OpenWRT Router hinter Fritzbox mit Wireguard Server

[klaus333]

Hallo,
habe ein Problem und ich hoffe ihr könnt mir helfen, ich habe ein OpenWRT Router hinter meiner Fritzbox, auf dem OpenWRT läuft ein Wireguard Server das funktioniert auch alles soweit, die Klienten die mit Wireguard Server verbunden haben auch eine andere Adresse und Standort, mein Problem ist ich kann mich nicht mit einer DynDns Adresse zum Router verbinden, wie muss das konfiguriert werden damit es klappt.

Internet--- Fritzbox7590AX (Hauptrouter) --- OpenWRT Router mit Wireguard Server

 

[blurrrr]

Hi,

mein Problem ist ich kann mich nicht mit einer DynDns Adresse zum Router verbinden, wie muss das konfiguriert werden damit es klappt.

stellt sich erstmal die Frage, was Du extern überhaupt hast: IPv4, IPv6, beides (Dual-Stack), oder beides (DS-Lite). Bei IPv4 brauchst Du eine Portweiterleitung auf die interne IP des OpenWRT, bei IPv6 muss der Eintrag auf die IPv6-Adresse vom OpenWRT-Router zeigen (nicht auf die Fritz!Box).

Oder funktioniert das VPN von extern und Dir geht es nur um den Zugriff auf die Fritz!Box selbst via DynDNS-Adresse? Da wäre zum einen der Rebind-Schutz (ob das in der Konstellation wirklich zum tragen kommt, weiss ich allerdings nicht), zum anderen das entsprechende Routing (VPN-Netz hinter OpenWRT -> Fritz!Box-Netz). Die sauberste Lösung wäre eine statische Route auf der Fritz!Box (Gateway: WAN-IP vom OpenWRT) zzgl. einer Regel auf dem OpenWRT, dass die VPN-Teilnehmer auch in das Fritz!Box-Netz dürfen.

Vielleicht habe ich Dich aber auch völlig falsch verstanden und das alles ist garnicht richtig. Falls dem so ist, bitte das Anliegen etwas genauer beschreiben

 

[Confluencer]

mein Problem ist ich kann mich nicht mit einer DynDns Adresse zum Router verbinden, wie muss das konfiguriert werden damit es klappt.

Da Wireguard scheinbar funktioniert, stellt sich hier die Frage: was ist damit gemeint?

Bei mir hängt auch OpenWRT mit WireGuard hinter einer Fritzbox als Exposed Host. Dyndns mit Cloudflare mache ich direkt auf der OpenWRT, sodass hier auf die korrekte ipv4 und ipv6 GUA aufgelöst wird und bspw. so mein haproxy über die Domain via ipv4 und ipv6 erreichbar ist.

 

[klaus333]

Also auf dem OpenWRT läuft mein Wireguard Server der mit Surfshark verbunden ist , und ich möchte mit meiner DynDns Adresse auch auf die Klienten zugreifen die über den OpenWRT ins Internet gehen, also über das VPN, also wie müsste ich jetzt alles konfigurieren damit das Funktioniert IP technisch gesehen und so weiter, habe ein Telekom Glasfaser Anschluss

 

[Confluencer]

Das hat mir jetzt nicht wirklich geholfen zu verstehen. wie Dyndns hier in diesem Kontext genutzt werden soll.

OpenWRT baut eine ausgehende WireGuard VPN-Verbindung auf -> check

Geräte aus deinem Netzwerk gehen über diese Wireguard VPN-Verbindung raus -> ?

• Diese Geräte sollen über deine Dyndns Adresse erreichbar sein?
  • Mit der externen IP der Fritzbox oder der VPN-Verbindung?
  • Worauf zeigt den die Dyndns Adresse überhaupt?

Bitte erkläre es diesmal so, dass jemand der keine Ahnung hat was Du genau vorhast, eine Chance hat zu verstehen, was du vorhast. Du musst die Sachen in deinem Kopf schon mit uns teilen, damit wir eine Chance haben zu verstehen was am Ende dabei herauskommen soll.

 

[blurrrr]

Ich denke, hier werden ein paar Dinge durcheinander geworfen...

1)

ich kann mich nicht mit einer DynDns Adresse zum Router verbinden

Was genau soll das bedeuten? Das wäre ja ein "externer" Zugriff auf den Router.

2)

Also auf dem OpenWRT läuft mein Wireguard Server der mit Surfshark verbunden ist

Also geht ausgehender Netzwerkverkehr vom OpenWRT "immer" über das Surfshark-VPN nach draussen.

3)

und ich möchte mit meiner DynDns Adresse auch auf die Klienten zugreifen die über den OpenWRT ins Internet gehen

Das wird so eher nicht funktionieren bzw. bräuchtest Du - wenn es Dein Setup überhaupt zulässt - entweder komplett durchgängig und vernünftig eingerichtetes IPv6, oder 2 Portweiterleitungen (Fritz!Box + OpenWRT).

Mit Deiner DynDNS-Adresse hat das allerdings auch erstmal nichts zu tun und die vermutlich einfachste Lösung wäre wohl eher, dass Du Dir auf der Fritz!Box ein eigenes VPN einrichtest. So kannst Du Dich dann von extern via VPN mit der Fritz!Box verbinden, erscheinst im Fritz!Box-Netzwerk mit einer eigenen internen IP und kannst darüber dann die Geräte im Fritz!Box-Netzwerk ansprechen.

 

[klaus333]

Ja die Gerate die mit dem OpenWRT Router verbunden sind gehen über die VPN Verbindung ins Internet und diese Gerate möchte ich über eine Dyndns erreichen, wie mach ich das am besten, ich habe eine dyndns Adresse zur fritzbox, aber ich erreiche nicht Geräte die mit dem Openwrt verbunden sind, das ist meine frege wie muss ich das alles Konfiguieren, das der OpenWRT Router als Wireguard Server funktioniert und ich die Geräte die über die VPN Verbindung rausgehen trotzdem über eine DynDNS erreichen kann von aussen.

 

[klaus333]

Ja das mit der Fritzbox habe ich versucht, aber meine Telefonie funktioniert dann nicht mehr wenn die VPN verbindung aktiv ist

 

[blurrrr]

Das ist nicht gemein, ich rede hier nicht von so einem Surfshark o.ä. VPN heisst eben nicht NUR, dass man darüber Dienste anderer nutzt. Du kannst Dich mit einem VPN auch einfach bei Dir Zuhause einwählen.

Surfshark:
Clients bei Dir Zuhause -> Router bei Dir Zuhause ------VPN----> Surfshark-Anbieter -> Internet

Was ich meine:
Dein Client (extern) ----VPN---> Router bei Dir Zuhause ---> Dein Heimnetz

Ist also etwas völlig anderes, auch wenn die Technologie dahinter die selbe sein kann. Du sagst Dein Setup ist wie folgt:

Internet <-> Fritz!Box <-> OpenWRT

Nun stellt sich erstmal folgende Frage: Sind in "beiden" Netzwerk (hinter Fritz!Box und hinter OpenWRT) jeweils Clients, oder sind die alle "nur" hinter dem OpenWRT? Da ist halt erstmal die grundsätzliche Frage, ob Du nur "ein" Netzwerk via VPN erreichen musst, oder "beide".

Grundsätzlich hast Du erstmal 2 Möglichkeiten:

1) Du richtest Dir selbst einen VPN-Zugang auf der Fritz!Box ein. Läuft das alles kommst Du erstmal "nur" ins Fritz!Box-Netzwerk. Da wären halt noch entsprechende Anpassungen an der Fritz!Box und am OpenWRT nötig. Verhält sich dann ähnlich wie hier bereits diskutiert (Thread-Titel ist etwas irreführend, geht aber in die gleiche Richtung)

2) Du richtest Dir selbst einen VPN-Zugang auf dem OpenWRT ein. Bedingt aber eine Portweiterleitung/-freigabe auf der Fritz!Box zur WAN-IP des OpenWRT (damit Clients von extern den OpenWRT auch erreichen können zwecks VPN-Verbindungsaufbau).

Wie Du Dir Deine Umgebung gestalten willst, ist Deine Sache, wichtig wäre nur, dass Du damit auch klar kommst

 

[klaus333]

Also die 2. Varriante ist das was ich realisieren möchte der OpenWRT Router soll praktisch der Wireguard Server im Netzwerk sein und die Klienten die mit ihm verbunden sind, also über das VPN ins Internet gehen, sollen aber Trotzdem von aussen für mich erreichbar sein, die anderen Klienten sollen normal über die Fritzbox ins Internet gehen ohne das VPN zu nutzen, wie mach ich das am besten.

 

[blurrrr]

Indem Du 2 Dinge tust:

1) Wireguard für eine Client-Verbindung einrichten: https://openwrt.org/docs/guide-user/services/vpn/wireguard/client
2) Eine Portweiterleitung/-freigabe für den Wireguard-Dienst (OpenWRT) auf der Fritz!Box einrichten: https://fritz.com/service/wissensda...-AX/34_Portfreigaben-in-FRITZ-Box-einrichten/

 

[klaus333]

Aber konnen dann auch noch die Klienten die mit OpenWRT Router verbunden sind über meine Surfshark verbindung ins Internet gehen

 

[blurrrr]

Ja, das eine hat mit dem anderen nichts zu tun.

 

[klaus333]

Also noch mal zum Verständnis, wegen dem IP Aufbau der Router
Fritzbox 192.168.178.1 ---- lan----lan---- OpenWRT mit Wireguard Server 192.168.178.2
müssen die Netzwerke getrennt werden und wäre dann auch ein DynDNS Zugriff moglich

 

[blurrrr]

DynDNS nutzt Du nur als Ansprechpunkt von extern für Deine VPN-Einwahl (wenn Du Dich von extern mit einem Client Zuhause einwählst).

Zunächst prüfe erstmal, was Du für eine Internetverbindung hast - es geht dabei um die öffentliche IP Deiner Fritz!Box. Weit verbreitete Konstellation wären:

1) nur IPv4 (x.x.x.x)
2) nur IPv6 (X:X:X:X:X:X:X:X)
3) DualStack (IPv4 und IPv6)
4) DS-Lite (schauste mal hier rein bzgl. einer allgemeinen Erklärung hier bzgl. VPN mit DS-Lite)

Die Angaben dazu findest Du in Deiner Fritz!Box unter "Internet/Online-Monitor":



Wenn Du eine vollwertige IPv4- oder IPv6-Adresse hast (oder beides) steht einem Zugang auf das heimische Netzwerk via VPN nichts im Weg.

Wenn die VPN-Client-Verbindung eingerichtet ist (s. #11), bekommst Du vom OpenWRT-Router eine IP. Je nachdem, wie der OpenWRT-Router konfiguriert ist, kannst Du dann schon auf die Clients im OpenWRT-Netzwerk zugreifen, oder Du musst erst noch eine entsprechende Firewall-Regel anlegen, welche den Zugriff vom VPN-Client (bzw. vom VPN-Client-Netzwerk) auf das OpenWRT-LAN-Netzwerk erlaubt (und ggf. auch auf das Fritz!Box-Netzwerk).

 

[the other]

Moinsen,
die "Netzwerke" müssen nicht getrennt sein.
Also: im Netzwerk .178.0/24 befindet sich das LAN der Fritzbox, darin eben auch der WAN Port des openWRT Routers...(die .178.2).
Um diesen zu erreichen, müssen 2 Dinge funktionieren:
1. ein DynDNS auf die Fritzbox (bei IPv4, aber darum geht es ja scheinbar auch). Damit erreichst du aus dem Internet deine Fritzbox. Nun willst du da ja aber nicht hin, sondern auf deinen openWRT Router....also
2. die Portweiterleitung auf den openWRT Router (und dort ggf auch den Zugang erlauben > Firewallregeln des openWRT checken.

Sollte aber ein DSlite (keine echte öffentliche IPv4 Adresse) vorhanden sein (bitte mal kontrollieren, wie oben schon von @blurrrr gesagt), dann musst du mit IPv6 arbeiten. Hier muss der DynDNS Eintrag aber direkt am openWRT gesetzt werden (da bei IPv6 end-to-end). Und natürlich auch dafür sorgen, dass der openWRT den Kontakt zulässt (auch hier ggf. die Firewall anpassen).

 

[klaus333]

Also ich habe eine IPv4 Adresse

 

[blurrrr]

Na dann .... #11 alles mal einrichten - erst das VPN, dann weisst Du, welchen Port das ganze benutzt, dann die Portweiterleitung auf der Fritz!Box und danach mal (von extern) die VPN-Verbindung testen.

 

[the other]

Moinsen,

Also ich habe eine IPv4 Adresse

jup. Das mag sein. Die Frage ist aber: ist diese öffentlich erreichbar...? Auch bei dslite hast du eine IPv4, nur eben nicht von außen erreichbar, da hinter dem CG-NAT des Providers.
Die Fritzbox zeigt meist an, wenn nur dslite angeboten wird. Welche IPv4 hast du denn(die ersten 3 Blöcke)? Welchen IP hast du? Ohne echte öffentlich erreichbare IPv4 geht das dann nur via v6.

 

[klaus333]

Ich habe eine ipv4 die öffentlich erreichbar ist.