Fritzbox 7590 VPN - kein Zugriff auf Netzwerkteilnehmer

[the other]

Moinsen,
so erster Test (IPsec):
an der Fritzbox ein Raspi mit RaspiOS und pihole, frisch installiert.
Zugriff via IPsec (auf der Fritzbox) auf die LAN IP vom pihole...check, alles gut.

Jetzt gleich nochmal per wireguard (muss ich erst wieder neu einrichten), melde mich gleich...

 

[the other]

Moinsen,
tja, geht auch (war ja auch eigentlich nach den ersten Tests nicht anders zu erwarten...) mit wireguard.
Also:
IPsec = Zugriff per ssh sowie auch http auf den pihole geht vom Mobilnetz aus
Wireguard = ebenso

wireguard Konfig:

Interface

Name: xxxegalxxx

Öffentlicher Schlüssel: blablabla123gehteuchnixan

Adressen: IP aus dem LAN der Fritzbox, hier die 192.168.55.152/24

Nameserver: IP der Fritzox

suchdomäne: fritz.box


Teilnehmer:

öffentlicher Schlüssel: gehteuchimmernochnixan456laberlaber

Vorab geteilter Schlüssel: aktiviert

Erlaubte IPs: IP Bereich der Fritzbox, also 192.168.55.0/24, 0.0.0.0/0

Endpunkt: meinmyfritzkonto.myfritz.net: PORT

Dauerhafte Erhaltung: alle 25 Sekunden

(die reine default Konfig eben, ohne irgendwelche angepassten Einträge, einfach nach Anleitung)


Hier mit echtem dualstack, allerdings nur unter IPv4 getestet.
So, Chef guckt schon schräg, heiter weiter...

 

[DSSS1982]

Ich bin einen Schritt weiter.

Ich habe auf meinem Android die App, die den Zugriff per SMB auf das NAS macht, im sicheren Ordner von Android installiert.
Dort bekomme ich nach wie vor keine SMB-Verbindung zustande (aber wie gesagt: Vorher ging das. Keine Erklärung bisher dafür, wieso das jetzt nicht mehr geht)
Habe diese App jetzt im Standard-Profil installiert und dort klappt der Zugriff.

Bleibt der Laptop. Aber durch die Erfahrung mit dem Android liegt ja nun nahe, dass das Problem nicht auf der Fritzbox besteht. Und auch nicht auf dem NAS.

 

[Spielebernd]

Nochmal die Frage da Sie scheinbar untergegangen ist. Der du Test die VPN vom Laptop aus während dieser keinerlei Verbindung mehr zu deinem Router hat? Also am Hotspot des Handys.

 

[the other]

Moinsen @Spielebernd,
sorry, aber dein letzter Post scheint von einer dieser tollen neuen KIs geschrieben worden zu sein, denn ich kenne von dir eigentlich nur sauber verständliche Postings...
Nebentür?
Der du Test?

(nur Spass, war ne Steilvorlage)

 

[DSSS1982]

Nochmal die Frage da Sie scheinbar untergegangen ist. Der du Test die VPN vom Laptop aus während dieser keinerlei Verbindung mehr zu deinem Router hat? Also am Hotspot des Handys.

...

Die IP Bereiche der beiden Netze (es sind ja sogar drei Netze, denn das Smartphone ist ja auch in einem anderen Netz) sind unterschiedlich.

HTH?

 

[UdoAA]

Address = 192.168.178.1/24

Wieso hast du das so, das darf nicht die IP der Fritz-Box sein sondern muß eine freie IP sein, also z.B. 192.168.178.2 oder so.?
Die bekommt nämlich der vpn-Client.

 

[FSC830]

Wieso hast du das so, das darf nicht die IP der Fritz-Box sein sondern muß eine freie IP sein, also z.B. 192.168.178.2 oder so.?
Die bekommt nämlich der vpn-Client.

Unter Interface?
Das ist leider eine Eigenart der AVM Implementierung, da muss die LAN(!) IP der Fritz stehen.
Üblicherweise gehört da die VPN IP des WG hin.
Oder wo sonst meinst Du?

Gruss

 

[UdoAA]

Boah, unglaublich.
Ich habe ne Stock-Wireguard Setup und da steht bei mir di IP des Clients, der sich mit dem Server verbindet.

 

[the other]

Moinsen,
also bei meinem wireguard-Schnellversuch (Fritzbox, Einzelverbingung, hier Android > Fritzbox) habe ich die im Beitrag #22 angegebene Konfig auf dem Android in der wireguard App so ausgelesen. Und ja, da steht unter Interface > Adressen NICHT die IP der Fritzbox (die endet mit der .1, wie beim "Nameserver" auch angegeben) sondern die IP, die der Client erhält.

 

[FSC830]

Ok, dann haben wir aneinander vorbei geredet. Ich dachte, das ist die Konfig, die auf der Fritz eingelesen wird.
Da habe ich im pfSense Forum einen Beitrag gefunden, der dann auch von jemand anderem bestätigt wurde, das dort die LAN IP der Fritzbox eingetragen werden muss.

Bei meinen WG versuchen mit der 7490 war das auch so, das dort die LAN IP der Fritz stand.
Normalerweise würde man dort die IP des WG Endpunktes eintragen.

Gruss

 

[the other]

Moinsen,
ich hatte ja vorhin beides mal kurz versucht und das soll jetzt keine irgendwie gearteten Benchmarks ersetzen...aber rein subjektiv empfand ich auf dem kurzen Rumspielen auf dem Pihole genau NULL Unterschied im Fluppidizitätsfaktor zwischen wireguard (der heisse Shaiz) und IPsec (hä?) auf der Fritzbox...
Da ich VPN eh nur alle Jubeljahre mal nutze (weil ich idR nur sehr sehr selten unterwegs bin UND dabei das Handy nutze und DANN auch noch aufs NAS) werd ich also einfach weiter bei openVPN bleiben, das funzt hier vom ersten Tag und reicht für meinen Tüdeldü-Krams völlig aus.

 

[Frank73]

Unter "Interface" steht bei mir auch die IP-Adresse des VPN-Clients (Peer) und nicht die der Fritzbox.

Ich habe das mit dem Laptop auch mal getestet. Hier hat der Zugriff via WG auch problemlos funktioniert. Einzig das Thema, dass die Installation der WG-App mit dem Admin durchgeführt werden muss und auch nur dieser VPN aktivieren kann (ausser man ordnet den Nicht-Admin-User gew. Gruppen zu).

Edit:
Sowohl Zugriff auf das NAS über den Browser, als auch Zugriff per SMB ohne Probleme.

 

[Barungar]

Ich glaube das hängt davon ab, welche Wireguard-Config man sich anschaut.
Die vom Client (Peer) oder die von der FritzBox (Host). Schaut man sich die vom Host (FritzBox) an, so steht bei Interface / Adress tatsächlich, die IP der FritzBox im LAN mit entsprechender Subnetzmaske.

 

[Frank73]

Habe eben nochmals die unterschiedlichen WG-Configs angesehen.
Wie @Barungar schreibt:

• Config FB = IP der FB
• Config Peer = separate VPN-IP

 

[the other]

Moinsen,
Was ja auch Sinn macht IMO. Es definiert vermutlich einfach, welche Adresse host und peer bekommen. Sag ich mal so, ohne jede Grundlage an Wissen oder Erfahrung mit wireguard...
Adresse = das bin ich im Netzwerk.