FB7590 Wireguard VPN

[sumpfmonster]

machen sollte das eigentlich Handy<-Wireguard->Fritzbox<-Wireguard->Mullvad,
wobei sich das Handy wie gesagt später in Turkmenistan befindet und nicht im WLAN
das Config-File stammt ursprünglich aus der Fritzbox, meiner bescheidenen Meinung nach ist da der Wurm drin

von Mullvad kommt das hier

PrivateKey = XXXXX
Address = 10.66.23.128/32
DNS = 10.64.0.1

[Peer]
PublicKey = XXXXX
AllowedIPs = 0.0.0.0/0
Endpoint = 185.195.233.76:51820

wenn man das über die Oberfläche der Fritzbox konfiguriert, also erst Mullvad als Netzwerke koppeln und danach das Handy als EInzelgerät dazufügt kommt das raus

[Interface]
PrivateKey = XXXXX
ListenPort = 50857
Address = 192.168.178.1/24,10.66.23.128/32
DNS = 192.168.178.1,10.64.0.1
DNS = fritz.box

[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs =
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 192.168.178.201/32
PersistentKeepalive = 25

Das mit der 192.168.10.X war Mist, da hast Du recht
Auf der Fritzbox ist alles grün aber wenn ich nachkucke habe ich auf dem Handy und auf der Fritzbox die IP meines Providers,
sprich Mullvad ist für die Tonne

 

[Barungar]

Die obenstehende Konfiguration funktioniert (wird akzeptiert), oder?

Und wenn Du nun...

PresharedKey = XXXXX
AllowedIPs = 0.0.0.0/0
Endpoint = 185.195.233.76:51820
PersistentKeepalive = 25

machst?!

Also dem Mullvad Peer die "globale Route" zuweist?!

 

[sumpfmonster]

Das mag es nicht, das gibt
"Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei der WireGuard-Gegenstelle war fehlerhaft."

 

[Barungar]

Okay, und wie macht man dann WireGuard klar, dass er allen Datenverkehr durch diesen Tunnel leiten soll?

Bei der Bearbeitung von IPsec-Verbindungen gibt es dafür ein Auswahlfeld in der FritzBox, da kann man sagen "allen Verkehr durch diese Verbindung senden". Da ich mich mit WireGuard so nie befasst habe ... ich persönlich mag IPsec lieber... frage ich mich, wie das gehen soll.

Was mir persönlich an der WireGuard-Implementation schon nicht gefällt ist, dass ich sie z.B. nicht auf bestimmte LAN-Ports der FritzBox begrenzen kann. Bei IPsec lässt die FritzBox das sehr wohl zu den Tunnel nur z.B. an LAN3 bereitzustellen.

Ich habe aber auch keine "Test-FritzBoxen" hier rumliegen, um mich eingehender mit WireGuard zu befassen. Alle Fritzen, die ich "habe" bzw. "betreue" arbeiten erfolgreich und gut mit IPsec. Die sind allerdings auch alle "in use" und es würde stören, wenn ich an den Tunneln zuviel "spiele".

 

[sumpfmonster]

Mulvad hat nur OpenVPN oder Wireguard.
"Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden" ist ja angeklickt, "AllowedIPs =" ist allerdings leer ???
Mal sehen was AVM dazu sagt.
Fand Wireguard nett wegen dem QR-Code, IPSec ist für unbedarfte schon zu aufwendig zu konfigurieren auf dem Handy.

 

[FSC830]

Als letzte Alternative: Fritzbox rausschmeissen und was ordentliches hinstellen (opnSense/pfSense). Die Implementation von WG von AVM ist einfach nur unterirdisch und m.E. auch am sonst üblichen Standard vorbei.

Gruss

 

[sumpfmonster]

Ja hast ja schon recht, so ne Kombi aus DSL-Modem und OpenWRT-Router wäre was. Die Preise bei dem opnSense/pfSense Zeug sind auch nicht schlecht...Das mit der Fritzbox mache ich nur weil ich da nach jedem reconnect eine neue IP bekomme...können sie die wieder blacklisten in Turkmenistan und solange geht das Internet.
Zur Not muß ich den Mullvad weglassen bei der Chose. Denke da hat AVM noch was zu tun.
Bzw. ich mache doch die Kombi aus Mullvad mit Wireguard und Handy dann über IPSec, uppss, die geht zwar aber dann bekomme ich die Mullvad IP aufs Handy...ist schon komisch, also auch nichts.

 

[FSC830]

Das mit der Fritzbox mache ich nur weil ich da nach jedem reconnect eine neue IP bekomme

Das hängt aber vom Provider ab, nicht vom Router!?

Gruss

 

[sumpfmonster]

Ja bei meinem provider gibts öfters mal nen neue IP, das war ja der Vorteil in dem Fall, spätestens nach 24 Stunden steht man mit der IP in Turkmenistan auf der Liste und dann ist aus die Maus....Internet ist total sicher da...nur Nordkorea ist besser....

 

[sumpfmonster]

So, also nach der Auskunft vom Support von AVM geht das im Moment prinzipiell nicht, gerade gekommen...ich zitiere:

"...geht aber im Moment leider nicht über die FRITZ!Box, da ja nur eine Full-Tunneling-Verbindung möglich ist. (Wenn wir die Smartphone-Verbindung auf Split-Tunneling umstellen würden, kommen Sie zwar mit dem Smartphone ins Heimnetz der FRITZ!Box, aber eben nicht zum VPN-Anbieter.)

Vielleicht finden Sie ja einen VPN-Anbieter, der (noch) nicht auf dem turkmenischen Index steht...

Ich gebe das von Ihnen gewünschte Szenario gern als Verbesserungsvorschlag an die zuständige Abteilung unseres Hauses weiter, kann aber natürlich keine kurzfristige Realisierungsperspektive versprechen."

so....brauche ich halt nen anderen Router