Fritzbox und Wireguard

wow5432

Member
Guten Morgen zusammen :)

aktuell habe ich eine Synology, welche u.a. als Wireguard Server fungiert.
Diese hängert hinter der Fritzbox - Wireguard Port auf Fritzbox in RIchtung Synology freigeschaltet.

Fazit: Funktioniert problemlos!

Jetzt, wo die aktuelle Labor Version der FB draußen ist - welche ebenfalls Wireguard mitbringt - dachte ich daran, die FB als Wireguard Server laufen zu lassen (statt der Synology)

Fazit hierbei: Läuft leider nicht problemlos.

Im Einsatz ist die FB 6660 Cable - Endgerät iPhone X mit der Wireguard App.
Verbindung wird zu Beginn hergestellt und VPN läuft.
Lege ich das iPhone weg, und benutze es einige Minuten nicht (sagen wir mal 20 min), zeit mir das iPhone immer noch eine aktive VPN Verbindung an.
Auf der FB Webmaske ist aber klar zu erkennen, dass die VPN Verbindung nicht mehr aktiv ist.
Unterm Strich, kann das iPhone jetzt keine Internetseiten mehr anrufen, noch Geräte im lokalen Netz erreichen.

Erst wenn ich in der Wireguard App die Verbindung trenne und erneut herstelle, klappt es wieder.
Kann das jemand bestätigen?

Dieses Phänomen habe ich nur, wenn die FB Wireguard Server spielt - mit der Synology tritt dieses Problem nicht auf.
 
Hallo und willkommen im Forum @Ghost018

So ganz spontan würden mir diverse Energiesparmodi des iPhone einfallen. Dem widerspricht allerdings, daß es nur die Verbindungen betrifft welche über die Fritz!Box gehen. Hab hier nur Androiden. Gibt's bei den Einstellungen irgendwo einen Punkt "VPN dauerhaft halten" oder so ähnlich?
 
Mein Tipp wäre auch gewesen, dass die FB vielleicht "bei Leerlauf" die Verbindung kappt.
Oder aber und dem ist nun mal so, die Wireguard Implementation bei Fritz ist eben noch Beta.
 
Lege ich das iPhone weg, und benutze es einige Minuten nicht (sagen wir mal 20 min), zeit mir das iPhone immer noch eine aktive VPN Verbindung an.
Auf der FB Webmaske ist aber klar zu erkennen, dass die VPN Verbindung nicht mehr aktiv ist.
Unterm Strich, kann das iPhone jetzt keine Internetseiten mehr anrufen, noch Geräte im lokalen Netz erreichen.
Und dieses Verhalten ist bei der Syno nicht so? Ich würde eher auf die Ecke des Smartphones tippen, mal ganz davon ab, dass die Fritzbox-Firmware sowieso noch "Labor"-Status hat (was unter'm Strich auch nix anderes bedeutet als "noch nicht fertig", womit man das - wie @Barungar schon ganz treffend sagte - eben noch als "beta" bezeichnen kann... "kann funktionieren, muss aber nicht").

Man muss dazu aber auch sagen: Es ist relativ normal, dass VPN-Verbindungen nach einer gewissen Zeit automatisch getrennt werden (Sicherheit, Energie sparen, usw.), sofern kein Verkehr über die VPN-Verbindung stattfindet. Oftmals hat man eine Möglichkeit wie z.B. "keepalive", womit z.B. Timeouts (Zeit ohne jeglichen Traffic) umgangen werden, damit die VPN-Verbindung nicht automatisch abgebaut wird.

Bei der Fritzbox ist dieser Punkt übrigens auch nicht "instant" da gewesen, nachdem sie damals VPN auf ihren Boxen eingeführt hatten...

Wie dem auch sei... Aus meiner Sicht macht die Fritzbox ihren Job erstmal korrekt (VPN wird nach gewisser Inaktivität abgebaut) und die Fritzbox ist auch erstmal nicht in der Lage dieses Verhalten zu ändern, da sie nur auf den Client reagiert und nicht selbstständig irgendwelche Verbindungen zum Client aufbaut. Warum die Verbindung abgebaut wird? Weil der Client sich nicht entsprechend gemeldet hat. Warum? Weil der "Client" eben noch der Meinung ist, dass die Verbindung vermeintlich noch aufgebaut ist!

So, wer ist jetzt der angeschmierte? Der, der seinen Laden zum Feierabend zugesperrt hat, oder der, der nach Feierabend vor dem geschlossenen Laden steht und sich wundert, warum er nicht rein kommt?

Keine Ahnung, ob da bei den Configs (Fritz/Syno) irgendwas unterschiedlich beim Handy gelaufen ist, aber "für mich" ist definitiv das Handy der Übeltäter... dort müsste man eigentlich sagen, dass die VPN-Verbindung aufrecht erhalten werden soll und das Handy muss selbst prüfen, ob es die Gegenseite erreicht, oder nicht und im Zweifelsfall die VPN-Verbindung wieder aufbauen.

So... grade nochmal kurz die Google-Bildersuche bemüht...:

https://vpntester.org/wp-content/uploads/2022/05/wireguard-anleitung-appleios-12.png

Schau Dir mal den unteren Teil an.... Da trägste einfach mal etwas ein und schaust dann, wie es sich dann verhält... Hatte bisher nix mit Wireguard an der Mütze, aber wenn nix eingestellt ist, gibt es auch kein keepalive und dann wird die Verbindung halt irgendwann beendet (und traurigerweise kriegt das Handy das anscheinend - warum auch immer - nicht mit). Also keepalive einschalten in der Config innerhalb der App und dann sollte jut sein. Alternativ hab ich da irgendwo noch den Punkt "on demand" gesehen (Aktivierung bei Bedarf), was ich persönlich bevorzuge, aber das kommt ganz auf das gewünschte Verhalten bzw. das Einsatzszenario an.
 
Es hilft zwar keinem, aber…
Mein Tipp wäre auch gewesen, dass die FB vielleicht "bei Leerlauf" die Verbindung kappt.

…dieses Verhalten habe ich bereits bei einer IPSec VPN Verbindung zwischen Fritzbox und iPhone feststellen dürfen. Nachdem ich mein iPhone (oder auch iPad) weggelegt habe und der Bildschirm schwarz geworden ist, ist die VPN Verbindung nach dem entsperren ausgeschaltet.

Ich habe auf einem Raspberry Pi mit PiVPN sowohl mit Wireguard als auch mit OpenVPN rumgespielt und hier bleibt die Verbindung so lange bestehen, bis ich diese auf iPhone oder iPad beende, egal wie oft ich zwischenzeitlich die Geräte weglege. Gleiches geschieht, wenn ich OpenVPN über die pfSense laufen lasse.

Meines Erachtens liegt es also eher an der Fritzbox, wobei dieses Verhalten bei Android Systemen natürlich ein anderes sein kann. Aus Mangel an passenden Geräten kann ich das leider nicht testen. Auch kann ich nicht sagen, wie man dieses Verhalten ändern kann.

Tommes
 
Es wird wohl per default Wifi deaktiviert, sobald ein IOS-Gerät in den Standby geht (da wird dann wohl umgeschaltet auf LTE, weil es einfach weniger Strom frisst). Insofern kann man erstmal davon ausgehen, dass die Verbindung "weg" ist, womit auch logischerweise das VPN weg ist. Aktiviert man das Gerät jetzt wieder, kommt es wohl auf die vorherigen Zustände (und Konfigurationen) an. Soll die VPN-Verbindung aufgebaut sein, wird sie direkt wieder aufgebaut (selbiges passiert auch, wenn eine App (trotz Standby) irgendwas im Netz wurschteln will). Zwecks on-demand/always-on dürfte man aber wohl dazu genötigt sein, sich selbst eine Config zu basteln und diese zu importieren.

EDIT: Btw VPN-Profil-Dateien kannst Du mit dem Apple-Configurator erstellen (gibt es wohl nur für Apple-Geräte), alternativ aber auch einfach mit einem Text-Editor runterrasseln.

EDIT2: Die Config ist via Passwort möglich (aber halt nur IKEv1).
 
Zuletzt bearbeitet:
Vielen Dank für die vielen Informationen!
Aber ich möchte hier gerne noch mal in Erinnerung rufen, das es nicht am iPhone liegen kann.
Am iPhone verändert sich nichts. Selbes Endgerät, selbe Wireguard App - das einzige was ich sich verändert ist der Wireguard Server:

1. Wähle ich den Synology Wireguard Server aus : Alles perfekt!
2. Wähle ich den FB Wireguard Server aus: Verbindung geht nach x Minuten verloren

In beiden Situation bleibt die Wireguard App auf dem iphone identisch.
Hier ist auch die Funktion "on demand" aktiv.

Bleibe hier nach wie vor der Meinung, dass die FB das Problem ist.
Schreibe schon seit Wochen mit AVM hin und her. Jede neue Labor Version bringt keine Verbesserung. Wie immer ist es AVM nicht schuld, sondern das iPhone - was ich wie oben wiederlegt habe.
 
dieses Verhalten habe ich bereits bei einer IPSec VPN Verbindung zwischen Fritzbox und iPhone feststellen dürfen. Nachdem ich mein iPhone (oder auch iPad) weggelegt habe und der Bildschirm schwarz geworden ist, ist die VPN Verbindung nach dem entsperren ausgeschaltet.
Das ist ein gewolltes Verhalten beim iOS und hat damit zu tun, dass das iOS Strom sparen möchte. Um das zu umgehen, müßtest Du Dein iPhone mit Apple Configurator 2 als “managed” neu installieren. Das geht nicht nachträglich, sondern nur bei Neuinstallation, soweit mir bekannt.
Sonst mußt Du jedes Mal nach dem Sperrbildschirm das VPN manuell wieder einschalten.
 
Zuletzt bearbeitet:
finde es immer noch fragwürdig, warum hier der Fehler beim iPhone gesucht wird ...
Wie bereits mehrfach erwähnt:

Fehler tritt ja nur auf, wenn Fritzbox WG Server spielt.
 
Moinsen,
Ich glaube, dass @Stationary dich mit seinem Post nicht meinte... :)
Vorschlag wäre dann noch, ein 2. alternatives Gerät zu verbinden, bricht da unter fritzbox wireguard auch nach x Minuten ab, haste für avm ne Differenzialdiagnose parat.

Abgesehen davon...ist eben ne laborversion, wie ja schon angemerkt wurde.
 
Naja, sagst Du nicht auch selbst, dass die AVM FritzBox die Verbindung nicht abbaut, sondern das das iPhone sie abbaut?! ;)

Da würde ich als AVM aber auch sagen, liegt nicht an uns. Die Frage, aber die "kostet extra", warum baut das iPhone die Verbindung ab in Kombination mit einer FB.

Schonmal überlegt, ob Deine andere Lösung ggf. einen keep alive über das VPN sendet?! Und das iPhone daher nie in die Versuchung kommt, Strom zu sparen in dem es die Verbindung terminiert?
 
Vielleicht habe ich mich falsch ausgedrückt, denn es kann durchaus sein, das die VPN Verbindung bei IPSec, OpenVPN oder Wireguard unterbrochen wird, wenn das iOS Device in den Sperrbildschirm bzw. Standby geht.

Im Gegensatz zu IPCsec ist es bei OpenVPN bzw. Wireguard aber so, das nach dem entsperren die Verbindung automatisch wieder aufgebaut wird. Mag sein, das das an den Apps liegt. Bei IPSec über die Fritzbox nimmt man ja keine extra App, sondern nur die VPN Einstellungen des iOS Gerätes
 
"Im Gegensatz zu IPCsec ist es bei OpenVPN bzw. Wireguard aber so, das nach dem entsperren die Verbindung automatisch wieder aufgebaut wird."

Das ist richtig! :)

und die Verbindung wird auch wieder aufgebaut, wenn meine Syno WG Server spielt.
Nur die FB streikt
 
Syno iPhone Config:
[Interface]
PrivateKey = XXX
Address = 10.8.0.2/24
DNS = 192.168.108.250

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.108.0/24
PersistentKeepalive = 0
Endpoint = vpn.meineDomain.de:5308


Fritzbox iPhone Config:
[Interface]
PrivateKey = XXX
ListenPort = 56575
Address = 192.168.108.1/24
DNS = 192.168.108.250

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.108.201/32
PersistentKeepalive = 0



https://www.wireguard.com/quickstart/#nat-and-firewall-traversal-persistence wäre ggf. auch noch ein Punkt, da die Fritzbox vermutlich nicht hinter einem NAT liegt, die Syno dafür aber schon.

Jetzt bin ich überfordert :D
Heißt?
 
Zuletzt bearbeitet von einem Moderator:
bei Syno klappt es auch so problemlos.
Hatte aber beim keep alive für die fb config auch den Wert 25 gesetzt.
Ebenfalls ohne Erfolg.

Hier kann man die Configs besser erkennen:

IMG_4741.PNG IMG_4742.PNG
 
Zuletzt bearbeitet:

Letzte Anleitungen

Statistik des Forums

Themen
4.380
Beiträge
45.240
Mitglieder
3.982
Neuestes Mitglied
ThomasW
Zurück
Oben