Fritzbox und Wireguard

[blurrrr]

Server-Config-Files gibt es nicht? Bei der Fritzbox mitunter etwas umständlich, aber auf der Syno sollte sich doch entsprechendes finden lassen (sofern es sowas gibt, wie gesagt, hab mich nie mit Wireguard beschäftigt)... Ebenso sollten die Logs ganz interessant sein (die man ja anscheinend auch für den Client über die IOS-App einsehen kann) + halt Server-Logs (Syno+Fritzbox)... irgendwo muss sich ja irgendwas finden, was a) den Disconnect begründet (vermutlich einfach nur der Standby des Smartphones) und b) die unterschiedlichen Verhaltensweisen erklärt.

Btw sprichst Du die ganze Zeit immer nur von einem iPhone... hast Du es mal mit Android getestet? Windows? Linux? OSX?

 

[wow5432]

Bei der Syno wüsste ich auf anhieb nicht wo ich Logs finde.
Und da wo es Probleme macht (Fritzbox) wüsste ich nicht, wie ich an die Logs komme.
Hier kenne ich ja nur die "Ereignisse".

Android habe ich hier. Würde ich gleich mal testen.
Logs vom iPhone würde ich gleich über die App auch ziehen

 

[Barungar]

Normaler Weise ist es bei der FritzBox so, dass man einfach einen Konfiguration-Export macht, und da steht alles drin. Das galt zumindest für das alte Fritz-VPN, aber da steht auch sonst eigentlich so ziemliches alles von der FritzBox drin.

 

[blurrrr]

Fritzbox so wie @Barungar sagt, bei der Synology vermutlich via Shell in der "/var/log"-Ecke, ansonsten gibt es ja z.B. auch noch "find" und Co., damit lassen sich entsprechende Dateien schon finden...

Alternativ hat @Tommes da noch ein kleines Hilfspaket für die Synology namens LogAnalysis, weiss nur nicht, ob damit "alle" Logs angezeigt werden, oder nur die unter /var/log, aber da kann @Tommes vllt noch was zu sagen, ich vermute aber mal, dass es prinzipiell eher nur um /var/log geht, wo andere Apps ihre Logs hinwerfen, kann @Tommes bzw. seine App ja nun auch nicht riechen

 

[wow5432]

Also habe hier schom mal logs vom Fehlerfall gezogen.

Die Fritzbox zeigt:


Die Logs von der iPhone Wireguard App (siehe Anhang)

 

[wow5432]

UPDATE:
Android verhält sich genau so.
Man kann gut erkenne, genau wie beim iphone, das zum Schluss kein Handshake mehr zustande kommt

 

[Tommes]

@blurrrr
LogAnalysis grast nur den Ordner /var/log sowie alle darin enthaltenen Ordner und Dateien ab. Bei mir läuft OpenVPN aber „nur“ über einen Raspberry Pi und auf der pfSense. Daher kann ich grad auch nicht genau sagen, ob VPN Protokolle noch wo anders auf der Syno abgelegt werden. Ich vermute aber eher nicht.

Ich werd heut Abend mal in die Protokolle vom RasPi und pfSense schauen. Wenn ich etwas nennenswertes entdecke, werd ich es euch wissen lassen.

 

[blurrrr]

Btw... Paketmitschnitt auf Server und Client könnte natürlich auch behilflich sein (Fritzbox + Mobile)

 

[tiermutter]

Ich kenne Fritte ja nicht so und schon gar nicht das WG bei der Fritte... es ist aber richtig so, dass die Tunnel IP im selben Adressbereich des LAN liegt?! Kann man das nicht ändern?

 

[blurrrr]

2022-08-09 12:01:59.670699: [NET] peer(js9h…G2Bs) - Receiving keepalive packet
2022-08-09 12:02:25.082167: [NET] peer(js9h…G2Bs) - Sending keepalive packet
2022-08-09 12:02:25.082327: [NET] peer(js9h…G2Bs) - Receiving keepalive packet
2022-08-09 12:02:50.083548: [NET] peer(js9h…G2Bs) - Sending keepalive packet
2022-08-09 12:03:13.407395: [NET] peer(js9h…G2Bs) - Sending handshake initiation
2022-08-09 12:03:13.508080: [NET] peer(js9h…G2Bs) - Received handshake response
2022-08-09 12:03:13.508474: [NET] peer(js9h…G2Bs) - Sending keepalive packet
2022-08-09 12:03:33.600372: [NET] peer(js9h…G2Bs) - Retrying handshake because we stopped hearing back after 15 seconds

Ich finde ja interessant, dass der Client keepalive-Pakete "erhält" (normalerweise werden die vom Client zum Server geschickt, damit dieser die Verbindung nicht aufgrund von Inaktivität abbaut). Sieht auch alles auf beiden Seiten nach den 25 Sekunden aus. Irgendwann erhält der Client dann das letzte mal vom Server ein keepalive-Paket und dann ist die Verbindung auch "weg".

Ich gehe mal davon aus, dass dieses Log von Dir aus der Kombi Fritzbox+iPhone stammt. Teste das ganze doch nochmal mit der Syno+iPhone und vergleich die Logs mal. Dann wäre man zumindestens schon "etwas" dichter dran.

EDIT: Wenn das alles komplett via UDP läuft, juckt es auch keine der beiden Seiten, wenn irgendwelche Pakete halt nicht ankommen.

 

[wow5432]

@blurrrr
genau - die Logs sind von Fritzbox + iPhone

Logs von Syno + iPhone folgen in wenigen Minuten

 

[blurrrr]

es ist aber richtig so, dass die Tunnel IP im selben Adressbereich des LAN liegt?! Kann man das nicht ändern?

Ja, nein, immer schon so gewesen... frag lieber nicht... Kannst aber "eigene" Configs "basteln" und die importieren.

 

[the other]

Moinsen,
auf jeden Fall spannend und eigentlich genau die Diagnosearbeit, die AVM durchführen sollte...vielleicht bekommst du ja eine Dankeschön Belohnung.
Stand jetzt scheint es doch so: das ganze ist als Laborversion mit dem "heißen Chaiz" Wireguard rausgegeben worden, wie zu erwarten noch etwas buggy. Du hast dargelegt, dass zwei iphones reproduzierbar irgendwann abschalten, bedingt durch den WG-Server (denn unter Synology läuft es ja durch).
Zusätzlich hast du dargelegt, dass es NICHT direkt mit dem Apple System selber zu tun hat, denn Android zeigt das selbe Verhaltensmuster.
Vielleicht nochmal mit (falls vorhanden) Windows / Apple / Linux testen...wenn da dann das selbe Verhalten unter Fritzbox WG auftritt, dann ist das imho schon sehr zielführend für AVM, denn dann ist der gemeinsame Nenner eben die Fritzbox mit der Beta-WG Implementierung...

Ob am Ende (bis auf die Arbeit, die eigentlich der Hersteller betreiben sollte) dann aber eine selfmade Lösung möglich ist, bezweifele ich an diesem Punkt (denn -wie geschrieben- vermute ich nach deinen Beiträgen auch die Laborversion als Bösewicht)...

 

[wow5432]

@the other
sehe ich genau so. aber avm ist ja hier stur und sagt: Problem liegt nicht bei uns.
Und dementsprechend machen die auch keine Fehlerbehbung.
Seit dem ich es gemeldet habe, kamen zwischenzeitlich 4/5 Labor Versionen raus - keine Änderung

 

[the other]

Moinsen,
ja, ich glaube ich habe dich da schon richtig verstanden...
Deswegen ja der flapsige Spruch von wegen "der Kunde macht die Fehleranalyse heutzutage immer öfter selber, da Hersteller gerade in der IT ja immer absolut sauber funktionierende Produkte herausbringen"...
Immerhin: du baust gerade eine gute Dokumentation des fehlerhaften Prozesses zusammen, da wird es dann ggf. etwas schwieriger für die PR Abteilung bei AVM...(mimi, wir sind super, alle anderen sind doof).

Ich wollte dich da also nicht demotivieren, sondern nur sagen: ob es eine zeitnahe Lösung gibt ist fraglich solange an der Laborversion nicht an der korrekten Stelle durch den Hersteller ausgebessert wird.

und spannend find ich es eh, auch wenn ich mit Wireguard absolut keine Verträge habe...

 

[wow5432]

Traurig aber wahr

Anbei ein Wireguard App Log vom iphone im kombi mit der Synology

 

[blurrrr]

Ich würde mal sagen: Paketmitschnitt machen

 

[the other]

Moinsen,
frei nach Goethe:
Läuft's im Netzwerk richtig shit, machste nen Pakemitschnitt... (is schon wieder recht warm hier unterm Dach, sorry).

 

[wow5432]

Wie mach ich das mit dem Paketmittschnitt? Noch nie gemacht :/

 

[blurrrr]

Guckste mal hier: http://fritz.box/support.lua