[Sammlung] Wireguard VPN von AVM ab FW 7.39

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo zusammen,

ich habe die Tage Wireguard auf meiner Fritzbox eingestellt. Einmal einen Zugang für Handy (Android) und einmal für den Laptop.
Handy funktioniert ohne Probleme. Ich komme ins Netz, kann alle (Box und dahinterliegende Geräte anpingen) und mich zB per ssh auf meine Rechner klinken.
Auf dem Laptop(Windows 11) sieht die Config so aus:

[Interface]
PrivateKey = ********
Address = 192.168.178.202/24
DNS = 192.168.178.1, fritz.box
MTU = 1280

[Peer]
PublicKey = ********
PresharedKey = ********
AllowedIPs = 192.168.178.0/24,
Endpoint = ********
PersistentKeepalive = 25

Die App stellt eine Verbindung her. Ping zu 192.168.178.1 (Fritz.box) funktioniert, ich kann auch per Browser auf die Box zugreifen und Sachen ändern etc.
Nur die dahinterliegenden Geräte im Netzwerk sind weder per Ping noch anders erreichbar.
Ich habe das VPN im Windows schon auf Privates Netz gestellt und ohne Windowsfirewall getestet. Das brachte aber keinen Fortschritt.
Hat jemand ne Idee was man umstellen kann/muss?
 
MrPsycho schrieb:
AllowedIPs = 192.168.178.0/24,
Zum Vergrößern anklicken....
Ist da am Ende ein Komma zu viel oder hast du da was gelöscht?

Bei mir steht da
AllowedIPs = 192.168.178.0/24, 0.0.0.0/0
also gesamter Datenverkehr.

@eDonkey, nein 192.168.178.202/32 steht in der Fritte.
 
Ja hatte vorher auch 0.0.0.0/0 dahinter stehen. Das brachte aber zumindest für dieses Problem keine Änderung.
 
Dann probier's halt nochmal mit einem neuen Anlauf mit einer neuen Verbindung.
 
Ok also klassisch "Have you tried to reboot it?"
Neu erstellen hat funktioniert. Das einzige was ich in der Konfig aktuell anders sehe als vorher ist das er jetzt nen Port bei der Adresse dazu hat.
Danke für die Antworten :)
 
Das heißt, es funktioniert jetzt?
Welcher Port bei welcher Adresse? Endpoint?
 
Benares schrieb:
Welcher Port bei welcher Adresse? Endpoint?
Zum Vergrößern anklicken....
Das ist ja wohl IMHO auch die einzige Stelle, wo in der conf ein Port angegeben ist.

BTW: Hier als kleines Geschenk für MrPsycho ein "ei".
Und noch einmal völlig kostenfrei und keinesfalls umsonst den Hinweis auf die garantiert hilfreiche Originaldokumentation für WireGuard von Jason Donenfeld.

vy 73 de Peter
 
Hallo zusammen, ich versuche seit einigen Tagen eine funktionierende WG Verbindung unter bestimmten Umständen (per VPN) einzurichten.
Genauer gesagt funktioniert es schon, allerdings, nur wenn ich vor Ort in dem lokalen Netz bin. Dann wird mir abschließend beim Einrichten ja der erzeugte QR-Code angezeigt oder die entsprechende *.conf zum download angeboten. Dieses kann ich ohne Probleme mit einem Smartphone scannen oder auch die conf in einem Win WG Client importieren.

Versuche ich per VPN eine Verbindung einzurichten, hängt sich die entfernte Box zwar nicht weg, wie teilweise hier zuvor beschrieben, jedoch wird die aktive VPN-Verbindung stets getrennt. So wird es erforderlich, die VPN erneut aufzubauen und sich an der Web GUI anzumelden. Es wurde zwar die neue WG Verbindung angelegt und in der GUI angezeigt, mit Public Keys, Netzen, Trallala und Hopsasa sowie eine herunterladbaren *.conf Datei.
Nirgends wird allerdings beschrieben, dass man mit diesen Informationen eigentlich keinen Client einrichten kann und zur grundsätzlichen Information dienen.

In dem Szenario ich habe den QR oder die conf bei Erstellung des Peers verbummelt, wird man nicht weiterkommen, weil einfach der korrespondierende Private Key zu dem dargestellten Public Key fehlt, oder?

Ist das korrekt, dass man immer in dem lokalen Netz der entsprechenden Box sein muss, um einen ein gültiges Pärchen PKey/PubKey zu bekommen?

Diese Variante den Private Key aus einer Sicherung zu extrahieren ist mir auch nicht so ganz klar, ich glaube Preshared und Private werden in dem Export verschlüsselt dargestellt.

Was ist denn Best Practice einen Peer mit einer "verbummelten" conf einzurichten? Oder bleibt echt nur die Möglichkeit sich das in Präsenz zu ziehen?


Grüße
 
Hallo Netzwerkexperten,

ich nutze das portable Softphone MicroSIP unter Win11, welches sich als Telefoniegerät an meiner 6591 registriert. Damit kann ich problemlos alle in der FB eingerichteten Rufnummern nutzen, intern anrufen, AB abfragen etc. bis ich mit dem WG Client einen (funktionierenden) Tunnel zu einer entfernten FB aufbaue. Ab dann funktioniert zwar der Rufaufbau, aber das Audiorouting geht in die Hose. Ich höre die Gegenstelle nicht. Die Gegenstelle hört mich nicht. Ich hab keine Ahnung, was ich in der WG Konfig eintragen oder anpassen muss. Zur Zeit sieht sie so aus:

Code: 
[Interface]
PrivateKey = ***
Address = 192.168.10.201/24
DNS = 192.168.10.1, fritz.box

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.10.0/24, 0.0.0.0/1, 128.0.0.0/1
Endpoint = ***
PersistentKeepalive = 25

Im WG Client ist der Haken bei Blockiere Verkehr außerhalb des Tunnels (Not-Aus) nicht gesetzt.

Bin für jeden Tip dankbar :)
 
Vielleicht noch ein kleiner Hinweis, das bei einer weiteren Stelle AVM nicht "konform" bei der Wireguard-Umsetzung ist:

Die FB haben per Default eine MTU von 1392 auf dem wg-interface.

Alle anderen Standard-Clients hingegen 1420 (win/linux/mac, etc.)

Entweder man Importiert "MTU = 1420" zur Fritzbox mit rein (noch nicht getestet, ob die sich dann selber endlich "conform" verhält...)
oder die GEGENSEITE bekommt ein "MTU = 1392" importiert - was dann jedoch den kompletten "Remote-Server" downgraded auf eine MTU von 1392,
sofern man die FB als WG-CLIENT verwendet und sich von dort nach "extern" verbindet....

Das könnte bei der einen oder anderen Sache schon relevant werden, wenn kein "clamping", bzw. automatische blackhole-MTU Erkennung sauber implementiert ist...
 
  • Like
Reaktionen: peter_altherr
peter_altherr schrieb:
AllowedIPs = 192.168.10.0/24, 0.0.0.0/1, 128.0.0.0/1
Zum Vergrößern anklicken....
Die letzten beiden Einträge müssen raus (0.0.0.0/1, 128.0.0.0/1). Du darfst nur das entfernte Subnetz routen, nicht den Internetverkehr, damit verlierst du den Zugriff auf dein Heimnetz.
 
  • Like
Reaktionen: peter_altherr
Hallo @frank_m24, danke für den Tip. Ich hab die beiden IP-Ranges rausgenommen. Der Tunnel wird weiterhin erfolgreich aufgebaut und ist funktional. Das Problem mit dem Audiorouting besteht leider immer noch.
 
Genug freie Ports in der FW? Ist DMC irgendwo aktiviert? Das funktioniert im VPN nicht wirklich. Hatte so etwas mal bei einer HiPath4000.
 
Ich habe mal bitte zwei Fragen an die, die sich auskennen und Wireguard schon länger nutzen (Handy Client an FritzBox):

1. Wie kann man die Wireguard Konfiguration in ein Handy kriegen, wenn die Hauptkamera kaputt ist?
(Die Selfi-Kamera kann man leider nicht auswählen.)

2. Gibt es möglicherweise Probleme, wenn ich mich mit aktiviertem Wireguard im Wlan der entsprechenden FritzBox oder im Wlan einer per Box-Box-VPN (IPsec) verbundenen anderen FritzBox befinde?
 
Hallo oldmann!

zu 1.: Du kannst auch mit der installierten WireGuard-App auf eine (auf sichere Art und Weise) auf das Smartphone kopierte Konfigurationsdatei verweisen und diese Datei importieren. Das ist eine offizielle, in der App angebotene Lösung.

zu 2.: Einfach mal probieren. Kann doch nichts passieren.

Ich (Betreiber eines schon recht großen WireGuard-Netzes mit 9 externen Geräten als Wireguard-"Server" und ca. 50 daran angeschlossenen Clients) lasse grundsätzlich auf meinem Smartphone das VPN aktiv. Auch, wenn ich zu Hause oder in einem anderen WLAN bin.
Gerade wegen der Nutzung fremder und sehr oft auch unverschlüsselter WLAN (=> Freifunk!!!) nutze ich ja mein VPN.
Zum "AVM-WireGuard" kann ich dir dazu aber aus verständlichen Gründen (weil ich eben dieses nicht nutze!) nichts sagen.

vy 73 de Peter
 
Zuletzt bearbeitet:
Grad mal geschaut. Auf der Fritte wird nach der Erstellung der Verbindung der QR-Code angezeigt, rechts daneben kann man aber auch Konfigurationsdatei herunterladen. Auf dem Handy dann genauso, man hat die Wahl entweder einen QR-Code zu scannen oder die Konfiguration aus einer Datei zu importieren. Man muss halt die Datei nur irgendwie aufs Handy bringen.

Edit: @Peter_Lehmann war schneller.
Bei mir funktioniert WG auch im heimischen WLAN
 
Vielen Dank euch beiden!

Noch eine dritte Frage:
Muss man evtl. mit einem erhöhten Datenverbrauch rechnen, wenn man Wireguard im Mobilnetz nutzt?
(Offenhalten des Tunnels?) Habe nur ein sehr begrenztes Inklusiv-Volumen...
 
Benares schrieb:
Bei mir funktioniert WG auch im heimischen WLAN
Zum Vergrößern anklicken....
Kommst du über diesen Weg auch auf clients (z.B. Repeater) hinter der Fritzbox ?
Ich muß WG im eigenen WLN deaktivieren um auf die Clients zu kommen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 301 (Mitglieder: 41, Gäste: 260)

Neueste Beiträge

Statistik des Forums

Themen
245,063
Beiträge
2,223,587
Mitglieder
371,869
Neuestes Mitglied
André-M
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück