Fritzbox 6591 und Wireguard Verbindung

[DominikG]

Hallo zusammen,

ich habe auf meiner Fritzbox 6591 versucht eine Wireguard Verbindung einzurichten, um von unterwegs auf mein Heimnetzwerk und das Internet zuzugreifen, um zb. auch im Ausland eine deutsche IP zu haben.

Habe ganz normal auf meinem Smartphone die Wireguard App installiert und dann versucht mich übers Mobilfunknetz damit zu verbinden. Es kommen auch keine Fehlermeldungen oder so von der Wireguard App, aber trotzdem habe ich keinen Zugriff auf mein Heimnetzwerk oder das Internet muss ich noch irgendwelche zusätzlichen Freigaben in den Einstellungen der Fritzbox vornehmen ?

Danke schonmal für eure Antworten

 

[Stationary]

Hast Du überhaupt eine öffentliche IPv4, die Du von außen erreichen kannst? Die 6591 ist ja eine Kabelfritzbox.

 

[3komma14]

Bei mir ist es seit einiger Zeit so, dass die bereits funktionstüchtige Verbindung nicht mehr funktioniert.

 

[Stationary]

Dann richte sie einfach mal neu ein. Alte Verbindung löschen und eine neue anlegen.

 

[DominikG]

Hast Du überhaupt eine öffentliche IPv4, die Du von außen erreichen kannst? Die 6591 ist ja eine Kabelfritzbox.

Nein habe eine IPv6, also DS-Lite Tunnel heißt dass dann glaube ich.

 

[Barungar]

Hat Dein Smartphone denn auch eine IPv6? Damit das klappt müssen beide Seiten FritzBox und Smartphone entweder IPv6+IPv6 oder IPv4+IPv4 haben. Deine FritzBox hat IPv6, damit muss auch das Smartphone IPv6 haben, hat es "nur" IPv4 wird das nix.

 

[DominikG]

Hat Dein Smartphone denn auch eine IPv6? Damit das klappt müssen beide Seiten FritzBox und Smartphone entweder IPv6+IPv6 oder IPv4+IPv4 haben. Deine FritzBox hat IPv6, damit muss auch das Smartphone IPv6 haben, hat es "nur" IPv4 wird das nix.

Das ist ein Samsung Galaxy S23, ich denke das müsste das unterstützen.

 

[Barungar]

Es hängt primär vom Mobilfunkvertrag ab. Schau doch einfach mal nach... Du kannst in den Einstellungen die IP des Smartphones prüfen.

 

[DominikG]

Es hängt primär vom Mobilfunkvertrag ab. Schau doch einfach mal nach... Du kannst in den Einstellungen die IP des Smartphones prüfen.

Also der Mobilfunkvertrag ist Congstar/Telekom und laut den Einstellungen und einem Online Test müsste das IPV6 sein

 

[Barungar]

Welchen DynDNS-Dienst nutzt Du an der FritzBox? Und was ist als A und AAAA für den Hostname registriert?

 

[DominikG]

Welchen DynDNS-Dienst nutzt Du an der FritzBox? Und was ist als A und AAAA für den Hostname registriert?

Muss ich denn einen DynDNS Dienst nutzen ? Weil in der Anleitung stand das es genügt wenn man über MyFritz registriert ist.

Ich habe mich an dieser Anleitung orientiert:
https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/

Außer dem Punkt mit dem "IP-Netzwerk der Fritz!Box anpassen", weil das meiner Meinung nach nicht notwendig ist, wenn man den Zugriff hauptsächlich über das Mobilfunknetz nutzt.

 

[Barungar]

MyFritz ist vom Prinzip her auch ein DynDNS-Dienst. Einen weiteren brauchst Du natürlich nicht.
Die Frage wäre nun nur noch, ist dort ein A und ein AAAA Record hinterlegt, und wenn ja, welche IPs sind da drin.
Du hast DS-Lite (richtig?) da wäre meine Erwartung, dass es keinen A Record gibt, sondern nur einen AAAA Record, dessen Inhalt mit der IPv6 Deiner FritzBox übereinstimmt.

Hintergrund meiner Fragen ist, dass ich mutmaße, dass WireGuard versucht auf die IPv4 (aus dem A Record) zu verbinden, was ja nicht geht, weil Du einen DS-Lite Anschluss hast.

Ich z.B. habe Dual Stack, also eine öffentliche IPv4 und IPv6; dabei habe ich festgestellt, das WireGuard immer die IPv4 bevorzugt.

 

[DominikG]

Okay verstehe, habe aber heute selbst nochmal etwas rumgetestet und habe es mittlerweile hinbekommen, es war scheinbar nur ein Haken falsch gesetzt und die Fritzbox deswegen nicht von außerhalb erreichbar.

 

[3komma14]

@DominikG kannst du das etwas genauer ausführen?
An welcher Stelle war da bei dir ein falscher Haken gesetzt?
Danke

 

[DominikG]

@DominikG kannst du das etwas genauer ausführen?
An welcher Stelle war da bei dir ein falscher Haken gesetzt?
Danke

Bei mir lag es wahrscheinlich an dieser Einstellung hier

 

[Barungar]

Grundsätzlich würde ich niemandem empfehlen, diesen Haken zu setzen. Der führt dazu, dass die Web-GUI der FritzBox von außen erreichbar ist. Genau auf diese Web-GUI würde ich stets nur über ein VPN zugreifen.

 

[Stationary]

Jetzt ist die Box auch ohne VPN erreichbar; für jeden, der es versucht.

 

[DominikG]

Ich habe auf euer anraten hin, den Haken nun wieder entfernt und der Zugriff funktioniert trotzdem noch über Wireguard. Sehr seltsam aber ich bin zufrieden

Wenn ich jetzt noch den Zugriff, auf meinen Emby Server von außerhalb hinbekomme, ist alles perfekt.

Klar über VPN habe ich nun von außerhalb Zugriff auf den Server, aber es müsste doch auch möglich sein, dass ich nur einen bestimmten Port freigebe oder ? Weil wenn ich das über den Wireguard VPN laufen lasse, läuft der ganze Traffic über meinen Anschluss. Und da mein Bruder demnächst auch Zugriff auf den Server bekommen soll, wäre es mir lieber, wenn ich nicht extra einen VPN Zugang für ihn einrichten muss. Weil wenn er dann zb. irgendwelchen Mist im Internet machen sollte, würde das ja alles auf mich zurück fallen.

 

[Barungar]

Das stimmt so nicht, es geht nicht der ganze Datenverkehr über Deinen Anschluss. Das hängt von den Einstellungen des VPN-Tunnels ab. Du kannst den WireGuard durchaus so für Deinen Bruder konfigurieren, dass nur Dein LAN-Subnetz über die VPN-Verbindung läuft.

 

[DominikG]

Das stimmt so nicht, es geht nicht der ganze Datenverkehr über Deinen Anschluss. Das hängt von den Einstellungen des VPN-Tunnels ab. Du kannst den WireGuard durchaus so für Deinen Bruder konfigurieren, dass nur Dein LAN-Subnetz über die VPN-Verbindung läuft.

Okay danke wieder was gelernt

Was wäre denn sinnvoller, einen Port für den Emby Server freigegeben oder per VPN verbinden ?