Surfshark in der Fritzbox eintragen, dann sollte theoretisch die DNS-Auflösung funktionieren, weil die 192.xxx dann ja auf diese DNS geht.

Das hab ich nicht verstanden. Wie sehen die Routen der VPNs denn aus, damit das eine Änderung bringen soll?

 

[LtSpock]

Surfshark hat eigene VPNs die im selben Netz liegen, damit es kein DN-Leak gibt. Die werden bei WG imInterface von der Fritzbox ja nicht richtig angelegt (s.o.).

Also habe ich nun in der Fritzbox meine zwei eigenen DNS rausgenommen und die Surfshark-DNS 162.252.172.57,149.154.159.92 eingetragen. Hat aber ebenfalls nix gebracht. Verbindung steht aber keine DNS-Auflösung.

In Wireguard sieht es halt komisch aus, weil er Client und Server Verbindungen zusammenwürfelt:

[Interface]
PrivateKey = xxxxxxx
ListenPort = 55985
Address = xxxxx
DNS = 192.168.1.1,149.154.159.92 —> 162.xxx fehlt (s.o.)
DNS = fritz.box
[Interface]

Ich warte mal ab was da noch von AVM kommt.

 

[frank_m24]

Surfshark hat eigene VPNs die im selben Netz liegen, damit es kein DN-Leak gibt.

Wie soll das denn funktionieren? Hast du dazu einen Link?

//Nachtrag: Hat sich erledigt, ich habs gegooglet. Surfshark hat eine eigene Interpretation von DNS Leak, die hat mit dem klassischen DNS Leak nichts zu tun.

 

[LtSpock]

Mit der neuen Laborversion hat sich das Thema Fritzbox als Client zu VPN-Dienst zumindest vorläufig erledigt. Die gleiche Konfig-Datei wird nach dem Update mit einem Netzwerkkonflikt abgelehnt. Naja, ist halt eine Consumerproduct…

 

[FlyingToaster]

Wenn man mal über den Tellerrand schaut:
DrayTek hat jetzt beim Vigor 3910 die 2. Firmware mit WireGuard rausgebracht und ist gar nicht mal so langsam dabei:

Up- und Download von einer 5590 aus mit MagentaZuhause XXL 500/100 und
mangels AVM-WireGuard per Windows-WireGuard-Client.