Fritzbox und Wireguard

[tiermutter]

Hast du mal nenn Screenshot von der Fritte? Ich kenne die nicht...
Du müsstest beim Interface auch v6 Adressen vergeben, auch für DNS... Also alles analog zu v4, nur halt mit v6 Adressen, das natürlich auch am Telefon.
Bei Teilnehmer kommt nur die Adresse rein, unter der die Fritte erreichbar ist, hier kann es so bleiben, da es an der Stelle egal ist ob v4 oder v6.
Wie die Verbindung aufgebaut wird ist unerheblich, durch dej Tunnel geht nur, was auch konfiguriert ist, und das ist bei dir nur v4.

 

[tiermutter]

Die WG App sieht bei mir dann so aus:

 

[tiermutter]

Achja, weil @Barungar sonst gleich schimpfen wird:
Mit den fd00 als IPv6 funktioniert nur interner traffic, ins Internet kommt man damit nicht (das läuft bei mir dann nur über v4).
Dazu benötigt man globale Adressen, die auch jeder hat, nur kann ich bei meiner Firewall keine Einstellung dafür treffen, da der v6 Präfix bei mir (wie den meisten) dynamisch ist und feste Eintragungen nur so lange funktionieren, wie der Präfix nicht geändert wird. Vielleicht kann die Fritte hier dynamisch arbeiten, ansonsten braucht man eine feste v6 Adresse / Präfix.

 

[Neu2022]

 

[Neu2022]

 

[Neu2022]

 

[Neu2022]

 

[Neu2022]

@tiermutter : Das sind die Screenshorts. Wie gesagt, ich kann dort keine Änderungen vornehmen. Bearbeiten kann ich nur die Einstellungen in der App

 

[tiermutter]

Hm, das sieht ja bescheiden aus.
Scheint demnach so, dass man es schlichtweg nicht umsetzen kann, was du vor hast
Bei Fritte gab es immerndie Experteneinstellungen, die sind bestimmt schon aktiviert, oder?

 

[Barungar]

Also wenn das alles ist, dann muss ich @tiermutter recht geben, dass sieht nach einer mehr als jämmerlichen Umsetzung aus.
Da kann ich wunderbar auf Wireguard in der FritzBox verzichten. Das ist nix halbes und nix ganzes.

 

[tiermutter]

Ich hab das mal das hier gefunden:
https://avm.de/fritz-labor/frisch-a...er-den-einfachen-aufbau-von-vpn-verbindungen/

Einrichtung​

Auf der FRITZ!Box-Oberfläche finden Sie unter Internet > Freigaben > VPN (WireGuard) eine Übersicht über eingerichtete WireGuard-Verbindungen. Ein Klick auf „Neue Verbindung einrichten“ startet den Konfigurationsassistenten.

• Wählen Sie den Punkt „vereinfachte Einrichtung“ für die einfache Konfiguration von VPN-Verbindungen von Einzelgeräten in das Heimnetz. Smartphones und Tablets verbinden Sie komfortabel per QR-Code – sonstige Clients per Konfigurationsdatei.
  
• Wählen Sie den Punkt „Benutzerdefinierte Einrichtung“ zur Verbindung von Netzwerken, Firmenanbindungen, Anbindungen an einen WireGuard-Server sowie zur Kommunikation mit Dritten. Für eine LAN-LAN-Verbindung zweier FRITZ!Box-Produkte erstellen Sie hier eine Konfiguration, die Sie auf der zweiten FRITZ!Box importieren.

Hast Du das grün hinterlegte Verfahren zur Erstellung des VPN Servers genutzt?

 

[Neu2022]

Ich hab gerade noch einmal alles ausprobiert. Wenn ich das grün hinterlegte verfahren nutze und eine konfiguration mit IPV4 und IPV6 hochlade verwirft er entweder ipv6 oder läd in einer endlosschleife

 

[tiermutter]

Kannst du das genauer beschreiben?
Vielleicht muss hier anders getrennt werden? Nach dem Komma kommt kein Leerzeichen.

 

[Barungar]

Ich bin mir nicht sicher, da ich selbst nicht testen kann. Aber wenn ich so im Internet suche nach "FritzBox Wireguard IPv6", so finde ich immer nur Tutorials, die erklären, wie man das jetzt ganz toll an einem DS-Lite Anschluss nutzen kann, weil es ja nun endlich mit IPv6 funktioniert.

Was ich dann aber immer entdecke.... es wird zwar ein IPv6 Tunnel aufgebaut, der aber nur zum Tunneln von IPv4 genutzt wird. Kann natürlich sein, dass ich auch nur die falschen Tutorials finde. Oder aber AVM denkt: Wer will schon IPv6 tunneln, dass verstehen unsere Home-User eh nicht.



Wobei ich zweiteres Szenario einfach für (leider) wahrscheinlicher halte... also IPv6 als Tunnel für IPv4. Man sieht im diesem Screenshot aus dem Tutorial ganz gut, dass der Client von außen mit IPv6 kommt, aber über den Tunnel nur IPv4 transportiert wird. Dann wäre die Implementation ein großer FAIL. Aber auch das würde für mich ins Bild passen, weil man es bei AVM ggf. nur einfach als DS-Lite Heilmittel sieht.

 

[Neu2022]

@ Barungar,
ja, das habe ich bislang auch so gefunden. Ich meine, das funktioniert, weil man in der App dann die My-Fritz IPV6 Adresse eingibt. Der Tunnel wird dann mit IPV6 angesprochen und IPV-4 übertragen. Zum Umgekehrten vorgehen habe ich noch nichts im Zusammenhang mit Fritz-Wireguard gefunden.

@tiermutter: Ich habe mir die Konfig des Wireguard-Servers heruntergeladen und dann entsprechende IPV6 Adressen ergänzt. Dann habe ich die Verbindung auf der Fritzbox gelöscht und die modifizierte Konfig hochgeladen. In der Fritzbox zeigt er dann aber nur den öffentlichen und privaten Schlüssel an. Die Details zu den IPs werden gelöscht; wenn ich diese Config dann wieder herunterlade kommt fehlgeschlagen; die Trennung habe ich mit und ohne LZ nach dem Komma versucht:
es gibt dort auch eine Möglichkeit die Verbindung zu "Fuß" einzustellen. Dort kann ich aber nur eine IPV4-Adressen eingeben.

Noch eine allgemeine Verständnisfrage: Müssen die IPs unter "Interface - Adresse", "Interface DNS" und "Peer-AllowedIPs" im Adressbereich meines Heimnetzes liegen oder fiktiv?

Im Heimnetz verwende ich 192.168.200.x;
Ich habe verstanden, dass der Tunnel ein eigenes Netzwerk ist. Daher wundert es mich, dass Fritzbox Wireguard die Interfache-Adresse und die Peer-AllowedIPs ebenfalls aus dem Adressraum 192.168.200.x nimmt. Hier bin ich mir unsicher.

Ich habe auch gelesen, dass ich die IPv6 so bestimmen kann, dass ich fd00:: nehme und die jeweilige IPv4 Adresse anhänge, also bspw. fd00::192:168:200:1/64 - stimmt das, oder muss ich hier das IPV6 Präfix des Heimnetzes nehmen, oder die Konkrete ipv6 des Gerätes.

Lieben Dank für eure Hilfe. Ich vermute, dass es mit der Fritzbox nicht funktionieren wird. Habt ihr den VPN direkt auf dem Nas o.ä. laufen?

 

[Neu2022]

 

[Neu2022]

 

[Neu2022]

 

[tiermutter]

habe ich die Verbindung auf der Fritzbox gelöscht und die modifizierte Konfig hochgeladen.

Sehr gute Idee... Aber es scheint als würde die Fritte es wirklich nicht zulassen.

Ich habe verstanden, dass der Tunnel ein eigenes Netzwerk ist. Daher wundert es mich, dass Fritzbox Wireguard die Interfache-Adresse und die Peer-AllowedIPs ebenfalls aus dem Adressraum 192.168.200.x nimmt.

Kann man so machen... Finde ich nicht schön, aber ist kein Problem. Wenn AVM das so möchte, dann bitte...

Ich habe auch gelesen, dass ich die IPv6 so bestimmen kann, dass ich fd00:: nehme und die jeweilige IPv4 Adresse anhänge, also bspw. fd00::192:168:200:1/64 - stimmt

Kann man machen, Deine Doppelpunkte sitzen dafür aber falsch, die müssen vor die letzte Zahl. Damit wäre dann die 1 aufwärts der Hostanteil.

Ich habe meine VPN Server auf der Firewall (OPNsense) laufen. Mit Fritte scheint das echt (noch) nicht zu gehen, bin da aber bei @Barungar, da wird AVM sicherlich nichts vorsehen, da "zu speziell."

 

[Neu2022]

Hallo zusammen,

ich komme nochmal auf das vorstehende Thema zurück. Die Fritzbox unterstützt - wie ihr wisst (https://forum.heimnetz.de/threads/kompletten-internetverkehr-ueber-wireguard-ipv6-only-tunneln.2936/) - im Tunnel nur IPv4, aber keinen IPv6 Traffic. Ich habe auch verstanden, dass sich das nicht durch Einstellungen ändern lässt.

Ich möchte das VPN unter anderem in Urlauben nutzen, um in offenen W-Lan Umgebungen sicher surfen zu können.

Nun zu meinem Verständnisproblem - bitte berücksichtigen, dass ich Laie bin und deswegen wahrs. nicht technisch präzise schreibe:

Wenn ich im Internet surfe, kann es - so mein Verständnis - sein, dass Verbindungen über IPv4 oder IPv6 aufgebaut werden. Ich meine sogar, dass IPv6 grundsätzlich bevorzugt wird, soweit verfügbar. Wenn Fritz-Box Wireguard nun aber kein IPv6 tunnelt bedeutet das doch, dass diese Daten nicht durch den Tunnel geschickt werden und ich auf die Webseiten ohne Schutz der VPN Verbindung zugreife. Ist das richtig?

Wenn das so ist: Kann ich das irgendwie verhindern?

Falls Nein: Ich habe zu Hause noch eine Synology. Hier könnte ich theoretisch einen Wireguard VPN Server installieren und damit den gesamten Traffic (IPv4 und IPv6) tunneln. Ich habe aber gelesen, dass man einen VPN Server optimalerweise nicht auf dem Datenserver betreibt: Stimmt das? Für mich klingt diese Warnung erstmal plausibel.

Alternativ habe ich mir überlegt, dass ich Wireguard auch über einen Raspi betreiben könnte. Hier müsste ich aber weiteres Geld in die Hand nehmen und es würden weitere Stromkosten entstehen. Zudem frage ich mich, ob ein Raspi - Bspw. Raspi 5 8GB - performant genung ist für Wireguard, oder ob es sinnvollere Überlegungen dazu gibt.

Könnt ihr mir hier vielleicht ein paar Ideen geben?

LG