FB7590 Wireguard VPN

[sumpfmonster]

Hallo,
ich frage mal hier, ich habe meine FB7590 so konfiguriert das ich zum einen mein Handy mit Wireguard mit der Fritzbox verbunden habe und zum anderen auf der WAN Seite die Box mit Mullvad verbunden habe. Aber denkste. Mullvad alleine funktioniert aber wenn ich das Handy über den zweiten Wireguard Tunnel mit der Box verbinde ist die Mullvad Verbindung futsch.

Das Handy ist dabei nicht mit dem WLAN verbunden sondern unterwegs in Turkmenistan, die Mullvad IP's sind da alle auf dem Index deswegen hätte ich gerne die dynamische public IP4 meines DSL Anschlusses für das Handy.

Warum geht beides zusammen nicht ?

Also Handy<-Wireguard->Fritzbox<-Wireguard->Mullvad

viele Grüße, Gerald.

 

[Stationary]

Da Handy — WG — Fritzbox 1 — WG — Fritzbox 2 und Handy — WG — Fritzbox 1 — IPSec — Fritzbox 3 funktioniert, wirst Du wohl mal ein paar Details zu Deinem WG-Setup FB—Mullvad preisgeben müssen.

 

[sumpfmonster]

ja kein Problem, die Keys XXXXX habe ich rausgemacht

[Interface]
PrivateKey = XXXXX
ListenPort = 52146
Address = 192.168.178.1/24,10.66.23.128/32
DNS = 192.168.178.1,10.64.0.1
DNS = fritz.box

[Peer]
PublicKey = XXXXX
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs =
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXX
PresharedKey = XXXX
AllowedIPs = 192.168.178.201/32
PersistentKeepalive = 25

Sowohl Handy als auch Mullvad sind grün unter Internet/Freigaben/VPN(WireGuard),
aber IP auf dem PC als auf dem Handy ist die vom Provider und nicht die von Mullvad

 

[Stationary]

Hast Du bei allowed IPs keinen Eintrag? Hast Du da mal 0.0.0.0/0, 192.168.178.0/24, ::/0 versucht?

 

[sumpfmonster]

Allowed IP's ist leer. Wo kann ich das eintragen ? Oder muß ich das config-File runterladen editieren und wieder reinstopfen ?

 

[sumpfmonster]

habe jetzt das wg_config.conf File runtergeladen, editiert und wieder hochgeladen, da sagt es dann immer
"Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei der WireGuard-Gegenstelle war fehlerhaft."
0.0.0.0/0, 192.168.178.0/24, ::/0 vermute ich mal ohne Leerzeichen

 

[Barungar]

Ich bin mir nicht sicher, aber ich glaube die FritzBox unterstützt kein IPv6 im WG-Tunnel.
Du solltest das ::/0 weglassen.

 

[sumpfmonster]

Ich habe das ::/0 jetzt gelöscht, aber das Resultat ist wieder "Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei der WireGuard-Gegenstelle war fehlerhaft."

 

[sumpfmonster]

So schauts derzeit aus...

[Interface]
PrivateKey = XXXXX
ListenPort = 52146
Address = 192.168.178.1/24,10.66.23.128/32
DNS = 192.168.178.1,10.64.0.1
DNS = fritz.box

[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 0.0.0.0/0,192.168.178.1/24
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.201/32
PersistentKeepalive = 25

 

[Barungar]

Und geht es damit?!
Beim ersten Peer, da wäre theoretisch die 192.168.178.1/24 noch redundant - da Du dort die 0.0.0.0/0 hast, die erste genannten Scope inkludiert.

 

[sumpfmonster]

nein eben nicht, kommt wieder "Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei der WireGuard-Gegenstelle war fehlerhaft.".
Danach hängt die Box sich auf und DSL wird neu verbunden, aber das nur so nebenbei, unter System steht "Es wurde ein Fehlerbericht versendet"

 

[Barungar]

Ich habe kaum praktische Erfahrungen mit Wireguard, da kann ich nicht großartig helfen. Meine bisherigen Anmerkungen waren auch eher theoretischer Natur.

 

[sumpfmonster]

mehr als probieren kann ich auch nicht, kein Problem, also hänge Dich nicht an die Lampe deswegen....

 

[Barungar]

Ich habe mal zum Testen bei mir WG-Verbindungen zu zwei Smartphones eingerichtet... dabei sind mir ein paar Abweichungen aufgefallen. Allerdings habe ich kein Wireguard Site2Site ausprobieren können.

Dabei ist mir im Vergleich zu Deiner Konfiguration das Folgende aufgefallen:

• Bei [Interface] steht bei mir nur die IP meiner FritzBox mit /24-Maske; bei Dir stehen dort zwei IPs, eine mit /24 und eine mit /32.
• Bei beiden [Peer]'s (bei mir zwei Smartphones) stehe jeweils nur die VPN-Tunnel interne IP mit /32 bei "allowed IP", da wird keine 0.0.0.0/0 erwähnt. Trotzdem kann ich über beide Smartphones ins Internet und werde dort mit meiner Heim-IP und nicht der vom LTE "identifiziert".

Wie gesagt, das mag alles anders sein, weil ich kein Site2Site habe, aber das kann ich auch gerade nicht nachstellen.

 

[sumpfmonster]

denke mal so hier

[Interface]
PrivateKey = XXXXX
ListenPort = 52146
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.1/24
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.201/32
PersistentKeepalive = 25

stürzt auch ab, da ist übel der Wurm drin, ich habe das AVM geschickt aber bis jetzt keine Antwort

 

[FSC830]

Das kann aber eigentlch nicht sein:
Unter [Interface] und unter Allowed IPs (Peer) 192.168.178.1 ?
Die Netzwerke müssen unterschiedliche IP Ranges haben.

Gruss

 

[sumpfmonster]

Moin moin,
verstehe ich jetzt nicht, kannst Du mal weiter ausholen ?
viele Grüße, Gerald.

 

[FSC830]

Unter Interface ist die IP der lokalen Fritzbox eingetragen, unter Peer das zu erreichende Netzwerk, wenn beides im selben Range liegt, dann kann das nicht funktionieren. Beim VPN müssen auf jeder Seite unterschiedliche IPs im Netzwerk benutzt werden.

Wenn jede Seite 192.168.178.x benutzt, wird es nie zu einer Verbindung kommen.

Gruss

 

[sumpfmonster]

also Interface ist jetzt woanders geht aber auch nicht, wobei ich das immer noch nicht verstehe, Interface ist die LAN Seite vom Router und die soll doch gleichzeitig komplett durch den Tunnel, also ist sie doch auch Peer ?

[Interface]
PrivateKey = XXXXX
ListenPort = 52146
Address = 192.168.10.1/24
DNS = 192.168.10.1
DNS = fritz.box

[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.1/24
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.201/32
PersistentKeepalive = 25

Stürzt ab, DSL ist futsch

 

[FSC830]

? Nein, wieso.
Beim WG der Fritz ist unter Interface die LAN(!) IP der eigenen Fritzox einzutragen. Üblicherweise würde dort eigentlich die eigene WG IP stehen, nur AVM geht da wieder den Sonderweg mit der lokalen IP der Fritzbox .

Und unter den "AllowedIPs" beim Peer, trägt man die Netzwerke ein, die über den Tunnel erreicht werden sollen.
Dort müsste das Zielnetzwerk und die IP des Peer WG stehen, z.B.
AllowedIPs = 192.168.178.1/24, 10.0.0.2/32
(falls 10.0.0.2 die entfernte WG IP ist).
Wenn Du dort aber die gleiche IP wie lokal einträgst, dann wird das nie über den Tunnel gehen sondern bleibt lokal.
Denn wie willst Du unterscheiden, ob eine IP 192.168.178.x im lokalen Netzwerk oder im entfernten Netzwerk erreichbar ist, wenn beide Netzwerke dieselben IPs verwenden?
Für alle VPN Verbindungen gilt, das die Netzwerke verschieden sein müssen, egal, ob WG oder IPsec.
Und als Endpoint würde ich eher eine DNS Adresse nehmen, es sei denn die IP ist fix.

Laut dem letzten Post benutzt Du also in Deinem LAN 192.168.10.x als Adressbereich, 192.168.178.x im entfernten Netzwerk (default AVM IP Bereich), der nächste Peer ist aber auch in 192.168.178.x zu finden!?
Wie soll WG zwischen diesen beiden Peers unterscheiden?
Wenn AVM da nicht totalen Mist gebaut hat (was ich durchaus für möglich halte), dann kann das so nicht funktionieren.

Gruss