[Sammlung] Wireguard VPN von AVM ab FW 7.39

[frank_m24]

Könnte es etwas bringen, IPv6 zu deaktivieren

IPv6 ist natürlich auch ein denkbarer Weg für DNS Leaks. Würde ich aus Gründen der Ausfallsicherheit aber auf keinen Fall deaktivieren.

und den öffentlichen DNS-Server bei Störungen und in den Fritzbox-Einstellungen unter Internet -> Zugangsdaten -> DNS-Server manuell die den DNS4v-Server des VPN-Anbieters einzutragen?

Das würde zu einer Katastrophe führen. Denn die DNS Server des VPN Anbieters erreichst du nur bei aktiver VPN Verbindung. Du musst aber immer mal damit rechnen, dass der VPN Tunnel ausfällt - und sei es nur bei einem Box-Neustart. Und dann wäre die Box nicht in der Lage, den Tunnel wieder aufzubauen, weil DNS nicht funktioniert, weil der Tunnel nicht aufgebaut ist. Das war es dann mit Internet.

Ich verstehe noch nicht, was an diesen DNS Leaks so tragisch wäre, zumal du das Tracking ja nur verlagerst. Wenn dir die Privacy wichtig ist, dann müsstest du DNS selber machen. Deshalb ist der Aufwand, den du da jetzt investiert, auf jeden Fall rausgeworfene Zeit.

 

[Peter_Lehmann]

Volle Zustimmung!
Genau deswegen habe ich ja @Soliph gefragt, was er mit seiner VPN-Nutzung bezweckt. Aber eine plausible Antwort...

 

[oldmen]

Verständnisfrage:

Das Smartphone verbindet sich mit Wireguard zur FritzBox. Die FritzBox hat Internetverbindung mit Dual Stack, also IPv4+IPv6.
Per DynDNS sind beide IPs "erfolgreich angemeldet".

Wenn ich jetzt im Smartphone-Browser z.B. www.wieistmeineip.de aufrufe, zeigt er mir unter "IPv4 Adresse lautet:" die Wan-IPv4 der FritzBox (korrekt) und "IPv6 Adresse lautet: nicht vorhanden".
Sollte da nicht auch eine IPv6 Adresse erscheinen?

Und wie würde das ganze dann funktionieren, wenn man DS-lite hätte?
(Im Funknetz hat das Smartphone lediglich eine 10.x.y.z IP und keine IPv6.)

 

[Benares]

(Im Funknetz hat das Smartphone lediglich eine 10.x.y.z IP und keine IPv6.)

Daran liegts wohl - oder auch nicht (s. hier)
Edit: Grad mal mit meinem PC probiert, ohne VPN zeigt www.wieistmeineip.de die IPv4 des Routers und die (temporäre) IPv6 meines PCs. Mit VPN nur die IPv4 des Routers.

 

[frank_m24]

Sollte da nicht auch eine IPv6 Adresse erscheinen?

Das AVM Wireguard überträgt (noch) kein IPv6. Man kann den Tunnel über IPv6 aufbauen, aber innerhalb des Tunnels nur IPv4 übertragen.

 

[oldmen]

Ok, danke.
Kann man dann trotzdem über den Tunnel Webseiten erreichen, die ausschließlich nur über IPv6 erreichbar sind?

 

[erik]

Nein.

 

[oldmen]

Gibt es möglicherweise Probleme, wenn ich mich mit aktiviertem Wireguard im Wlan der entsprechenden FritzBox oder im Wlan einer per Box-Box-VPN (IPsec) verbundenen anderen FritzBox befinde?

Ich will die Frage mal selbst mit "ja" beantworten, habe mal einiges rumprobiert.
Viele Apps funktionieren nicht oder nicht richtig, z.B. Banking- und Push-Tan-Apps, CleverTanken und andere.

 

[oldmen]

Noch eine Frage:
Wenn man an einer Box beginnt, eine WG Box2Box Verbindung einrichten zu wollen (also das WG-VPN ist überhaupt noch nicht fertig!), wird die bestehende IPsec-Verbindung sofort gekillt. Man bekommt auch keinerlei Verbindung mehr hin, obwohl beide FritzBoxen weiterhin diese IPsec-Verbindung als "verbunden" anzeigen.
Ist das so korrekt oder läuft da bei mir was falsch?

(Ich wollte eigentlich später wenn ich WG nutze die fertig eingerichtete IPsec-Verbindung lediglich deaktivieren und nicht komplett löschen.)

 

[eDonkey]

(Ich wollte eigentlich später wenn ich WG nutze die fertig eingerichtete IPsec-Verbindung lediglich deaktivieren und nicht komplett löschen.)

Dummer Vergleich von mir: Stell Dir vor, Du willst ein Auto von Links- auf Rechtslenker umbauen. Anstatt ersdtmal den Linkslenker auszubauen und dann den Rechten einzubauen, baust Du zusätzlich zum Linken, den Rechten ein. Welcher gibt jetzt die Fahrtrichtung vor?
Meine Empfehlung: Einrichtung des WG-VPN über den (temporären?) Remote-Zugriff auf die Fritzbox(en). Dann klappts auch mit dem Nachbarn!

 

[oldmen]

Der Auto-Vergleich hinkt (wie fast immer).
Ich will die beiden VPNs ja nicht gleichzeitig benutzen bzw. "aktiv" haben. Damit kommen sie sich ja (eigentlich) auch nicht ins Gehege.

Hab auf beiden Boxen das WG VPN jetzt installiert und das IPsec "deaktiviert".
VNC Fernsteuerung funktioniert wie gewünscht.

Edit:
Allerdings bekomme ich es einfach nicht hin, auf freigegebene Ordner eines Rechners im entfernten Netz zuzugreifen.
Das sollte doch eigentlich über die IP Adresse gehen.
Lediglich auf das FritzNas an der entfernten FritzBox kann ich zugreifen.

Edit2:
Dateizugriff geht jetzt auch, es lag an der Windows Firewall.

 

[odoll]

Das ist ausschließlich eine Frage der "Allowed IPs" in Wireguard, ob dort Netze oder Hosts erlaubt sind. Natürlich müssen die jeweiligen Teilnehmer in der Lage sein, den Datenverkehr entsprechend zu routen, wenn ein ganzes Netz übertragen werden soll. Und in den jeweiligen Zielnetzen muss der Weg ins VPN für alle Endgeräte klar sein, was besondere Bedeutung bekommt, wenn das VPN Gateway nicht auf dem Default Gateway residiert (Stichwort statische Routen).

Sorry, wahrscheinlich habe ich ein Brett vorm Kopf, aber ich bekomme Folgendes nicht hin:

Eine LAN-LAN-Kopplung zwischen einer 7490 (Telekom Dual-Stack) und einer 6660 (VF, ebenfalls Dual-Stack) lässt sich problemlos einrichten und durch die 7490 aufbauen (diverse andere [Peer]s, z.B. Handys , aus dem folgenden Config-Schnipsel entfernt):

WG-7490:

[Interface]
PrivateKey = <PriveKey-7490>
ListenPort = <ListenPort-7490>
Address = 192.168.217.1/24
DNS = 192.168.217.1,192.168.11.3
DNS = fritz.box

[Peer]
PublicKey = <PublicKey-6660>
PresharedKey = <PresharedKey-6660-7490>
AllowedIPs = 192.168.11.0/24
Endpoint = <name>.myfritz.net:<ListenPort-6660>
PersistentKeepalive = 25

WG-6660

[Interface]
PrivateKey = <PrivateKey-6660>
ListenPort = <ListenPort-6660>
Address = 192.168.11.3/24
DNS = 192.168.11.3,192.168.217.1
DNS = fritz.box

[Peer]
PublicKey = <PublicKey-7490>
PresharedKey = <PresharedKey-6660-7490>
AllowedIPs = 192.168.217.0/24
PersistentKeepalive = 25

Nun möchte ich, dass zusätzlich zu der LAN-LAN-Kopplung zwischen 192.168.11/24 und 192.168.217/24 der komplette Internet-Traffic eines "Sub-Source" Netzwerk-Bereichs aus dem lokalen Netz der 7490, sagen wir mal 192.168.217.32/30 durch den WG-Tunnel geroutet wird.
In meiner "alten Denke" würde ich (zumindest [1]) nun auf der 7490 zu dem Peer nun irgendwas wie 192.168.271.32/4 0.0.0.0/0 einfügen wollen, aber so was ist nicht vorgesehen, oder verstehe ich das Routing-Konzept von WG nicht richtig?!

[1] IMO müsste man ja bei IPsec den weiteren Bereich auch in der Config der 6660 unter bringen, damit einem nicht klammheimlich etwas untergejubelt werden kann.

PS: Oder wäre der WG-Ansatz dafür ein weiteres Interface / einen weiteren Tunnel einzurichten? (Was sich auf einer FB aber nicht umsetzen lässt?!)

 

[oldmen]

Vielleicht liegt es daran, dass die 7490 Wireguard nur "eingeschränkt" unterstützt?

 

[frank_m24]

In meiner "alten Denke" würde ich (zumindest [1]) nun auf der 7490 zu dem Peer nun irgendwas wie 192.168.271.32/4 0.0.0.0/0 einfügen wollen, aber so was ist nicht vorgesehen, oder verstehe ich das Routing-Konzept von WG nicht richtig?!

Genau. Der Fall ist in Wireguard nicht vorgesehen. Es gibt in der Standard-Implementierung keine Subnetz-spezifische Sonderbehandlung. Dafür muss man mit anderen Mechanismen sorgen, z.B. mit spezifischen Firewall- und Routing-Regeln, oder man muss die Gateways auf den betroffenen Systemen ändern. Das heißt aber auch: Die IPs, die nur dieses spezifische Subnetz erreichen soll, müssen global für die gesamte VPN Verbindung erlaubt werden. Sollen andere die nicht nutzen können, muss man auch das wieder explizit außerhalb von Wireguard unterbinden. Das hat auch nichts mit box-spezifischen Einschränkungen zu tun.
Die Box hat dafür den Haken, die VPN Erreichbarkeit auf spezifische Hosts einzuschränken, die man aber von Hand auswählen muss. Und es schränkt die Benutzung des VPNs auf diese Hosts ein, die anderen kommen dann gar nicht mehr rein (auch nicht ins lokale Netz der Gegenseite).

[1] IMO müsste man ja bei IPsec den weiteren Bereich auch in der Config der 6660 unter bringen, damit einem nicht klammheimlich etwas untergejubelt werden kann.

Das ist ein genereller Aspekt bei Wireguard: Die Clients entscheiden selber darüber, was sie dürfen. Wenn ein Client sich die Default Route in seine Config schreibt, dann nutzt er den Internetzugang über den Server, und der Server kann nichts dagegen tun (jedenfalls nicht direkt in Wireguard). Das sind alles Dinge, die man außerhalb von Wireguard regeln muss.

 

[Andi_pda]

Hallo,

ich habe eine 6690 sowie eine 6820V3 und beide Netzwerke der Boxen sind über Wireguard verbunden. An der 6820 V3 ist noch eine externe LTE Antenne (Mimo) angebracht.

Leider kommt es häufiger zu Unterbrechungen in der Verbindung zwischen beiden Boxen, es dauert dann auch immer wieder, bis die Wireguard -Verbindung wieder steht. PersistentKeepalive = 25 ist gesetzt.

Die Unterbrechungen sind insofern sehr störend, da ein Audiostream übertragen wird. Gibt es eventuell eine Möglichkeit, die Verbindung stabiler zu gestalten?

Die 6820V3 muss ja immer die Verbindung wieder aufbauen, die sie nicht direkt erreichbar ist (keine öffentlichen IP). Würde es etwas bringen, wenn man OpenWRT auf der 6820 installieren würde?

Andreas

 

[Peter_Lehmann]

Hallo @Andi_pda!

Also ich habe in der mittlerweile schon über 4-jährigen Erfahrung mit meinem "gar nicht mal so kleinen" WireGuard-Netz (immerhin 9 Knoten in drei Ländern) die tolle Erfahrung gemacht, dass die Verbindungen sich wirklich immer "blitzschnell" wieder aufbauen. (*)
Das liegt vor allem darin begründet, dass hier im Gegensatz zum "alten" IPsec nicht bei jedem Verbindungsaufbau aus einer Vielzahl von integrierten Algorithmen der beste gemeinsame Nenner ausgehandelt werden muss.
Ich erwähne aber, dass ich mich nicht mit dem (sorry: kastrierten) AVM-WireGuard befasse, sondern mit einem vollständigen WireGuard unter OpenWrt. Aber was die eigentliche Aushandlung der Verbindung betrifft, sollte es nach meinem Verständnis keine allzu großen Unterschiede geben.

Deshalb gehen meine Gedanken eher dahin, ob nach einer Trennung die beiden Internet-Zugänge auch sofort wieder aufgebaut werden. Woher kommen überhaupt diese Unterbrechungen? Und was ist mit der DynDNS-Auflösung der Endstellen? Wieso hat der eine Router keine öffentliche IP? Mein gesamtes Netz läuft stabil über IPv6 und das obsolete IPv4 ist lediglich noch ein Rückfallprodukt, sollte IPv6 wirklich mal ausfallen.

(*):
Schon oft geschrieben, ich bitte um Entschuldigung.
Mehrfach getestet: Gespräch über die AVM-Fon-App zu Hause (WLAN) aufgebaut. Telefonierend zum Auto gegangen (WLAN bricht ab und Mobilfunk übernimmt). Fahrt ins Städtchen (LTE), ein bekanntes Funkloch von ca. 100m, wo das Gespräch zwar nicht getrennt wird, aber nichts mehr zu hören ist. Danach wieder Verständigung. Im Städtchen durchgängige Versorgung mit Freifunk und im Büro dann unser WLAN. Ergebnis: ein durchgängiges Gespräch, abgesehen von den paar Sekunden im Funkloch. Das ist eben das gute am WireGuard, dass bei einer Änderung des "Trägermediums" ohne dass es bemerkt wird, die Verbindung gefühlt durchgängig steht.

vy 73 de Peter

 

[Andi_pda]

Hallo Peter,

vielen Dank für deine schnelle Antwort.

Ich atte vorher in beiden Netzwerken jeweils einen Raspi eingerichtet, auf denen ein VPN installiert war. Im Netzwerk des LTE Routers war ein Reverse VPN aktiv, da dieser LTE Vertrag keine öffentliche IP Adresse hat. Es hat eigentlich gut funktioniert. Nun wollte ich es aber mit Wireguard direkt auf den Fritzboxen laufewn lassen, damit ich keine Ports mehr öffnen muss.

Wie gesagt, die 6820 V3 mit 1&1 Vertrag hat eine öffentliche IP Adresse, die 6690 schon.

Die 6690 ist bei myfritz mit einer DynDNS registriert, also muss die 6820V3 mit Wireguard die Verbindung immer offenhalten. Leider kommt es ab und zu zu Verbindungsabbrüchen und langsamen Wiederaufbau.

Fehlermeldung 6690:

[Edit Novize: Riesenbild auf Vorschau verkleinert - siehe Forumsregeln]


Darum war ja auch meine Frage, was würde die 6820V3 mit OpenWRT beim Wiederaufbau anders machen als das kastrierte AVM Wireguard? Gibt es dauch auch nur den keepalive Parameter?

ich glaube, hier liegt der Fehler bei der 6820

 

[oldmen]

Mal eine halb-OT Frage:
Gibt es unter Windows 10 (leider nur "home") eine einfache Möglichkeit, die Wireguard Verbindung auch als "Standardbenutzer" zu verwenden?
Der Wireguard Client will bei mir immer nur "Administratorkonto" aber damit möchte ich natürlich nicht ständig arbeiten.

 

[Joe_57]

Meist hilft bei W10-Home folgendes:
- deinstalliere Wireguard
- rufe die Installationsdatei mittels "rechte Maustaste - als Administrator ausführen" auf.
Danach sollte sich das Programm auch ohne Fehlermeldung als normaler User starten lassen.

 

[oldmen]

Leider nein, das wäre ja auch zu einfach gewesen...

Schon direkt nach der Installation mit "als Admin ausführen" kommt:

Das gleiche kommt auch, wenn ich als User Wireguard mit "als Admin ausführen" starten will.

Wenn ich als User Wireguard starte kommt:


Ich komme also leider als Standard User nicht ans Wireguard ran, kann also weder eine Verbindung starten oder beenden.
So ist das für mich komplett unbrauchbar.
Sehr schade - bleibt also doch nur IPsec.