7590-AX hinter Router des ISP

[EbuNetzNet]

Hallo

Ich bin ganz neu in diesem Forum, begründet mit der aufkommenden Beschäftigung mit Netztechnik. Primär ist jetzt das Thema Wireguard im Vordergrund.

Das Ziel wäre: Wiregard-VPN auf der 7590AX nutzen, die hinter dem ISP-Router/Modem via LAN (ISP) zum WAN(7590AX) angeschlossen ist.

Aktuelles Setup:
Router A: Am VDSL des ISP, leider ohne Wireguard-Funktion (Hersteller mir nicht bekannt)
Router B: 7590AX angeschlossen an einem Netzwerkport des Router A. An Router B wird der WAN Port gemäss Anleitung 'Fritz' benutzt.

Intern läuft alles wie es soll. Zugriff aus dem Netz des Router B, sowohl auf die Clients am Router A, wie auch am Router B ist möglich.

Am Router A gibt es eine Art DMZ-Funktion die besagt, dass "Wenn Sie die Exposed Host (DMZ) Funktion einschalten, kann das gewählte Gerät direkt aus dem Internet erreicht werden. Alle Ports werden an dieses Gerät weitergeleitet." - Diese Funktion ist eingeschaltet und das ausgewählte Gerät ist der Router B mit IP, das der Router A vergeben hat.

Frage: Ist es möglich, die Wireguard-Funktion des Router B nutzbar zu machen? Der Plan wäre, das NAS, das am Router B angeschlossen ist, von extern zu erreichen. Via Wireguard-VPN. Wenn ja, welche Ports müssen wo geöffnet werden? Momentan stehe ich etwas auf dem Schlauch.

Vielen Dank für den einen oder anderen Tipp.

 

[blurrrr]

Hi,

hast Du mal hier geschaut: https://avm.de/service/wissensdaten...es-anderen-Herstellers-im-Heimnetz-einsetzen/? Dort ist folgende Passage zu finden:

Für WireGuard-Verbindungen verwendet die FRITZ!Box einen Port zwischen 49152 und 65535. Dieser wird bei Einrichtung der ersten WireGuard-Verbindung zufällig ausgewählt und in der Benutzeroberfläche der FRITZ!Box unter "Diagnose > Sicherheit > FRITZ!Box-Dienste" angezeigt.

Also Verbindung einrichten, Port raussuchen, diesen bei dem vorgeschalteten Router freigeben und als externen Ansprechpunkt für diesen Standort sollte dann die externe IP des vorgeschalteten Router dienen. Da der myfritz-Dienst für die Zuordnung zwischen DynDNS-Adresse und öffentlicher IP zuständig ist, sollte dort dann die öffentliche IP des vorgeschalteten Routers auftauchen.

Überprüfen kannst Du das z.B. in der Windows-Eingabeaufforderung via nslookup <Deine myfritz-Adresse> (ohne Angabe von HTTP davor, also z.B. "nslookup a1b2c3d4e5.myfritz.net")

 

[EbuNetzNet]

vielen Dank @blurrrr für die weiterführenden Informationen. Ich habe die verlinkten Informationen in der Tat schon gelesen, haben mir aber keine Erleuchtung gebracht.

Ich habe also:
- An der FritzBox die WireGuard-Funktion aktiviert.
- Den betreffenden Port rausgesucht.
- Am vorgeschalteten Router eine Portweiterleitung (UDP) auf die FritzBox (IP des vorgeschalteten) Routers erstellt.

Leider ohne Erfolg. Wireguard aktiviert sich nicht. Siehe beiliegendes 'PrintScreen'.

Am vorgeschalteten Router gibt es noch die Funktion "Statische Routen". Diese Funktion wird wie folgt beschrieben:
"Mit statischen Routen können Experten-Nutzer einen zusätzlichen Router an der Internet-Box betreiben. Damit die Internet-Box das Netzwerk des zusätzlichen Routers kennt, muss einmalig eine statische Route eingetragen werden. Somit wird sichergestellt, dass der Datenverkehr an das zusätzliche Netzwerk weitergeleitet wird."

Ist das allenfalls eine zielführende Funktion?

 

[blurrrr]

Mit statischen Routen hat das in diesem Moment nichts zu tun.

Wireguard aktiviert sich nicht. Siehe beiliegendes 'PrintScreen'.

Schau mal lieber in die Logs/Protokolle der beiden Kisten, welche miteinander verbunden werden sollen

 

[the other]

Moinsen,
ist denn der zu erreichende andere Router überhaupt verfügbar?
Du schreibst ja hier von deinem Gerät, dass sich aber mit einem entfernten Router / wireguard Server verbinden soll.
Kann es also sein, dass du lokal zwar alles richtig hast, der entfernte Server aber eben (noch) nicht korrekt konfiguriert wurde?
Als Infos fehlen mir noch:
- Anschluss bei dir (IPv4, Dual Stack mit IPv6, nur IPv6 und kein öffentliches IPv4 > DS light)?
- Anschluss beim zu erreichenden Gerät (siehe oben)?
- Stimmt der DynDNS Eintrag?
- ...

Und eben die Einträge in den Protokollen.

 

[EbuNetzNet]

Hallöchen...

Ja, der zu erreichende Router ist verfügbar.
Anschluss IPv4 mit dynamischer IP
Via DynDNS ist der zu erreichende Router vom Internet erreichbar: https://abcd.ddns.net:12345 damit komme ich auf die Anmeldemaske der 7590AX

Protokolle muss ich noch suchen...

 

[the other]

Moinsen,
na, das ist ja alles schon einmal eine gute Voraussetzung...
Danke für die schnelle Antwort.
Ich selber bin nicht allzu erfahren mit wireguard, nur ein wenig rumgespielt...aber für die Eingrenzung kannst du ja auch ggf. mal eine (anonymisierte) Version deiner wireguard Konfiguration als screenshot o.a. einstellen, das hilft sicherlich den wireguard Profis hier beim Fehler suchen.

 

[EbuNetzNet]

@the other Meinst Du diese Konfiguration hier:

 

[EbuNetzNet]

Zwischenzeitlich war ich nicht untätig und habe die 7590AX auf die Werkseinstellungen zurückgesetzt und neu aufgesetzt. Aktuell ist es so, wenn ich im internen WLAN bin - jenem des vorgeschalteten Routers, und dann im iPhone die Wireguard-App aktiviere, dass es funktioniert. Sobald ich das WLAN verlasse, deaktiviert sich die Verbindung zu Wireguard.

Meine Konklusion daraus ist, dass der Zugang von extern 'Internet>RouterA>RouterB>Wireguard' noch nicht funktioniert. Werde da mal daran arbeiten und später wieder berichten. Aktuell muss ich das Projekt ein paar Tage zurückstellen.

Gruss und Dank Euch beiden bis hierher. @the other @blurrrr

 

[blurrrr]

Schau mal über die Eingabeaufforderung via nslookup <Deine MyFritz-Adresse> nach, ob die MyFritz-Adresse auch auf Deine öffentliche WAN-IP des Internet-Routers zeigt, oder ob da ggf. die (interne) "WAN"-IP der Fritzbox hinterlegt ist. Im Fall der Fälle müsste man da schauen, ob man die MyFritz-Adresse ggf. über den ersten Router aktualisieren kann, so dass auch wirklich die öffentliche WAN-IP Deines Anschlusses bei der MyFritz-Adresse hinterlegt wird:

Router A: X.X.X.X
Router B: 192.168.x.x

Es bringt nichts, wenn die Adresse von Router B bei der MyFritz-Adresse hinterlegt ist, die "192.168.x.x"-Adressen sind privater Natur und werden nicht durch das Internet geleitet. Vielleicht postest Du auch einfach mal die ersten beiden Oktette Deiner öffentlichen IPv4 (X.X.y.y), nicht, dass es sich dabei noch um irgendwelche Sonderlocken handelt

 

[Barungar]

Alternativ geht auch folgendes Szenario...

Die myfritz-Adresse wird lediglich vom Einrichtungs-Assistenten der FritzBox "erzwungen". Der lässt einfach keine Wireguard-Verbindung einrichten, wenn myfritz nicht aktiv ist. Aber man kann auch einen anderen DNS-Namen verwenden. Dazu kann man ganz einfach in der Wireguard App am Smartphone die Verbindung von der FritzBox aufrufen und dann dort auf Bearbeiten gehen.

Etwas runterscrollen und unter Teilnehmer / Endpunkt den gewünschten DNS-Namen eintragen mit dem es dann funktioniert.

So ist man nicht auf das MyFritz angewiesen. Wie @blurrrr schon vermutet hat, bin ich mir nämlich nicht sicher, wie sich die FritzBox verhält, wenn sie "erkennt", dass sie hinter einem anderen Router läuft. Eventuell ist dann auf der myfritz-Adresse entweder der A-Record nicht vorhanden oder es steht eine falsche, weil interne IP, drin. Dann wird ggf. nur ein AAAA-Record angelegt.

Ich könnte mir das Szenario auch so vorstellen, dass kein A-Record für die myfritz besteht und nur ein AAAA-Record. Dann würde im es WLAN von Router A gehen, weil die Adresse per AAAA-Record aufgelöst und verbunden wird. Außerhalb des WLAN von Router A, ist dann vermutlich keine IPv6-Freigabe definiert, so dass eine Verbindung nicht geht. (Ist Spekulation aus der Ferne, würde aber grob passen.)

 

[Stationary]

Myfritz-Adressen funktionieren nicht hinter anderen Routern. In der WG-Konfiguration muß die DynDNS-Adresse (des anderen Routers) bei Peer-Endpunkt eingetragen sein (mit dem Port, der bereits vorher in der WG-Konfiguration angegeben war). Dieser Port muß auch im vorgeschalteten Router durchgeleitet/freigeschaltet werden.

 

[EbuNetzNet]

@Stationary @blurrrr @the other

Es läuft! Es hat mir keine Ruhe gelassen und ich habe an der aktuellen Konfiguration genau 3 Veränderungen vorgenommen:
a) Am iPhone Peer-Endpunkt die DynDNS Adresse eingegeben, die im vorgeschalteten Router an die FritzBox weitergeleitet wird
b) Am vorgeschalteten Router eine zweite Portweiterleitung auf den WG-Port gemacht

und jetzt kommt es, weil das konntet ihr ja nicht wissen - ich habe selbst nicht sofort daran gedacht erst als ich heute aus dem Dachfenster gelugt habe, viel es mir wie schuppen aus den Augen... ich muss dazu aber etwas ausholen.

Hier in der CH ist es möglich, dass eine Kupfer-VDSL Leitung mit wenig Leistung, mit einem sogenannten Internet-Booster ergänzt werden kann. Bei mir erhöht das Teil die Geschwindigkeit von 100/30 auf etwa 300/100. Dieses sogenannte Bonding setzt den ISP-Router voraus. Ein Nachteil dieser Technologie ist, dass ich zwei öffentliche IP-Adressen habe. Der ISP-Router kann damit umgehen, aber sobald DynDNS zum Einsatz kommt kann es Probleme geben, weil ich so zwei öffentliche IPs habe.

Ich habe also zum Fenster hinaus geschaut und dieses Ding gesehen und da machte es klick. Habe dieses Teil am Router ausgesteckt, den Router neu gestartet, die 7590AX neu gestartet und alles lief wunschgemäss.

In wie weit dieses Bonding schon bei der Inbetriebnahme der FritzBox Probleme bereitet hat, weiss ich nicht.

Nun muss ich abwägen, 3-fache Geschwindigkeit oder Wireguard-VPN. Mal sehen....

Ich habe nun also 2 Ports offen. 1x den WG-Port und einmal den FritzBox Port. Allenfalls kann ich diesen ja wieder schliessen. Die FritzBox Oberfläche muss ich nicht zwingend von extern erreichen. Und wenn doch, geht es auch mit der FritzDDNS.

Ich danke an dieser Stelle Euch allen für die hilfreichen Tipps und bitte um Nachsicht, dass ich dieses Bonding nicht schon früher erwähnt habe, aber ich habe schlicht nicht daran gedacht, da das Teil oben am Dachfenster klebt und gut verkabelt zum Router führt.

Beste Grüsse

 

[the other]

Moinsen in die Schweiz,
na, schön, dass es jetzt läuft. Danke auch für das Feedback und die Erklärung, was zum Erfolg geführt hat (sollten mal wieder Menschen aus der Schweiz hier um Rat fragen)...viel Spass mit der sicheren Verbindung und bei aufkommenden Fragen weißt du ja jetzt wo du dich melden kannst.