FB 7590: VPN per Wireguard

[Barungar]

Im Heimnetz WG auf dem Laptop genutzt. Einmal mit "Erlaubte IPs = 0.0.0.0/0". Die Downloadgeschwindigkeit über das Internet hat sich von ca. 84 Mbits auf 40 Mbits halbiert. Der Upload war unverändert schnell 28 Mbits.
Habe ich "Erlaubte IPs" ohne 0.0.0.0/0 (nur NAS-IP) verwendet war die Downloadgeschwindigkeit über das Internet wieder bei 84 Mbits.
Ist das normal (durch die Verschlüsselung o. ä.)?

Ja, WireGuard kostet Performance... wenn Du mit 0.0.0.0/0 alle, also auch die Internet-Zugriffe, durch WireGuard routest ist die WireGuard-Weiterleitungsgeschwindigkeit der neue "Flaschenhals", und diese ist offenkundig geringer als Deine Internet-Bandbreite.

Wenn Du 0.0.0.0/0 raus lässt, dann werden nur LAN-Zugriffe durch den WireGuard-Tunnel geroutet und unterliegen damit der WireGuard-Weiterleitungsgeschwindigkeit, während Zugriffe in den Rest der Welt (0.0.0.0/0) nicht mehr über WireGuard laufen, und damit wird für diese Zugriffe wieder Deine Internet-Bandbreite der "Flaschenhals".

Was Deinen Feldversuch angeht, so hängt das von dem verwendeten Programm ab. Das Tool "nslookup" z.B. verwendet auf meinem Windows-PC ausschließlich den Primären DNS-Server, alle weiteren ignoriert es standhaft. Aber Du kannst nslookup ja über entsprechende Parameter sagen, wenn es einen anderen DNS-Server verwenden soll.
Das Vorgehen von nslookup ist daher auch nicht beispielhaft für andere Programme. Ein Browser oder ein anderes Programm kann also durchaus auch den Sekundären DNS-Server oder falls vorhanden auch einen Tertiären nutzen.

 

[Frank73]

Hallo zusammen,

habe mich in den letzten Tagen weiter mit VPN beschäftigt und so langsam glaube ich etwas besser durchzublicken.
Nachdem doch viele in diesem Forum IPSec statt Wireguard bevorzugen, habe ich mir dies auch mal näher angesehen und gestern einen User auf der FB und auf meinem Smartphone (Android 9) eingerichtet. Verbindung ins Netz funktioniert auch uneingeschränkt.
Bzgl. Wirgeguard bin ich bei folgenden Punkten noch nicht ganz so überzeugt:

• Noch ziemlich neu und ich meine aktuell noch keinen öffentlichen Sicherheitsaudit gefunden zu haben
• In der FB ist ersichtlich, dass die Verbindung öfters mal getrennt wurde (ist in einem anderem Thread in diesem Forum auch schon behandelt worden, allerdings in der Beta-Version) https://forum.heimnetz.de/threads/fritzbox-und-wireguard.773.
• IPv6 scheint nur "halbherzig" umgesetzt zu sein, da in der FB bei den Einstellungen des "VPN-Servers" nur IPv4-Adressen aufgelistet werden (https://forum.heimnetz.de/threads/fritzbox-und-wireguard.773/page-4)

Zu meinen Tests mit IPSec (auf dem Smartphone) habe ich folgende Fragen:

1. Wenn über das VPN (aus einem Gast-Wlan heraus) nur Trafic ins Internet geroutet werden soll (kein Zugriff auf das NAS), ist es dann korrekt, wenn auf dem Client bei "Routen Weiterleitung" nur die IP der FB eingetragen wird (statt 0.0.0.0/0)?
2. Bei Nutzung VPN im Heimnetzt ist es möglich auf das NAS und die anderen Netzwerkkomponenten zuzugreifen. Wie funktioniert da das Routing?

Danke vorab und einen schönen Tag.

Gruß
Frank

 

[Barungar]

1. Wenn über das VPN (aus einem Gast-Wlan heraus) nur Trafic ins Internet geroutet werden soll (kein Zugriff auf das NAS), ist es dann korrekt, wenn auf dem Client bei "Routen Weiterleitung" nur die IP der FB eingetragen wird (statt 0.0.0.0/0)?
2. Bei Nutzung VPN im Heimnetzt ist es möglich auf das NAS und die anderen Netzwerkkomponenten zuzugreifen. Wie funktioniert da das Routing?

1. Das ist schwierig, da 0.0.0.0/0 natürlich auch immer das Heimnetz mitumfasst. Wenn Du also "allen Traffic" durch das VPN sendest, dann ist auch das eigene Heimnetz durch diese Weiterleitungsregel inkludiert.
2. Habe ich schonmal in einem anderen Thread kürzlich erklärt. Es wird einfach eine unnötige redundante Schleife gedreht. Du bist sozusagen doppelt Teil Deines Heimnetzes. Einmal ist das Device direktes Mitglied im Heimnetz mit seiner IP vom DHCP. Über diese IP wird dann der VPN-Tunnel aufgebaut, anschließend wird diese IP nur noch dafür verwendet mit der VPN-Gegenstelle zu kommunizieren. Von der VPN-Gegenstelle erhältst Du auch eine andere IP, die jedoch - oh Wunder - auch wieder in Deinem Heimnetz liegt. Mit dieser IP kommunizierst Du nun mit den anderen Geräten im Heimnetz.
   
   Oder anders gesagt. Dein Gerät will einem anderen Gerät in Deinem Heimnetz sprechen. Was macht es? Es "baut" das IP-Paket auf Basis seiner VPN-IP, sendet es dann "verschlüsselt" von seiner (DHCP)-IP durch den VPN-Tunnel zum VPN-Server. Der VPN-Server "entschlüsselt" das IP-Paket und leitet es unter der VPN-IP Deines Gerätes ins Heimnetz weiter.

 

[FSC830]

Was meine 7490 angeht bin ich nach zahlreichen Mißerfolgen bei IPsec geblieben, keine Ahnung, was AVM sich wieder dabei gedacht hat, aber WG auf der 7490 ist m.E. nicht wirklich zu gebrauchen (site2site).

Eine 7590 habe ich derzeit leider nicht unter meinen Fittichen.

Gruss

 

[Frank73]

Das ist schwierig, da 0.0.0.0/0 natürlich auch immer das Heimnetz mitumfasst. Wenn Du also "allen Traffic" durch das VPN sendest, dann ist auch das eigene Heimnetz durch diese Weiterleitungsregel inkludiert.

Daher hatte ich gedacht, die IP meiner FB zu hinterlegen (192.168.168.1). Dann ist das Heimnetz nicht inkludiert und der "Internet-Traffic" wird komplett über das VPN geroutet. Quasi: Anfrage von Smartphone --> Routing an FB über VPN --> Weiterleitung in das WWW und wieder zurück. Andere Routen wären dann nicht möglich.
So der einfache Gedankengang eines VPN-Newbies

@FSC830
Ich tendiere aktuell eher auch zu IPsec. Werde das mal die nächsten Tage testen.

Gruß
Frank

 

[Barungar]

Daher hatte ich gedacht, die IP meiner FB zu hinterlegen (192.168.168.1). Dann ist das Heimnetz nicht inkludiert und der "Internet-Traffic" wird komplett über das VPN geroutet. Quasi: Anfrage von Smartphone --> Routing an FB über VPN --> Weiterleitung in das WWW und wieder zurück. Andere Routen wären dann nicht möglich.
So der einfache Gedankengang eines VPN-Newbies

Die Idee klappt aber auch nicht, wenn Du dort "nur" die IP der FritzBox hinterlegst, dann wirst Du auch nur die FritzBox erreichen.
Diese "Regel" definiert was durch den VPN-Tunnel erreichbar sein soll. 0.0.0.0/0 heißt eben alles (Internet + Heimnetz). Die FritzBox ist an dieser Stelle nicht soo flexibel, dass Du allow und deny kombinieren könntest. Du müsstest also eine allow-Regel formulieren, die alles außer Deinem Heimnetz enthält. Möglich, aber komplex & schwierig.

 

[Frank73]

Dann hinterlege ich die 0.0.0.0/0 und regele den Rest über entsprechede Firewallregeln, so dass die "VPN-IP" des Smartphones geblockt wird.

 

[Frank73]

Aktuell auf der Arbeit festgestellt:
Verbindung über Geschäfts-WLAN: Auf dem Smartphone wird über den Firefox bei "wieistmeineip" nicht die IP meiner Fritzbox angezeigt
Verbindung über Mobile Daten: Auf dem Smartphone wird über den Firefox bei "wieistmeineip" die IP meiner Fritzbox angezeigt

Wo ist zwischen diesen beiden Vorgehensweisen der Unterschied, bin doch bei beiden "öffentlich unterwegs"?

 

[Barungar]

Keine Ahnung? Da ich mir auch nicht alles merken kann, wäre es gut, wenn Du auch sagst, was Du da jeweils gemacht hast.

In beiden Fällen ein WG-VPN oder ein IPsec-VPN? Und ist jeweils auch 0.0.0.0/0 aktiv, oder wird teilweise nur das Heimnetz durch den Tunnel geleitet?

 

[Frank73]

Sorry!

IPsec-VPN auf Smartphone mit Android 9
Route Weiterleitung auf 0.0.0.0/0 gesetzt

Mit diesen Einstellungen einmal "Geschäfts-WLAN" und einmal "Mobile Daten" genutzt.

Bei Geschäfts-WLAN wurde die IPsec-VPN-Verbindung heute morgen auch 3 x beendet (Geschäfts-WLAN blieb trotzdem aktiv und Verbindung ins Internet weiterhin möglich, jedoch ohne VPN)
Darum teste ich heute Mittag das mal mit Mobile Daten ob da auch der IPsec-VPN getrennt wird.

Gruß
Frank

 

[Barungar]

Das das Geschäfts-WLAN ja nicht ganz so stabil zu sein scheint; wäre meine erste Vermutung, dass zum Zeitpunkt der externen IP-Prüfung schon gar keine aktive VPN-Verbindung mehr bestanden hat und daher die WLAN-IP angezeigt wurde.

Weil, wenn es sich um die gleiche konfigurierte VPN-Verbindung handelt, sind ja auch die Einstellungen die gleichen. Nur einmal wurde das VPN aus einem WLAN und einmal im Mobilfunk gestartet.

Eventuell erkennt und blockiert dieses WLAN VPNs?!

 

[Stationary]

Eine 7590 habe ich derzeit leider nicht unter meinen Fittichen

Auf der 7590 mit iPhone/iPad läuft es hervorragend über LTE und fremde WLANs. Die einzige Ausnahme, die wir bisher gefunden haben, ist das Schul-WLAN der Kinder. Da die entsprechenden Geräte sich aber in anderen Netzwerken wie erwartet verhalten, vermute ich, daß da irgendein Netzwerkfilter am Werk ist, der irgendetwas blockt. Mit einer 7490 kann ich es erst Anfang November ausprobieren.

Noch ziemlich neu und ich meine aktuell noch keinen öffentlichen Sicherheitsaudit gefunden zu haben

Das mit dem fehlenden Audit ist meines Wissens nach nicht ganz korrekt. Das Wireguard Protokoll wurde formal mit Tamarin verifiziert. Da Tamarin open source ist, könntest Du die Sicherheitsüberprüfung sogar selbst durchführen…

In der FB ist ersichtlich, dass die Verbindung öfters mal getrennt wurde

Und das passiert mit IPSec nicht? Zumindest unter iOS trennt es sich in dem Moment, wenn die Geräte in den Ruhezustand (Bildschirm aus) gehen. Wireguard hingegen läuft durch. WG verbindet sich auch automatisch unter iOS, wenn man bekannte Netzwerke verläßt. IPSec erfordert da eine Interaktion des Nutzers.

 

[Frank73]

Und das passiert mit IPSec nicht?

Bei mir geht der Bildschirm nach einer Minute aus. Das IPsec-VPN bleibt auf jeden Fall länger stabil.

Eventuell erkennt und blockiert dieses WLAN VPNs?!

Werde morgen mal ein anderes Geschäfts-WLAN ausprobieren. Lt. Info von unserer IT werden keine VPNs blockiert.

Ich werden das die nächsten 2 Tage nochmals testen. Sowohl mit Wireguard als auch mit IPsec und meine Erfahrungen dann nochmals posten.

 

[Frank73]

Habe die letzten Tage nochmals getestet (sowohl IPsec als auch WG), beides sowohl über WLAN als auch über Mobile Daten. Hier meine Erfahrungen.

Bzgl. Hinweise aus den Beiträgen #31 und #33:
Ab Donnerstag mal die Einwahl über ein anderes Geschäfts-WLAN (IPsec und WG) probiert und hier passten dann auch wieder die IPs so wie ich es erwartet hatte (IPv4 der FB).
Warum es mit dem einen Geschäfts-WLAN nicht gepasst hat

Bzgl. WG:
Bei den Ereignismeldungen der FB habe ich mehrere Meldungen pro Tag, dass WG die Verbindung getrennt und wenig später wieder aufgebaut hat. Nach Durchsicht des Logs auf der WG-App des Smartphones ist ersichtlich, dass nach einer gewissen Zeit der Handshake erst nach mehrmaligen Retries erfolgreich wiederhergestellt werden konnte. Das Arbeiten über das WLAN hat dies aber nicht eingeschränkt, war durchweg über VPN möglich.
Um zu prüfen ob es am Geschäfts-WLAN liegt, VPN zu Hause im WLAN getestet. Smartphone lag direkt neben dem Router und auch hier das gleiche Bild bzgl. dem Handshake.
Dann das ganze mal mit Mobilen Daten getestet; WG-APP auf Smartphone aktiviert. In den Ereignismeldungen der FB morgens Aufbau des WG-VPN, Abends Abbau des WG-VPN.

Bzgl. IPsec:
Anmeldung im Geschäfts-WLAN über IPsec. In den Ereignismeldungen der FB mehrfach die Meldung, dass Verbindung getrennt wg. "IKE-Server". Gleicher Test zu Hause im WLAN; ebenfalls mehrere Trennungen wg. "IKE-Server".
Dann wieder das ganze mit Mobile Daten getestet. Läuft wie schon bei WG stabiler als mit WLAN. Trennung erfolgt immer nach 3 Stunden mit dem Hinweis "Lifetime expired".

Aktuell nutzen wir WG, da dies den Vorteil hat, dass bei Wechsel der WLANs das VPN weiterhin und durchweg bestehen bleibt (auch wenn die WG-Verbindung mehrmals ab- und wieder aufgebaut wird). Bin mir aber noch nicht ganz schlüssig, was ich denn im Endeffekt wirklich nutzen möchte.

Hier lasse ich mich aber gerne von VPN-Profis überzeugen, wenn da andere Meinungen/Erfahungen vorliegen.

Danke und Gruß
Frank

 

[Frank73]

Anbei noch ein Ausschnitt aus der FB bei der Ausführung der "Sicherheitsdiagnose".

Passt das so, oder ist da noch was offen, was nicht offen sein sollte?

Gruß
Frank