Kein VPN Tunnel möglich mit Fritzbox! / Wireguard

txixmxo

New member
Hallo zusammen,

nach vielen versuchen einen VPN Tunnel zu erstellen benötige ich jetzt einmal eure Hilfe.

Was möchte ich: Durch die VPN Verbindung vom mobilen Netz oder anderem WLAN auf mein Heimnetz zugreifen. Bedeutet meine internen Netzwerkadressen (ioBroker, Tasmota, NAS etc) über das Smartphone zugreifen können.

zum Setup:
Router: Fritzbox! 7590 als WAN an eine Glasfaserdose der Deutschen Glasfaser angeschlossen
Smartphone: iPhone 13ProMax
Computer: Verschiedene Windows 11 Rechner

Was habe ich schon versucht:

- über meinen proxmox Server und der dazugehörigen Wireguard oder OpenVPN Verbindung über portfreigabe
- mit der Fritzbox Wireguard Integration
- mit der VPN (IPSec) Integration

Einstellungen an der Fritzbox:
- Fritzbox konto ist erstellt
- Das Fritzbox Konto ist aktiv und es kann über das Internet darauf zugegriffen werden.


Wie gehe ich vor: (hier die einfachste Möglichkeit Wireguard):

- iPhone wird WLAN deaktiviert (zum testen)
- In der Fritzbox unter Freigaben VPN Wireguard eine neue Verbindung anlegen
- Einzelgerät verbinden
- Name eingeben
- An Fritzbox bestätigen
- Dann mittels QR Code die Verbindung auf meinem iPhone einrichten

Wenn ich jetzt den Schieberegler betätige um die VPN Verbindung zu aktivieren sehe ich oben am iOhone für 2 Sekungen, dass ich nun eine VPN verbindung habe. Auf der Übersicht von der Fritzbox trotzdem unter Verbindung kein grüner Punkt.
Auf meinem iPhone kann ich auch keine internen Netztwerkadressen öffnen. Solange VPN auf dem Smartphone aktiviert ist habe ich auch kein Internet.

Habe ich hier irgendwie einen Denkfehler, wie das Ganze funktionieren soll?
benötigt Ihr noch weitere Informationen ?


Vielen Dank schonmal für eure Hilfe!!

Grüße
Timo
 
Deutsche Glasfaser sagt mir als erstes IPv6 und kein "richtiges" IPv4.
Hat Dein Mobilfunkvertrag für das iPhone IPv6 aktiviert?
Ich denke es wird sich alles um die IPv4-&IPv6-Frage drehen.

Dabei gilt die Faustregel... beide Seiten müssen sich verstehen.
Redet der eine IPv6, so muss auch der andere IPv6 sprechen. FritzBox auf IPv6 und iPhone auf IPv4 werden nicht zusammenkommen.
Und bei "Deutscher Glasfaser" wird Deine FritzBox zu 98% zum Internet hin nur IPv6 sprechen.
 
Poste mal Deine öffentliche IPv4 Adresse, die du von der DG bekommst.
Wenn ich richtig recherchiert habe, hast Du bei der DG einen DS-lite Anschluß, bei dem ein VPN schwierig werden kann.
Die Fritzbox sollte Dir auch sagen, ob du einen DS-lite Anschluß hast.

Gruss, Udo
 

IPV4-INFORMATIONEN PRIMÄR​

Adresse:94.31.105.XX
Hostname:nicht vorhanden
ISP:Deutsche Glasfaser Wholesale GmbH
Anbieter:DGW Ftth Dynamic Fra1

Statt XX steht dort eine Zahl.

Bei IP6 stehen da keine informationen.
 
Oha, das "sehe" ich zum ersten mal einen Deutsche Glasfaser-Anschluss mit "echter" IPv4 und dafür kein IPv6.
Ich gehe mal davon aus, dass Dein iPhone auch eine IPv4 vom Mobilfunkanbieter hat... dann sollten die beiden über Wireguard sprechen können. Die MyFritz-Adresse Deiner FritzBox ist auch sauber registriert?
 
Genau. Bei der telekom habe ich eine Ip4 und IP6 Adresse.

Die MY_Fritz Adresse mit besten Wissen und Gewissen ;) Konto müsste auf jeden Fall passen.

1701690374692.jpeg

Sehe gerade, dass ich mich bei der Fritzbox nur mit dem Fritz-Internetzugang anmelden kann, wenn ich im WLAN bin. Habe gerade mal nen Handy Hotspot gemacht und dann komme ich nicht auf die Anmeldeseite.
 
Über Myfritzbox.net kann ich mich normal einloggen.

Sagt aber halt in den Infos, dass der zugriff aus dem Internet nicht möglich ist.

1701690928587.png

1701691011369.png
 
OKay... das ist "komisch"... die IP, die Du uns gegegen hast ist eine öffentliche IP.
Aber warum ist die dann aus dem Internet nicht erreichbar.

Zeigt wirklich Deine FritzBox diese 94.31.105.xx an? Oder hast Du das von so einer "Wie ist meine IP"-Webseite?
Wenn es letztes ist, dann ist diese Information nichts wert, weil es dann vermutlich die IP des AFTR-Gateways ist.
Wir müssten schon wissen, was Deine FritzBox anzeigt.

Das könnte nämlich doch wieder bedeuten, dass Du kein (echtes) IPv4 hast.
 
Bingo... 100.113.x.x ist CG-NAT.

Alle IPv4-Adressen von 10.64.0.0 bis 10.127.255.255 sind unecht. Das ist ein Bereich der von der IANA für Carrier Grade Network Adress Translation (CGNAT) reserviert ist. CGNAT ist ein sogenanntes Transisionsverfahren, bei dem man eine IPv4-Anbindung "emuliert". Damit kann man Internet surfen und Downloaden, usw. Aber es ist kein vollwertiges IPv4, was Du für ein VPN bräuchtest.

Also ganz schlechte Nachrichten für Dich.

Du bist aus dem Internet nicht erreichbar, so brauchst Du wegen VPN oder Portfreigaben erst gar nichts zu versuchen. Das wird alles nicht funktionieren. Du hast kein echtes IPv4, sondern "nur" CGNAT, und leider hast Du wohl auch kein IPv6. Zumindest zeigt die FritzBox keines an.

Eventuell kannst Du das IPv6 aber auf Deiner FritzBox aktivieren. Das sollte da in den Post oben von Dir der Haken sein, der bei IPv6 fehlt.
Oder sprich mal mit dem DG-Support, dass die das für Dich machen.
 
Zuletzt bearbeitet:
Ok. Vielen Dank erst einmal für eure Hilfe!!!

Welche Einstellungen sollte ich denn dann wählen ?

1701695028591.png

Wenn ich eine IP6 Adresse angezeigt bekomme krieg ich das dann über die hin ?

Wenn bei der DG nichts rauskommt habe ich keine Möglichkeiten ansonsten? Wahrscheilich nur mit Portfreigaben und ner VM auf Proxmox?!
 
Welche Einstellungen sollte ich denn dann wählen ?
Ich kenne mich mit DG nicht aus. Meine Vermutung auf Grund dessen, was ich über diesen Anbieter weiß, würde ich vermuten, dass Du die zweite Option "Native IPv6-Anbindung verwenden" nehmen solltest. Im Zweifel den DG-Support fragen...


Wahrscheilich nur mit Portfreigaben und ner VM auf Proxmox?!
Ne, ein Proxmox hilft Dir da auch nicht. Weil Du hast zur Zeit effektiv kein IPv4 und auch kein IPv6. Du kannst ein bisschen lustig Internet surfen, mehr nicht. Aber ich habe Hoffnung, dass Du zumindest IPv6 aktiviert bekommst - im Zweifel mit der Hilfe des DG-Supports.

Und dann kannst Du alles machen, was Du willst... aber vermutlich nur über IPv6. Achja, und ich würde es an Deiner Stelle dann mit einem VPN an der FritzBox machen. Da Du kein IPv4 hast, werden Portfreigaben mit IPv6 und DynDNS mit IPv6 etwas komplexer. Ich sage nicht, dass das nicht geht. Es ist nur noch mal herausfordernder als wie mit IPv4.

Die Logik in IPv6 ist anders als in IPv4; man leitet z.B. keine Ports weiter sondern man gibt Ports frei. Das ist ein kleiner, feiner Unterschied. Und die meisten Tutorials im Internet sind eher noch IPv4-basiert und weniger IPv6-tauglich.
 
@txixmxo Du kannst Dich ja melden, wenn Deine FritzBox Dir auch eine IPv6-Adresse anzeigt und Dein iPhone (mit Telekom Vertrag) dann per IPv6 eine Wireguard-Verbindung nach Hause hat.
 
Hallo zusammen,

hab es hinbekommen.

In der Fritzbox unter Zugangsdaten/ IpV6 Native IPv6-Anbindung verwenden aktiviert
Dann Globale Adresse ausschließlich per DHCPv6 beziehen aktiviert

musste ein wenig warten. Dann hat er aber im Onlinemonitor die IPv6 Adressen angezeigt.

Musste dann noch nen neuen DynDNS einrichten, damit der sich auch die IPv6 Adressen konfiguriert.
Dann die Wireguard Verbindung eingerichtet/ Erst im WLAN mit dem Iphone verbunden, damit er die Adressen aktualisiert. Danach konnte ich auf das mobile netzt umstellen und mit dem Iphone auf das Heimnetz Zugreifen.

Vielen Dank an alle!!! Das mit den nicht vollwertigen IPv4 Adressen habe ich nicht gewusst. Der Anruf bei der Deutschen Glasfaser hat auch nichts gebracht. Aussage bei DG: IPv6 gibt es bei DG nicht öffentlich und IPv4 ist DS-lite., also keine Möglichkeit mit VPN Tunnel.... so bügeln die diese nervigen technischen Fragen einfach ab.

Viele Grüße und einen schönen Abend!!

Timo
 
Hallo!

Ich wollte mich hier einmal anschließen mit meiner Frage, weil es in eine ähnlich Richtung geht.

aktueller Stand:
Seit kurzem stolzer Besitzer einer Glasfaserleitung (vorher DSL). Glasfaser kommt über das Modem (CGNAT) auf den LAN Port 1 der Fritzbox 7530A (OS 8.0.0).
Ziel: VPN Verbindung über Wireguard auf das eigene Netzwerk (z.b.: loxone)

Nach dem ich herausgefunden habe, dass ich eine geteilte IPv4 im CGNAT Bereich habe, führte mich die gezielte Google Suche auf diese Forumseite mit einem ziemlich ähnlichen Problem wie bei mir.

Eine IPv6 habe ich schon. Das Problem wo ich stehe.
Ich kann mit WireGuard eine Verbindung herstellen (auch grüner Punkt bei der FritzBox Übersicht), aber wenn ich WireGuard eingeschalten habe, dann bekomme ich auch eine IPv4 (eine für mein Netz) und eine IPv6. Nur leider komme ich mit diesen nicht ins Internet und anpingen meines Routers usw. geht auch nicht.

Mein Wunsch wäre: VPN über Wireguard und IPv6 (IPv4 geht ja nicht), dann eine IPv4 im Netzwerk bekommen und mit der IPv4 vom Netzwerk die anderen Netzwerkteilnehmer anfunken.
dynDNS hätte ich mit myFritz gemacht.

Hätte hier noch jemand eine Idee? Fehlt eventuell eine Portfreigabe oder muss ich sonst noch eine Frage erteilen? In diese Richtung habe ich noch nichts freigegeben.

Danke Christian
 
Hallo!

Ich wollte hier noch schnell meine Lösung präsentieren.
Wenn man (so wie ich) eine IPv4 (geteilte) im CG Nat Bereich hat und keine IPv6, dann habe ich eigentlich nur einen Weg gefunden, wie man den VPN wieder zum Laufen bekommt.

Man muss beim ISP nachfragen wegen einer öffentlichen (meist dynamischen) IPv4 Adresse. Der ISP ist dazu verpflichtet (laut EU Verordnung bzw. RTR Bescheid) eine öffentlich IPv4 GRATIS zur Verfügung zu stellen.

Das war dann auch bei mir so der Fall. Beim ISP nach einer kostenlosen öffentlichen IPv4 Adresse angefragt und diese dann bekommen. Jetzt geht Wireguard (über MyFritz) wieder ohne Probleme.

lg Christian
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.914
Beiträge
57.758
Mitglieder
5.873
Neuestes Mitglied
fsprwrixyzcctma
Zurück
Oben