Fritzbox VPN mit WireGuard - nur Internettraffic

[Jack Jones]

Hallo zusammen,

ich hoffe, dass ihr mir helfen könnt.

Ich muss ein Endgerät von Standort A mit meinem Netzwerk verbinden.
Ziel ist es, dass das Endgerät von Standort A nur über mein Netzwerk nur das Internet nutzt und keinen Zugang zu weiteren Ressourcen in meinem Netzwerk hat.

Wie kann ich das mittels WireGuard durchführen?

Gegeben ist eine FritzBox 6591 Cable, auf den Router am Standort A besteht kein Zugriff.

Aktuell verbindet sich das Endgerät mit meinem Netzwerk, ich kann aber auf alle Ressourcen zugreifen.
Die Konfig von WireGuard sieht wie folgt aus:

[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX
ListenPort = 58259
Address = 192.168.0.1/24
DNS = 192.168.0.1
DNS = fritz.box

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX
PresharedKey =XXXXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 192.168.0.137/32
PersistentKeepalive = 25

Vielen Dank und Grüße

 

[Barungar]

Nach meinem Verständnis der Implementation von Wireguard in der FritzBox kannst Du Deine Anforderung nicht umsetzen. Der Wireguard-Client hat im Zweifel immer auch Zugriff auf das Subnetz der FritzBox. Deine Idee wäre, nach meinem Verständnis, nur realisierbar, wenn Du einen eigenständigen Wireguard-Server im Subnetz Deiner FritzBox betreibst. Dort könntest Du dann weitere "Beschränkungen" erstellen, die den Zugriff eben nur auf das Internet, nicht aber auf Dein LAN, begrenzen.

 

[Noki9]

Genau auch mein Problem.
Dazu habe ich schon was gefunden (Link), das sich aber (eigentlich) auf "VPN (IPSec)" bezieht. Nun kann man den Schritten folgen und sich eine eigene Konfiguration erstellen, wo man einen neuen Eintrag "accesslist" anlegt. Die neue Konfiguration kann man als "VPN (IPSec)" Verbindung auch importieren und sie landet dann (erstaunlicher Weise) unter "VPN (WireGuard)". Aber auch ohne einen neuen Eintrag "accesslist" geht die so importierte Verbindung nicht. Hat da jemand Erfahrungen? Oder mache ich dazu besser ein neues Thema auf?

 

[Barungar]

Gruselig... da fummeln Leute an einem Parameter auf "low level" rum ohne überhaupt zu wissen, was sie tun.

Allein schon die Angaben, die dieser "Hr. Wolff" macht in der Accesslist sind einfach nur falsch. Ich kann ganz gut verstehen, dass der AVM Support damit nichts zu tun haben will und sagte: "Da können wir ihnen nicht helfen."

Aus dem Post:

"permit ip 192.168.178.76 255.255.255.0 192.168.178.31 255.255.255.255";

Das tut in der Seele weh!

 

[Noki9]

Danke für das Update. Ich sehe das Problem. Dann versuche ich es mal Out-of-the-Box: Gibt es die Mögliche, das Ziel über einen anderen (nicht so gruseligen) Weg zu erreichen? Also vielleicht eine statische Route beispielsweise. Sagen wir, eine Route, die sämtlichen Traffic von einer festgelegten IP (das wäre dann die, die via WireGuard vergeben wird) zu Google leitet.
Oder gibt es noch einen besseren Weg? Über "VPN (IPSec)" möchte ich nicht gehen, da das für die Clients zu umständlich ist. Einfach nur einen QR-Code scannen, schafft jeder. ;-)

 

[UdoAA]

Hmm, ich würde mir dafür einen Raspi kaufen, Linux draufpacken, pivpn mit Wireguard installieren und dann eine Firewall installieren, die allen Traffic vom entfernten Netz in das Heimnetz blockt und nur als default-route das Internet angibt. Wird aber trotzdem ein recht anspruchsvolles Vorhaben.

Edit: Evtl. reicht ein Raspi nicht, da der nur eine LAN-Karte hat und man braucht dafür zwei LAN-Karten, dann wirds sauberer und einfacher. Müßte also evtl. z.B. ein Odroid H3 sein, der hat 2 LAN Anschlüsse.

 

[Noki9]

Das ist dann leider eine Lösung, die eher weit weg von simpel ist.

Es gibt WireGuard leider nicht nativ für mein NAS, das wäre sonst auch noch eine Möglichkeit. Und die Lösung mit Docker ist dann schon wieder zu viel Aufwand.

Ich suche vielleicht noch mal etwas.

 

[UdoAA]

Ich würde auf einem NAS definitiv kein vpn laufen lassen, da wird auch meist von allen von abgeraten.
Da Dein Anliegen auch kein Standard ist, wird es dafür vermutlich auch keine Standard.Lösung geben.

 

[Noki9]

Eigentlich dachte ich wirklich an sowas wie eine Route auf der FB, wo ich den ganzen Traffic einfach irgendwohin leiten kann.

Aber mir fehlen da die grundlegenden Kenntnisse zur FB. Mit dem Frontend ist das sicher nicht zuachen. Da bin ich für jeden Hinweis dankbar.

 

[blurrrr]

Sieh der traurigen Wahrheit einfach mal direkt ins Gesicht. Eine Fritzbox ist eine Fritzbox und wird es auch immer bleiben. Somit stehen Dir a) die Dinge wie Gui zur Verfügung und b) hast Du noch die Möglichkeit, dass Du eine selbstgestrickte VPN-Config importierst. Damit sind die Optionen bzgl. der Fritzbox aber schon erschöpft. Mit "Ich will aber nix extra" und "Ich will aber mit der Fritzbox" braucht man da auch garnicht mehr anzufangen, ist schlichtweg nicht gegeben.

Das einzige was mir noch einfallen würde (sofern das überhaupt geht - bin nicht so im Fritzbox-Thema), wäre etwas in Richtung:

deny = <Netz1>, <Netz2>
allow = 0.0.0.0/0

Somit dürfte der Client zwar "überall", aber nicht an die beiden internen Netze. Ob sowas überhaupt mit der Wireguard-Config möglich ist, keine Ahnung, hier sind eher Firewalls dazwischen, über welche man sowas regelt (und jop, das ist dann wieder "extra", dafür hat man eben auch entsprechende Möglichkeiten).

Du darfst bei der ganzen Nummer auch eines nicht vergessen: Das ist ein klassisches "Privatkunden"-Segment. Da gibt es solche Anforderungen offiziell garnicht (VPN-Einwahl nach Hause muss halt reichen) Wenn es Dich interessiert, schau Dir einmal entsprechende System an (ganz egal ob Opensource oder nicht, z.B. Screenshots von einer OPNsense/pfSense, oder sonstwas), dann wirst Du ziemlich schnell feststellen, dass dazwischen "Welten" liegen (sowohl bei den Möglichkeiten, als auch im Umfang).

 

[Barungar]

WireGuard kennt keine deny - Option, soweit ich weiß.

 

[blurrrr]

kennt keine deny - Option

Tja, damit wäre dann auch schon alles gesagt

 

[Stationary]

Läßt sich bei Wireguard nichts über iptables und drop/accept machen?

 

[UdoAA]

Das wäre ja mein Ansatz mit einem weiteren zwischengeschalteten Gerät mit 2 LAN-Schnittstellen und einer Firewall, bei der mit iptables sowas recht einfach geht.

 

[Barungar]

Läßt sich bei Wireguard nichts über iptables und drop/accept machen?

Nein, Wireguard hat nix mit iptables zu tun. Das würde gehen, wenn man Wireguard auf einem Linux betreibt. Aber bei Wireguard auf einer FritzBox hat man keine dieser Optionen, da kann man nix begrenzen.

Und der Vorschlag Wireguard auf einem Linux zu betreiben war nicht gewünscht, weil zu komplex.

 

[Noki9]

In meinem jugendlichen Leichtsinn dachte ich, das die FB auch nur ein angepasstes Linux ist und ich da irgendwo Was mit iptables machen kann. Den Ansatz mit deny = xxx und allow = yyy in einer ACL geht mit WireGuard nicht. Das hatte ich ja bereits getestet. Tatsächlich habe ich es auch nicht geschafft, eine bereits funktionierende konfiguriert zu importieren. Das mag daran liegen, dass der Dialog in der FB ja eigentlich für IPSec ist.

Ein großes Dankeschön an alle hier. Auch wenn mein Problem nach wie vor besteht, habe ich wieder einiges gelernt.

 

[Barungar]

Das ist ja auch richtig, dass ein angepasstes Linux auf der FritzBox läuft. Aber Du selbst hast keinen Zugriff darauf und die Möglichkeiten, die Dir AVM gibt, sind durch die GUI vorbestimmt. Da ist ein "Zugriff" auf die Firewall-Regeln nicht vorgesehen.

Früher konnte man noch auf die Shell, da konnte man TELNET aktivieren. Das hat AVM aber irgendwann mal ausgebaut.