FritzBox 7590AX WireGard

[Skistrolchi]

Hallo Profis,
ich habe eine FritzBox 7590AX und habe WireGard eingerichtet.
Ich komme von aussen bis auf die Fritzbox, kann mich jedoch nicht auf PC hinter der Fritzbox per Viewer verbinden.
Auch kann ich keine Geräte hinter der Box anpingen.
Kann mir da jemand weiterhelfen?

 

[Loxley]

Hallo @Skistrolchi,
willkommen im Forum. Zu Deiner Frage:
Du musst, glaube ich, einen Port für Wireguard freigeben. Siehe unter "Diagnose > Sicherheit > FRITZ!Box-Dienste", da sollte die verwendete Portnummer stehen. (Protokoll ist UDP.)

 

[Skistrolchi]

Meinst du hier Freigeben? Wenn ja wo setzte ich da welche Haken?

 

[Loxley]

Ich habe leider keine Fritzbox. Da muss ich mal in der BA nachsehen.

 

[Skistrolchi]

Also nur nochmal zur Info, ich möchte auf einen PC von aussen zugreifen können, den kann ich da in der Matrix auch auswählen.
Ob das funktioniert weiß ich nicht. Wenn ja, welche Haken müsste ich da setzen? Ich möchte hier natürlich keine Sicherheitslücke produzieren.,

 

[Loxley]

Als IP-Adresse musst Du vermutlich die Adresse der Fritzbox wählen. Dann brauchst Du noch die Portnummer von Wireguard. Wenn Du nur auf einen PC möchtest dann gibst Du die IP-Adresse des PC's ein. Klick erstmal nur IPv4 an.

 

[Skistrolchi]

In der Maske finde ich den PC den ich erreichen möchte, die IPv4 und MAC Adresse wird vorgegeben (denke ist ja auch richtig so) und kann sie auch nicht ändern. Port kann ich hier nicht vergeben

 

[Loxley]

Irgenwo muss man die Portnummer und das Protokoll eingeben können.

 

[Loxley]

Ach so und das Feld "Gerät komplett freigeben" nicht anhaken.

 

[Loxley]

Schau mal ob es irgendwo ein Butten gibt für „Gerät für Freigaben hinzufügen“ oder „Neue Freigabe“.

 

[blurrrr]

Hi,

bevor das hier noch zu sehr aus dem Ruder läuft: Wenn der Wireguard-Dienst auf der Fritz!Box eingerichtet ist, sind meiner Meinung nach keine weiteren Portfreigaben notwendig.

Zu den Problemen:

Ich komme von aussen bis auf die Fritzbox, kann mich jedoch nicht auf PC hinter der Fritzbox per Viewer verbinden.

Was soll bitte ein "Viewer" sein? VNC?

Auch kann ich keine Geräte hinter der Box anpingen.

Wie sieht es mit einem Zugriff über die "interne" IP der Fritz!Box bei aktiviertem Wireguard-VPN aus?

Ich komme von aussen bis auf die Fritzbox

Also komplett ohne VPN? Mittels IPv4, IPv6 oder beidem?

 

[Skistrolchi]

VNC Viewer, ja
WireGard aktiv --> da komme ich auf die interne IT der Box --> d.h. Verbindung steht

 

[Helmut-H]

Hi,

für eine WireGuard Verbindung in das eigene Netz ist KEINE Portfreigabe erforderlich!

- Kannst du dein Ziel innerhalb deines Netzwerkes erreichen?
- Sind dort die entsprechenden Freigaben eingerichtet?
- Ich vermute ein IPv4 / IPv6 Problem.
- Hast du außerhalb deines Heimnetzes eine IPv4 oder eine IPv6 Adresse?
- Oder beide?

 

[blurrrr]

Was hast Du denn in der Wireguard-Config stehen bzgl. "allowed IPs"? Es sollte etwas in die Richtung "<Fritz!Box-LAN>/24" aufgeführt sein, oder direkt etwas in Richtung "0.0.0.0/0" (für jeglichen Traffic).

Du kannst auch mal lokal am Rechner nachschauen, welche Gateways/Routen für welche Netze gesetzt sind. In der Eingabeaufforderung einfach mal route print -4 ausführen.

Dein Client muss bei eingewähltem VPN eben jene Route haben, welche ihm sagt, dass er beim Zugriff auf das Fritz!Box-Netz auch entsprechend die Daten durch das VPN schickt. Du kannst das bei aktiviertem VPN auch testen, indem Du Dir die Strecke anschaust (Traceroute), welche die Pakete nehmen. Das kannst Du dann wieder in der Eingabeaufforderung machen, z.B. via tracert <Host-IP im LAN>.

 

[Skistrolchi]

- Kannst du dein Ziel innerhalb deines Netzwerkes erreichen?
Innerhalb meines Netzwerkes kann ich den PC von jeden PC und auch vom Handy aus erreichen. Schalte ich am Handy WLAN aus und WireGard ein, erreiche ich den PC nicht mehr

- Sind dort die entsprechenden Freigaben eingerichtet?
ich habe keine eingerichtet, es gibt Portfreigaben von WireGard, die legt aber WG selbst fest soweit ich weiß

- Ich vermute ein IPv4 / IPv6 Problem.
Keine Anhnung

- Hast du außerhalb deines Heimnetzes eine IPv4 oder eine IPv6 Adresse?
wo sehe ich das?
- Oder beide?
?

 

[Skistrolchi]

Was hast Du denn in der Wireguard-Config stehen bzgl. "allowed IPs"? Es sollte etwas in die Richtung "<Fritz!Box-LAN>/24" aufgeführt sein, oder direkt etwas in Richtung "0.0.0.0/0" (für jeglichen Traffic).

Entferntes Netz
192.168.178.2/32

 

[Skistrolchi]

Du kannst auch mal lokal am Rechner nachschauen, welche Gateways/Routen für welche Netze gesetzt sind. In der Eingabeaufforderung einfach mal route print -4 ausführen.


route print -4
===========================================================================
Schnittstellenliste
5...b8 ae ed 73 84 c4 ......Intel(R) Ethernet Connection (3) I218-V
15...34 13 e8 24 ed e3 ......Intel(R) Dual Band Wireless-AC 7265
13...34 13 e8 24 ed e4 ......Microsoft Wi-Fi Direct Virtual Adapter #2
11...36 13 e8 24 ed e3 ......Microsoft Wi-Fi Direct Virtual Adapter #3
9...34 13 e8 24 ed e7 ......Bluetooth PAN HelpText
1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.16 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
192.168.178.0 255.255.255.0 Auf Verbindung 192.168.178.16 281
192.168.178.16 255.255.255.255 Auf Verbindung 192.168.178.16 281
192.168.178.255 255.255.255.255 Auf Verbindung 192.168.178.16 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.178.16 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.178.16 281
===========================================================================
Ständige Routen:
Keine

 

[Loxley]

Wenn der Wireguard-Dienst auf der Fritz!Box eingerichtet ist, sind meiner Meinung nach keine weiteren Portfreigaben notwendig.

Das war widersprüchlich im Internet zu finden. Aber Du hast, glaube ich, Recht - das macht die Fritzbox automatisch. Bei meinen Anwendungen musste ich immer Freigaben einrichten.

 

[Helmut-H]

- Hast du außerhalb deines Heimnetzes eine IPv4 oder eine IPv6 Adresse?
wo sehe ich das?
- Oder beide?
?

Über Mobil dürftest du eine IPv6 Adresse haben.
Innerhalb deines Heimnetzes sehe ich IPv4 Adressen.

Unter:
AllowedIPs = 192.168.178.0/24,0.0.0.0/0,fd33:abc:def::/64,::/0 - was ALLES in den Tunnel rein darf.
sollten IPv4 und IPv6 Adressen stehen!

Es genügt:
AllowedIPs = 0.0.0.0/0,::/0
damit jeglicher Traffic durch den Tunnel geht.

Hat dein Client (Windows?) eine IPv6 Adresse?
- Drücke die Tasten [Windows] und [R], sodass sich das Fenster "Ausführen" öffnet.
- Den Befehl "cmd" eingeben. -> OK
- "ipconfig" eintippen - [Enter]

Dort solten IPv4 und IPv6 Adressen stehen.

 

[Skistrolchi]

in der Datei steht
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.178.2/32,fdae:e7ca:b3d6::2/128
PersistentKeepalive = 25