[Sammlung] Wireguard VPN von AVM ab FW 7.39

Wenn neustart nicht hilft und nicht warten möchtest dann vorherige Firmware einspielen, VPN erstellen und firmware danach aktualisieren. Ich hatte auch schon mehrmals gehabt
 
Zuletzt bearbeitet:
@TobiasH
Du kannst Dir den QR-Code ja auch selber bauen, der Inhalt ist ja eigentlich kein Geheimnis.
Code:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX=
Address = 192.168.XXX.XXX/24
DNS = 192.168.XXX.X
DNS = fritz.box

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.XXX.0/24,0.0.0.0/0
Endpoint = XXXXXXXXXXXXX.myfritz.net:XXXXX
PersistentKeepalive = 25
Den "PrivateKey" der Box aus einer Sicherung auslesen, den Rest bekommst Du direkt aus der FritzBox-Oberfläche
und dann hier QR Code Generator erzeugen.
 
OT: Einen "Spasstext" würde ich einem externen QR-Generator u.U. anvertrauen. Aber VPN-Credentials? Da kann man sie gleich hier im Forum veröffentlichen. :(
LG
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Micha0815
Hallo Welt ;),
nach viel Recherche im Netz, hier im Forum und hier im Thread hoffe ich(kein Nerd, kein Laie) hier richtig zu sein, ansonsten kurze Info wo das Problem besser aufgehoben wäre:

Situation:
Mit dem MB im Homenetz wird mir auch das NAS im Finder unter "Orte/Netzwerk" angezeigt.
Gestern habe ich mein erstes VPN (WG auf der FB) sowie auf dem SP als auch dem MB jeweils problemlos zum Laufen gebracht.

Problem:
Nachdem ich gelesen hatte, dass sich mit WG die verbundenen Geräte wie im heimischen Netzwerk verhalten, habe ich voller Erwartung das SP als Hotspot eingeschaltet und mit dem MB gekoppelt. Anschließend auf dem MB das WG eingeschaltet und mit dem WG auf der FB verbunden. Nun hätte ich erwartet, dass ich das NAS im Finder auf dem MB unter "Orte/Netzwerke" wie direkt im heimischen LAN sehe - aber nichts da...

Diagnosen / Versuche:
  • Vor und nach dem Einschalten von WG auf dem MB und dem PC mit "whoami" sichergestellt, welche IP ich nach außen hin habe. => mit WG sind PC und MB identisch, also funktioniert WG wie erwartet.
  • Browser (Chrome) läuft auf dem MB problemlos, auch mit WG
  • Während auf dem SP mit eingeschaltetem WG bei "whoami" auch eine lokale IP angezeigt wird, fehlt diese Angabe beim MB
  • Während mein Home-LAN unter "192.168.178.x" läuft, zeigt mir das MB direkt im LAN die IP "192.168.178.208" an , nach Kopplung via SP und WG jedoch die IPv4 "192.168.165.180" mit eingestelltem Router "192.168.165.65" mit DHCP. Also habe ich das MB bei letztgenanntem Verbindungsweg mal manuell auf "192.168.178.208" gestellt mit dem Router "192.168.178.0" als auch mal "192.168.178.1" => jetzt ging gar nichts mehr am MB, auch kein Browsen. Anschließend wieder zurück auf die automatischen Einstellungen, wo wenigstens noch der Browser lief "(192.168.165.65" auf dem MB")
  • Dann irgendwo hier im Forum gelesen, dass oftmals auch die Firewall am PC schuld sein kann - also deaktiviert => ohne Erfolg
  • Recherche bei AVM ergab naheliegenden Hinweis #3716 Netzwerkzugriff hinter FB. Die Punkte 1 (WG anpassen) und 2 (statische IP-Route in FB einrichten) meine ich noch verstanden und umgesetzt zu haben, allerdings erfolglos. Wobei ich bei dem (virtuellen?) Router mit der Endung ".65" nicht genau wusste, ob ich da die ".0" oder".65" am Ende verwenden soll - als beides versucht. Bei Punkt 3 bin ich allerdings zuvor ausgestiegen, da ich nicht verstanden habe, was wo noch gemacht werden soll...
  • Zwischendurch nach den Ein-/Umstellungen immer wieder mal Neustart, damit sich das System die neuen IP zieht - ohne Erfolg
  • Auf dem NAS läuft übrigens SMB3.
Vermutung:
Irgendwie muss ich eine Bridge zwischen den "192.168.178.x" im LAN und dem gekoppelten "192.168.165.x" schlagen. Aber wie ?


Bin jetzt nach mehreren erfolglosen Stunden der Recherche und der Versuche mit meinem Latein am Ende und hab keine Idee mehr.. Oder geht es vielleicht gar nicht, was ich da vorhabe?

Für eure Tipps wäre echt dankbar... :)
 
  • Haha
Reaktionen: KunterBunter
Was ist MB und SP? Vielleicht solltest du allgemeinverständliche Begriffe benutzen.

Generell ist bei SMB nur der direkte Zugriff auf eine Freigabe möglich, da die Discovery Protokolle nicht über VPN übertragen werden.
 
  • Like
Reaktionen: tom2708
MB: MacBook Air (aktuell), SP: Samsung Galaxy S21 (aktuell), FB: Fritz!Box 7590 (7.50)
 
  • Like
Reaktionen: tom2708
Aha. Nun gut. Aber dann frage ich mich, was du mit #3716 willst. Das passt nun wirklich überhaupt nicht. Aber ansonsten ist das Problem einfach die fehlende Übertragung von Multicast.
 
Ich habe bei meiner Fritzbox 7520 auf Firmware 7.50 ein ähnliches Problem wie @TobiasH. Ich bin per VPN mit meiner Fritzbox verbunden und will einen Wireguard Zugang erstellen. Nach dem Bestätigen des Telefoncodes bricht die Internetverbindung ab.

Den "PrivateKey" der Box aus einer Sicherung auslesen

Ich denke du meinst ein Sicherung der Fritzbox?! Reicht hier eine Sicherung, die ich nicht per Telefoncode oder Taste bestätigen muss? Das kriege ich nur schwer aus der Ferne hin. Wo finde ich den "PrivateKey" in der Sicherung?
 
Hallo zusammen!

Folgende Situation liegt vor:
Via meiner FritzBox 7590 gehe ich auf eine FritzBox7590 AX, um dort via RemoteVerbindung auf den Dekstop zugreifen zu können.
Nun bricht diese Verbindung regelmäßig in kurzen Abständen ab. Im Protokoll von Wireguard findet sich dazu folgendes:

2023-04-29 15:17:58.796: [TUN] Sending keepalive packet to peer 1 ([2003:...]:57852)
2023-04-29 15:18:29.592: [TUN] Retrying handshake with peer 1 ([2003:....]:57852) because we stopped hearing back after 15
2023-04-29 15:18:29.592: [TUN] Sending handshake initiation to peer 1 ([2003:.....]:57852)
2023-04-29 15:18:29.625: [TUN] Receiving handshake response from peer 1 ([2003:....]:57852)
2023-04-29 15:18:29.625: [TUN] Keypair 27 destroyed for peer 1
2023-04-29 15:18:29.625: [TUN] Keypair 29 created for peer 1
2023-04-29 15:18:29.625: [TUN] Sending keepalive packet to peer 1 ([2003:....]:57852)

Woran kann das liegen und wie bekomme ich das korrigiert?

Jemand eine Idee?
 
Das Log kommt aber nicht von einer Fritzbox, oder? Oder nutzt du freetz?
 
Gibt es eine Möglichkeit die Wireguard Verbindung zu überwachen? (Welcher Client ist verbunden, letzter Handshake, übertragene Daten)
 
Bei AVM wird nur die aufgebaute Verbindung mit einem grünen Punkt dargestellt.
 
Aha. Nun gut. Aber dann frage ich mich, was du mit #3716 willst. Das passt nun wirklich überhaupt nicht. Aber ansonsten ist das Problem einfach die fehlende Übertragung von Multicast.
Ich habe es bislang so verstanden, dass ich bei einer VPN-Verbindung auf meine Fritz!Box Zuhause von unterwegs auf alle hieran angeschlossenen Geräte zugreifen kann - z.B. den PC oder NAS, so wie ich es innerhalb meines Heimnetzes mit meinem MacBook auch kann. Und diese gleichen Zugriffe dann aus der Ferne von einem öffentlichen WLAN oder via LTE mit dem Smartphone bei einer entsprechenden 4G oder 5G-Verbindung aus.

Welchen Sinn sollte es denn andererseits haben, sich mittels VPN ausschließlich mit der Fritz!Box zu verbinden und dann nicht die Geräte dahinter zu erreichen ? :confused:

Und das ist es, was ich in meinem Post #425 hier bei Leuten mit Ahnung von der Materie versucht habe, zu erfragen. Insbesondere, ob dies mglw. via LTE gar nicht geht, was ich vorhabe. Häufig habe ich unterwegs nämlich kein öffentliches WLAN zur Verfügung.

Die Kürzel in meinem Post: habe ich in meiner Signatur auf meine Geräte bezogen, da ich bei meiner Recherche vor dem Posting in diesem Forum sehr häufig über Abkürzungen gestolpert bin. Daher ging ich davon aus, dies sei hier so gewünscht und üblich ;)

#3716: Ich will da gar nichts damit. Das war aber halt meines Erachtens nur der Beitrag bei AVM, der meinem Problem am ehesten gerecht wird. Kann ja auch sein, dass ich da noch nicht fortgeschritten genug bin um das zu erkennen...

Multicast: Ich habe mal recherchiert, was das sein soll und was mir das helfen soll. Aber hat DAS wirklich mit meinem Thema zu tun?
Ich will doch keine gleichzeitige Verbindung mit mehreren Teilnehmern, sondern nur von 1 MacBook zu 1 Fritz!Box, die sich so darstellt, als wäre ich Zuhause.

Für eure Hinweise zur Lösung/Beantwortung meines Problems wäre ich übrigens immer noch dankbar... :)
Lediglich ein lachendes Smile am Ende meines Posts bringt mich übrigens nicht wirklich weiter.
 
Eine automatische Anzeige vom NAS im Finder funktioniert nur wenn das MacBook über eine automatische Suche mittels Broadcast (Multicast) das NAS auch entdeckt hat.

Über VPN funktioniert sowas aber nicht. Das MacBook weiss dann nicht was sich im Netzwerk deiner FRITZ!Box befindet.

Du musst das NAS also direkt über dessen IP ansprechen.
 
  • Like
Reaktionen: Joe1007
Ich habe es bislang so verstanden, dass ich bei einer VPN-Verbindung auf meine Fritz!Box Zuhause von unterwegs auf alle hieran angeschlossenen Geräte zugreifen kann - z.B. den PC oder NAS, so wie ich es innerhalb meines Heimnetzes mit meinem MacBook auch kann.
Ja, genau so ist es auch. Der Zugriff ist nicht dein Problem.

Welchen Sinn sollte es denn andererseits haben, sich mittels VPN ausschließlich mit der Fritz!Box zu verbinden und dann nicht die Geräte dahinter zu erreichen ? :confused:
Stimmt, das würde keinen Sinn machen. Ist aber - wie gesagt - auch gar nicht das Problem.

Und das ist es, was ich in meinem Post #425 hier bei Leuten mit Ahnung von der Materie versucht habe, zu erfragen.
Ja, das haben wir schon verstanden. Wir machen das ja auch so. ;)

#3716: Ich will da gar nichts damit. Das war aber halt meines Erachtens nur der Beitrag bei AVM, der meinem Problem am ehesten gerecht wird. Kann ja auch sein, dass ich da noch nicht fortgeschritten genug bin um das zu erkennen
Ja, mag sein. Glaub mir, das passt wirklich überhaupt nicht. Du hast kein separates Netz hinter deinem Router, auf das du zugreifen willst. Ist alles im LAN deiner Fritzbox.

Multicast: Ich habe mal recherchiert, was das sein soll und was mir das helfen soll. Aber hat DAS wirklich mit meinem Thema zu tun?
Ich will doch keine gleichzeitige Verbindung mit mehreren Teilnehmern, sondern nur von 1 MacBook zu 1 Fritz!Box, die sich so darstellt, als wäre ich Zuhause.
Doch, genau das ist das Problem. Denn dein NAS sendet Daten an mehrere Empfänger gleichzeitig, damit es gefunden werden kann, nämlich an alle Geräte in deinem LAN. Und genau das geht über VPN nicht. Nicht der Zugriff ist dein Problem, sondern die Service Discovery. Der Zugriff erfolgt über VPN genau so, wie bei dir zu Hause. Der Unterschied ist: Du musst wissen, wohin du zugreifen willst, das wird dir nicht mehr von allein angezeigt.
 
  • Like
Reaktionen: Joe1007
Frage "Gesamter Datenverkehr (IPv4)" mit Wireguard über die FB.

Ich habe jetzt mal Zugänge für div. geräte zur FB mit Wiregaurd eingerichtet. Klappt auch alles. IM FB Menü Wireguard ist mir aber aufgefallen, dass bei "Gesamter Datenverkehr (IPv4)" jeweils nein steht.
Ich kann mich nicht erinnern, während der Einrichtung gefragt worden zu sein, ob der gesamte Datenverkehr über die Box soll oder nciht. Wo kann ich das einstellen bzw. die bestehende Konfig ändern?

Was hat es im Falle von "Gesamter Datenverkehr (IPv4)" = nein damit auf sich? Welche Daten werden dann über die FB geschickt, welche nicht?

Kann jemand weiterhelfen?

Danke
 
Was hat es im Falle von "Gesamter Datenverkehr (IPv4)" = nein damit auf sich? Welche Daten werden dann über die FB geschickt, welche nicht?
Das hat gar nichts zu tun mit Daten, die vom Client über die FB geschickt werden. Die Einstellung bewirkt, dass die FB aus ihrer Richtung alle Daten über den VPN Tunnel schickt - auch die für den Internetzugang des gesamten LANs. Dein Handy unterwegs wird sich freuen, wenn du plötzlich den Traffic eures gesamten Heimnetzes übertragen sollst.

In der Clientkonfiguration entscheidest du über die Allowed IPs, welche Daten vom Client durch den Tunnel geschickt werden.
 
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Danke. Kapiert.
Bei den Clients habe ich folgendes: 192.168.178.0/24, 0.0.0.0/0 (IP6 hab ich auf der FB nicht aktiviert)

Damit sollte der ganze Traffic durch VPN, oder?
 
Und für die Deaktivierung des allein zukunftsfähigen IPv6 hast du auch bestimmt einen guten Grund?
Ich frage ja nur...

vy 73 de Peter
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.