FB 7590: VPN per Wireguard

F

Frank73

Active member
Hallo zusammen,

habe sowohl in diesem Forum als auch im WWW schon einige über FB und VPN gelesen, jedoch das ein oder andere Verständnisproblem, weshalb ich (nochmals) einen eigenen Thread zu diesem Thema aufmache würde.

Ausgangssituation:
- Telekom-Anschluss IPv4 und IPv6 (jeweils dynamisch, keine festen Adressen ) :(
- FB 7590; OS 7.57
- Keine Ports aus dem Internet freigegeben, keine Portweiterlung o. ä. eingerichtet. --> von aussen her gesehen alles dicht.
- Keine Nutzung von Standardadressen im LAN (Verwendung Klasse A)
- MyFRITZ!-Adresse wg. DynDNS (Vorraussetzung für die Nutzung von Wireguard)
- WAN-seitig werden die Telekom-Standard-DNS verwendet (DoT)
- LAN-seitig wird ein eigener DNS (NAS) verwendet; wird über die FB per DHCP verteilt. NAS hat feste IPv4 und IPv6 (ULA)
- Aufruf z. B. der NAS im LAN per "h**ps://DS.example.com"

Ich habe mit Wireguard schon ein wenig getestet, möchte es aber erst dann "produktiv" nutzen, wenn ich mir sicher bin, dass ich zumindest das Wesentliche verstanden habe und mir keine offenen Türen baue, da dieses Thema bisher komplett neu für mich ist.

Was ich meine, bisher verstanden zu haben:
  1. Bei der Nutzung von Wireguard (WG) spielen Benutzer, welche ich auf der FB einrichten kann keine Rolle. Es werden statt Benutzer Clients angelegt, welche dann den VPN-Tunnel zur FB aufbauen können. Dies konnte ich feststellen, da der Standardnutzer weder Zugriff übers Internet noch über VPN nutzen darf.
  2. Die FB "öffnet" bei der Anlage von VPN eine Port (>50000). Dies ist erforderlich, damit eine Kommunikation von außen möglich ist und sollte kein Sicherheitsrisiko darstellen.
  3. Wenn der Tunnel aufgebaut wurde (z. B. von einem Laptop aus) und ausserhalb des LANs kann ich mich in meinem Heimnetz bewegen, als wenn der Laptop zuhause am Router angeschlossen ist.
Folgende Fragen habe ich aktuell (ich weiß es sind einige):
  1. Wie verhält es sich mit den IPs beim Aufbau des Tunnels? Der Client erhält eine IP aus dem WLAN des Cafes z. B. 1.2.3.4. Es wird ein Tunnel zur FB aufgebaut und der Client erhält eine weitere IP aus dem LAN (ausserhalb DHCP) z. B. 2.3.4.200. Hat der Client dann 2 IPs?
  2. Werden VPN-Tunnels sowohl per IPv4 und per IPv6 aufgebaut?
  3. Wie funktioniert die Kommunikation ab der FB mit dem LAN, per IPv4 oder IPv6 und über welche IP?
  4. Aktuell nutze ich auf der NAS keine Firewall. Wenn ich diese jetzt aktiviere, dann kann ich auf Grund der fehlenden festen IPv6 keine sinnvolle Regeln erstellen. Bekomme ich da ein Sicherheitsproblem?
  5. Welchen DNS hinterlege ich in den wg-config-Files der Clients
  6. Wenn die Verbindung steht und ich mich dann im LAN befinde, ist ein Aufruf über den Namen möglich z. B. "ht**s://DS.example.com" oder funktionieren nur IPs?

Um Input wäre ich sehr danbar. Es ist leider auch nicht ausgeschlossen, dass im weiteren ToDo noch weitere Fragen auftreten.

Danke für eure Zeit (ich weiß das wirklich zu schätzen) :)

Gruß
Frank
 
Frank73 schrieb:
  1. Wie verhält es sich mit den IPs beim Aufbau des Tunnels? Der Client erhält eine IP aus dem WLAN des Cafes z. B. 1.2.3.4. Es wird ein Tunnel zur FB aufgebaut und der Client erhält eine weitere IP aus dem LAN (ausserhalb DHCP) z. B. 2.3.4.200. Hat der Client dann 2 IPs?
  2. Werden VPN-Tunnels sowohl per IPv4 und per IPv6 aufgebaut?
  3. Wie funktioniert die Kommunikation ab der FB mit dem LAN, per IPv4 oder IPv6 und über welche IP?
  4. Aktuell nutze ich auf der NAS keine Firewall. Wenn ich diese jetzt aktiviere, dann kann ich auf Grund der fehlenden festen IPv6 keine sinnvolle Regeln erstellen. Bekomme ich da ein Sicherheitsproblem?
  5. Welchen DNS hinterlege ich in den wg-config-Files der Clients
  6. Wenn die Verbindung steht und ich mich dann im LAN befinde, ist ein Aufruf über den Namen möglich z. B. "ht**s://DS.example.com" oder funktionieren nur IPs?
Zum Vergrößern anklicken....
1.) Ja, so gesehen hat er zwei IPs. Allerdings wird die 1. IP (die vom Internet Café) nur noch dafür verwendet die Kommunikation für den VPN-Tunnel zu erledigen. Sämtliche andere Kommunikation wird ab diesem Zeitpunkt mit der 2. IP, die Du aus Deinem Heimnetz bezogen hast erledigt. Von "außen" sieht es so aus, als ob Dein Laptop aus Deinem Heimnetz heraus auf der Internet zugreift.

2.) Nein, nicht und. Entweder oder. Es kann je nachdem ein VPN-Tunnel auf der Basis von IPv4 oder IPv6 aufgebaut werden, Du bekommst im Tunnel aber nur IPv4 durch die FritzBox angeboten.

3.) (siehe bei 2.) Durch den Tunnel wird ausschließlich IPv4 genutzt.

4.) Geschmackssache. Ich bin ein Vertreter des "zero trust"-Ansatzes. Das sehen die meisten (Privat-)Leute deutlich entspannter.

5.) Am besten eines, das erreichbar ist. :D

6.) Wenn Du (siehe 5.) ein sauberes, internes DNS bereitstellst, dann sollte auch ein Zugriff über den Namen funktionieren. Wenn es das nicht tut, ist das ein sicherer Hinweis, dass das DNS kein "internes" ist.
 
Moinsen,
haha, ich nutze gar kein wireguard und habe es auch noch nicht versucht. Aber ich verfolge die Beiträge dazu ebenfalls interessiert. :)

Damit ein VPN Tunnel (welcher Art auch immer) aufgebaut werden kann, muss ein Port geöffnet werden (wenn du den VPN Server betreibst), ja. Welcher Port ist abhängig davon, welches VPN du nutzt.
Wenn alles korrekt eingerichtet ist, dann ja, es ist als wärest du im eigenen LAN.

Die Clients bekommen im Tunnel eine weiter IP, mit der sie im Tunnel erreichbar sind. Diese ist dann auch die, die im Heimnetz angezeigt wird (zB wenn ich via VPN mit der IP 10.0.0.5 aufs NAS zugreife, dann zeigt das NAS Protokoll einen Zugriff mit dieser IP).
Stell es dir so vor: du gräbst einen geheimen Tunnel aus dem Cafe nach Hause und nutzt im Tunnel Decknamen > andere IP... ;)

Du musst doch im eigenen LAN nicht zwingend IPv6 nutzen. Auch wenn: ich habe auch dynamische IPs (auch Telekom). Auf dem NAS ist eine firewall aktiv, die eben nur die gewünschten v4 und die lokalen v6 Adressen durchlässt. Gehen tut das. :) Einen direkten Zugriff von außen per Portfreigabe auf dem Router zum NAS per globaler IPv6 will ich eh nicht haben. Dazu ja VPN. Intern kannst du entweder bei v4 bleiben oder dich mit dem "neuen" v6 beschäftigen (Empfohlen!)...dann nutzt du intern eben nicht die globale dynamische IP, sondern eine "private", die sich nicht ändert (sogenannte unique locale adress, ULA, oder als dritte IPv6, die locale link adress, LLA)...
Was nicht geht, ist die Firewall für die globale v6 zu konfigurieren (auf meinem NAS), da ich hier eben unregelmäßig wechselnde Adressen bekomme durch das wechselnde Präfix.

DNS kannst du eintragen, wie du magst: entweder die üblichen Verdächtigen (google, cloudflare, usw), oder datenschutzfreundliche, oder eben den eigenen. Dann geht es auch mit Zugriff via hostname.
 
Ich bin auch gerade mit WG und einer 7490 zugange (LAN-LAN Kopplung mit einer pfSense).
Aber irgendwo ist der Wurm drin, der Tunnel steht, aber ich kriege keinen Ping/Traffic von A nach B oder umgekehrt.
Auf der pfSense läuft WG schon längere Zeit und alle Clients funktionieren, nur eben die Fritte nicht. :(
Laut diversen Fundstellen soll AVM sich nicht an den WG Standard halten, das stimmt zumindest bei den config Einstellungen.

Gruss
 
Gab es bei der Wireguard-basierten LAN-LAN-Kopplung beim (alten) Modell 7490 nicht Funktionseinschränkungen laut AVM?!
Ich bin mir da nicht ganz sicher, meine aber noch sowas im Hinterkopf zu haben.
 
Hallo zusammen,

vielen Dank für eure Hinweise. Werde mich am Wochenende mal dransetzen und WG einrichten.

Barungar schrieb:
4.) Geschmackssache. Ich bin ein Vertreter des "zero trust"-Ansatzes. Das sehen die meisten (Privat-)Leute deutlich entspannter.
Zum Vergrößern anklicken....
Ich bin auch eher einer, welcher keinem vertraut. So wie das aber verstanden habe, ist dieser "zero trust"-Ansatz eher was für Unternehmen. Kann eine Privatperson in einem kleinen Heimnetz sowas überhaupt umsetzen?

the other schrieb:
Intern kannst du entweder bei v4 bleiben oder dich mit dem "neuen" v6 beschäftigen (Empfohlen!)...
Zum Vergrößern anklicken....
Bei diesem Thema bin ich immer noch am lernen. Auf Grund von Hilfe in diesem Forum macht es auch Spass an solchen Sachen dran zu bleiben. IPv6 finde ich ein sehr spannenden Thema.

the other schrieb:
Auf dem NAS ist eine firewall aktiv, die eben nur die gewünschten v4 und die lokalen v6 Adressen durchlässt.
Zum Vergrößern anklicken....
Damit das funktioniert, müssen doch alle Geräte, eine feste ULA (bzw. LLA) haben damit dies in der Firewall auch so administriert werden kann. Haben deine Clients dann alle eine feste IP (z. B. auch Smartphones)?

Danke und Gruß
Frank
 
Frank73 schrieb:
Kann eine Privatperson in einem kleinen Heimnetz sowas überhaupt umsetzen?
Zum Vergrößern anklicken....
Warum nicht? Die Kernaussage des "zero-trust" ist im Prinzip: "Verstecke Dich nicht hinter vermeindlichem Schutz. Sondern gehe davon aus, dass Du Dich immer in feindlichen Gewässern befindest."

Man darf also nie annehmen, dass das eigene LAN oder WLAN "sicher" sei, weil man einen Firewall-Router einsetzt und keine Ports freigibt. Stattdessen nimmt man bei "zero-trust" an, dass jedes einzelne System im LAN grundsätzlich bedroht ist und genauso gut geschützt sein muss, als ob es selbst direkt und unmittelbar aus dem Internet erreichbar wäre.

Beispiel: Man nutzt auch im LAN kein http um auf irgendwelche Dienste zuzugreiifen, egal ob das NAS, oder sonst was, es gilt immer https zu nutzen.

Also immer zeitnah patchen, keine unnötigen Ports erreichbar lassen, starke Passwörter verwenden, 2FA wo möglich, keine EoS/EoL-Geräte einsetzen.

Frank73 schrieb:
IPv6 finde ich ein sehr spannenden Thema.
Zum Vergrößern anklicken....
Sehr sympathische Einstellung. (y)
 
Den o.a. verlinkten Thread und die Einschränkungen kenne ich, aber ich habe das bisher nicht so interpretiert, das LAN-LAN Kopplung nur zwischen AVM Boxen möglich ist.
Aber es ist mir zuviel Frickelei gewesen, nicht mal einen Port kann man fix einstellen oder hinterher ändern. Man kann die Verbindung nur löschen und neu anlegen. :confused:
Bin jetzt wieder auf IPsec zurück.

Gruss
 
:oops::unsure: Echt? Dann hab ich das vor lauter WG Euphorie übersehen. Muss ich noch mal die RN lesen.
Danke für den Hinweis. ;)

Gruss
 
Hallo zusammen,

habe WG mal jetzt testweise auf der FB und einem Smartphone eingerichtet (läuft soweit auch). Aktuell habe ich noch 4 Verständnisfragen:
Hinweis zu den IPs:
Statt meiner IPs der Klasse A verwende ich analoge IPs nur aus dem Klasse C-Netz

  1. Im Smartphone steht bei "Erlaubte IPs" 192.168.168.0/24, 0.0.0.0/0. Ich habe es so verstanden, dass bei Nutzung 0.0.0.0/0 jeglicher Traffic über das VPN geht, was ja bei öffentlich genutzten WLANs sinnvoll ist. Welcher Sinn verbirgt sich hinter dieser Konstellation?
  2. Was müsste ich bspw. bei "Erlaubte IPs" einstellen, wenn ich einerseits den gesamten Traffic bei öffentlichen WLANs über VPN leiten möchte, aber intern nur auf die NAS zugreifen möchte (192.168.168.82)?
  3. Sobald ich mich wieder über mein internes WLAN anmelde, bleibt WG aktiv und ich bin weiterhin per VPN verbunden. Ich dachte immer dass VPN nur dann funktioniert, wenn ich nicht im gleichen Netz unterwegs bin.
  4. Bei Nutzung von WG wir in der FB ein UDP Port vom Internet aus freigegeben. Bei einem Portscan (über eine Internetseite) wird dieser jedoch als geschlossen angezeigt. Kann das sein?
the other schrieb:
Ja die Geräte haben feste ulas bzw festen ula präfix, den gebe ich frei... geht.
Zum Vergrößern anklicken....
Da werde ich mich mal am Wochenende probieren. Gibt es eine sinnvolle Vorgehensweise, damit ich mich bei Tests nicht komplett z. B. von der NAS aussperre?

Danke vorab mal für eine Rückmeldungen.

Gruß
Frank
 
  1. Diese Konstellation hat aus Routing-Sicht keinen besonderen Sinn und ist redundant. Denn 0.0.0.0/0 schließt auch 192.168.168.0/24 mit ein. Und da beide "Routen" vermutlich auf das gleiche Ziel deuten, gibt es aus allgemeiner Routing-Sicht keinerlei Vorteil. Ich vermute, dass das eine Sache des Parsers von WireGuard ist, der "automatisch" immer als ersten Eintrag das Subnetz der Gegenseite übernimmt und die zweite Regel 0.0.0.0/0 nur kommt, wenn man irgendwo in der Konfiguration sagt: "Allen Traffic über VPN leiten."
  2. Da hast Du bei WireGuard keine Chance, da Du für Deine erste Anforderung 0.0.0.0/0 eintragen musst, damit hast Du automatisch aber auch - wie bereits oben erläutert - alle anderen Netze. Man könnte es sehr komplex und ohne 0.0.0.0/0 lösen, in dem man alle "bekannten Netze des Internets" benennt, die über VPN laufen sollen und dann zusätzlich noch 192.168.168.82/32 ... aber das würde eine sehr lange Liste werden.
  3. Du kannst einen VPN-Tunnel aufbauen von wo immer Du willst. Auch aus dem heimischen LAN heraus, warum denn nicht?!
  4. Portscans auf UDP sind in den meisten Fällen niemals so zuverlässig, wie Portscanns auf TCP. Bei UDP gibt es die Möglichkeit einfach zu schweigen, wenn man ein "unbekannten Paket" erhält. Da ein Portscan bei TCP stets mit einem SYN erfolgt, bekommt man zumindest ein ACK, RST, oder FIN. Auf jeden Fall kann man TCP-Kommunikation im Gegensatz zu UDP-Kommunikation deutlich einfach "bewerten" auf Grund der definierten Zustände.
 
Hallo zusammen,

wollte mal ein kurzes Feedback bzgl. meinen Tests und ersten Erfahrungen mit Wireguard (WG) geben.

Was bisher geschah:
  • Auf der FB7590 WG für Smartphone und einen Laptop eingerichtet.
  • Auf dem Smartphone und Laptop WG installiert und den Tunnel hinzugefügt.
  • Aktuell wird noch der gesamte Traffic über den Tunnel geleitet (dazu später die ein oder andere Frage noch).
Beides funktioniert. Mit dem Laptop konnte ich auf alle Geräte in meinem Heimnetz zugreifen (auch die Namensauflösung mit einem eigenen DNS auf der NAS funktioniert ohne Probleme); Tests wurde am Arbeitsplatz ausserhalb des Heimnetztes durchgeführt. :)
Also bis dahin alles gut.

Nur stößt man bei einer Uploadgeschwindigkeit von ca. 28Mbit/s auf der FB schnell an die Grenzen. Vor allem wenn dann der Win-Laptop anfängt Updates (Win, Virenscanner) herunterzuladen. Da ist das Geschreie bei der Jugend laut, wenn die Uploads der Youtube-Videos nicht mehr richtig funktioniert. :eek:
Als weitere Nachteile finde ich auch, dass aktuell bei der Wireguard-App auf dem Smartphone die Möglichkeit fehlt, zu erkennen, wann ich im heimischen LAN bin und wann nicht (um die doch beschränkte Upload-Geschwindigkeit im Heimnetz nicht unnötig zu strapazieren). Hab in diesem Forum aber auch einen Thread gefunden, in welchem @tiermutter eine weitere App nutzt (ich glaub "Tasker"). Mal sehen ob ich das auch mal einrichte.
Auch dass Wireguard auf einem Win-Rechner nur mit gewissen Adminrechten auszuführen ist gefällt mir nicht so ganz.

Auf Grund dieser Erfahrungen habe ich mir folgendes gedacht.
Bei den Smartphones würde ich beim Verlassen des Heimnetztes den VPN-Tunnel für den kompletten Traffic nutzen wollen, damit bei Nutzung von öffentlichen WLANs alles verschlüsselt über den Tunnel geht.
Beim Laptop würde ich einen anderen Ansatz wählen wollen. Nämlich hier steht nicht das Surfen im Vordergrund, sondern eher der Zugriff auf die heimischen Dokumente auf der NAS, wenn die Jugend Referate, Facharbeiten o. ä. schreiben muss. Hier würde ich es so handhaben wollen, dass der "normale" Internet-Traffic über das lokale Netz geht und nur der Zugriff auf die Dokumente der NAS über den VPN-Tunnel geleitet wird.
Dazu hätte ich mal die Frage, wie ihr das an Hand euren Erfahrungen im praktischen handhabt.

Barungar schrieb:
Du kannst einen VPN-Tunnel aufbauen von wo immer Du willst. Auch aus dem heimischen LAN heraus, warum denn nicht?!
Zum Vergrößern anklicken....
Ich dachte immer, dass beim Aufbau von VPN die Netzwerke unterschiedlich sein müssen (z. B. 192.168.168.0/24 und 192.168.178.0/24)

Weiterhin habe ich mich bzgl. dem Thema Wireguard noch in einige Dokumente eingelesen. Ich würde das gerne mal zusammenfassen wollen und in einem separaten Beitrag posten um von euch ein Feedback zu bekommen ob ich das korrekt verstanden habe. Ich hoffe das ist für euch o.k.?


Danke und Gruß
Frank
 
Moinsen,
AFAIK geht bei wireguard in einem einzigen setup nicht beides: den ganzen Internettraffic UND Zugriff auf ausgewähltes im remote LAN.
Entweder du schickst alles durch den Tunnel (Gateway Redirect, allowed IPs 0.0.0.0/0) oder eben nur Verkehr zu ausgewählten Geräten (Split Tunneling, zB 192.167.50.15/24). Beides zusammen geht (wie oben schon erklärt) nicht.

Am Peer kannst du dann ja wählen ob, alles durch den Tunnel geht oder nur ausgewählte Geräte erreicht werden.
Notebook: allowed IP > NAS-IP
Rest: allowed IP > 0.0.0.0/0

Zumindest hab ich das so verstanden (wenn auch nie ausprobiert) :p
 
Zuletzt bearbeitet:
Frank73 schrieb:
Als weitere Nachteile finde ich auch, dass aktuell bei der Wireguard-App auf dem Smartphone die Möglichkeit fehlt, zu erkennen, wann ich im heimischen LAN bin und wann nicht (um die doch beschränkte Upload-Geschwindigkeit im Heimnetz nicht unnötig zu strapazieren).
Zum Vergrößern anklicken....
Wenn Du im heimischen LAN bist, dann nimmt das Wireguard keinen Upload weg. Weil es ja im Heimnetz ist, es wird dann halt nur "doppelt" getunnelt. :D

Beispiel: Dein Smartphone hat im Heimnetz per DHCP die 192.168.178.88 als IP, als WireGuard-Client hat Dein Smartphone die 192.168.178.244. Wenn Du nun im Heimnetz eine Wireguard-Verbindung aktivierst oder aktiv hast, dann wir mit der IP 192.168.178.88 mit dem WireGuard-Server auf Deinem Router gesprochen; und die eigentliche Kommunikation mit Deinem Heimnetz läuft durch den WireGuard-Tunnel und erfolgt mit der IP 192.168.178.244. Es wird also einfach alles nur "sinnfrei" getunnelt; aber Upload kostet das nicht. Weil nichts durch das Internet geht.
 
Barungar schrieb:
Deinem Router gesprochen; und die eigentliche Kommunikation mit Deinem
Zum Vergrößern anklicken....
worin liegt der Unterschied zwischen "gesprochen" und "Kommunikation"?

Ich habe heute mal weiter getestet. So langsam glaube ich es zu verstehen. Was ich aktuell nicht verstehe ist folgendes:
Im Heimnetz WG auf dem Laptop genutzt. Einmal mit "Erlaubte IPs = 0.0.0.0/0". Die Downloadgeschwindigkeit über das Internet hat sich von ca. 84 Mbits auf 40 Mbits halbiert. Der Upload war unverändert schnell 28 Mbits.
Habe ich "Erlaubte IPs" ohne 0.0.0.0/0 (nur NAS-IP) verwendet war die Downloadgeschwindigkeit über das Internet wieder bei 84 Mbits.
Ist das normal (durch die Verschlüsselung o. ä.)?

Was ich auch nicht ganz verstehe:
1. Feldversuch: In der WG-config bei DNS meinen eigenen DNS (auf der NAS) und die IP der FB7590 eingetragen (auch bei "Erlaubte IPs" das NAS auf welchem DNS läuft eingetragen). "nslookup google.de" löst den Namen auf. Passt für mich.
2. Feldversuch: Meinen eigenen DNS und die IP der FB7590 in der config hinterlegt. Bei "Erlaubte IPs" das NAS entfernt (Simulation Ausfall DNS). "nslookup google.de" löst den Namen nicht auf. Ich dachte dann springt der 2. DNS (in diesem Fall die FB) ein. Ist das nicht der Fall?

Danke und Gruß
Frank
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 148 (Mitglieder: 5, Gäste: 143)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.610
Beiträge
63.457
Mitglieder
6.855
Neuestes Mitglied
Andy_Krejci

Teilen

Zurück
Oben