Probleme mit WireGuard (NordVPN) und Telefonie seit Firmware 8.03

[Boris777]

Hallo zusammen,

ich habe ein Problem mit meiner WireGuard-Verbindung über NordVPN. Sobald die Verbindung aktiv ist, funktioniert die Telefonie nicht mehr. Es gibt jedoch die Option, nur bestimmte Geräte über die WireGuard-Verbindung laufen zu lassen. Bis zur Firmware-Version 8.02 hat das einwandfrei funktioniert.

Seit dem Update klappt es jedoch nicht mehr: Wenn ich diese Option aktiviere, werden die ausgewählten Geräte nicht mehr über WireGuard geleitet. Hat jemand das gleiche Problem oder eine Lösung dafür?

Außerdem möchte ich noch etwas zur Menüführung von WireGuard in der Fritzbox sagen: Ich finde es seltsam, dass AVM hier sein eigenes Ding macht. Bei anderen Routern, auf denen ich VPN eingerichtet habe, konnte ich gezielt Geräte ausschließen, die nicht über die VPN-Verbindung laufen sollen. In OpenWRT ist es beispielsweise sogar möglich, den Router selbst vom VPN auszunehmen.

Wenn das auch in der Fritzbox möglich wäre, wäre die Konfiguration deutlich einfacher, und die Telefonie würde weiterhin problemlos funktionieren.

Kennt jemand diese Probleme oder hat eine Lösung?

 

[Spielebernd]

Hy.

Ich nutze kein NordVPN. Wenn du aber nur einzelne Geräte über NordVPN machen möchtest könntest du das auch auf den Geräten einzeln Konfigurieren nicht über die gesamte Box.

Alternativ kannst du auch die WG Konfig von NordVPN anpassen und die Telefonie raus nehmen.

Wie du festgestellt hast bietet jeder Hersteller unterschiedliche Optionen und Funktionen an. Manche bieten auch gar kein VPN an. Wenn du dir eine Funktion wünscht dann kannst du das bei AVM gern anbringen oder schauen ob es eine Alternative gibt die deine Bedürfnisse abdeckt.

 

[Boris777]

Hallo, danke für deine Antwort. Mir ist bewusst, dass es alternative Ansätze gibt, aber ich habe mich bewusst für die VPN-Lösung über den Router entschieden, weil ich möchte, dass alle Geräte über VPN laufen. Dein Vorschlag greift mein eigentliches Problem leider nicht auf. Wie im ursprünglichen Beitrag erwähnt, bin ich gezwungen, die Option „nur bestimmte Geräte über VPN zulassen“ zu aktivieren, um die Funktion der Telefonie aufrechtzuerhalten.

Ich schätze es sehr, dass AVM VPN überhaupt anbietet, allerdings finde ich die Umsetzung in diesem Fall unzureichend. Ich habe dieses Problem bereits an AVM herangetragen – leider ohne Erfolg – und suche deshalb hier nach konkreten Lösungen.

Falls du eine Lösung hast, die mein Anliegen direkt adressiert, freue ich mich auf deine Antwort. Vielen Dank!

 

[Barungar]

Nur eine Idee... die VPN-Funktion in der FritzBox wirkt sich doch nur auf das Heimnetz aus. (Oder?)
Was wäre, wenn Du die Telefonie-Geräte ins Gastnetz hängst?

Klar ist auch nur ein "work around"...

 

[Helmut-H]

...

Ich schätze es sehr, dass AVM VPN überhaupt anbietet, allerdings finde ich die Umsetzung in diesem Fall unzureichend. Ich habe dieses Problem bereits an AVM herangetragen – leider ohne Erfolg – und suche deshalb hier nach konkreten Lösungen.

Falls du eine Lösung hast, die mein Anliegen direkt adressiert, freue ich mich auf deine Antwort. Vielen Dank!

Das ist kein Problem von AVM. Lass mich raten, du bist Telefoniekunde bei der Telekom.
Die Telekom lässt die SIP-Telefonie nur aus ihrem eigenen Netz zu!
Kommst du über VPN von "außerhalb", geht das nicht.

 

[Boris777]

Guter Punkt! Mit einem Workaround wäre ich natürlich zufrieden. Aber wie genau könnte ich ein DECT-Telefon, das über DECT mit der FritzBox verbunden ist, ins Gäste-Netz bringen?

Zum anderen Punkt: Ich bin nicht bei der Telekom, sondern bei Vodafone (Kabel-Internet). Bei mir funktioniert die interne Telefonie nicht mehr, sobald eine WireGuard-Verbindung hergestellt wird.

 

[Barungar]

Aber wie genau könnte ich ein DECT-Telefon, das über DECT mit der FritzBox verbunden ist, ins Gäste-Netz bringen?

Ah, sorry. Das geht glaube ich gar nicht. Als Du von Telefonie-Geräten sprachst, dachte ich Du hättest andere VoIP-basierte Geräte.
Für DECT-Geräte direkt an der FritzBox bist Du auf die Möglichkeiten der FritzBox selbst beschränkt. Ich weiß, dass die FritzBox für die Telefonie ein getrenntes Netz benutzen kann... aber das kann man nur in den "Provider-Einstellungen" machen. Davon habe ich leider keinen Schimmer...

 

[Spielebernd]

Dein Anliegen wird sehr wohl direkt adressiert.

Wie @Helmut-H schreibt lässt auch Vodafone die Telefonie nur über die eigene Internetverbindung zu.

Wenn du zu einem Vorschlag eine konkrete Frage hast dann frag einfach sonst setze eines von den drei Sachen um.

 

[Boris777]

Bis jetzt habe ich noch keine Lösung gesehen, die ich umsetzen könnte. Außerdem geht mein Problem in eine ganz andere Richtung, wie schon im ersten Post beschrieben.

Im Grunde hatte ich bereits einen funktionierenden Workaround, indem ich die Option "Nur bestimmte Geräte über WireGuard aktivieren" gesetzt habe. Allerdings hat genau das seit dem Firmware-Update auf 8.03 nicht mehr funktioniert.

Ich habe dann auf meinem Handy überprüft, ob die VPN-Verbindung zu NordVPN noch aktiv war – das war nicht der Fall. Nach etwas Recherche habe ich festgestellt, dass nur das Handy betroffen war. In der FritzBox-Übersicht hatte das Gerät eine andere IP-Adresse als tatsächlich zugewiesen. Nachdem ich die IP-Einstellungen in der FritzBox zurückgesetzt habe, läuft es wieder.

Mein eigentliches Problem wurde von Anfang an nicht richtig erkannt oder angesprochen.

WireGuard ist für AVM noch ein relativ neues Thema, und ich habe das Gefühl, dass sie hier das Rad neu erfinden wollen – das merkt man besonders am unübersichtlichen VPN-Menü. Seit der Firmware-Version 7.51 läuft anscheinend auch IPv6 über WireGuard, aber es gibt keine Einstellung, um das zu deaktivieren. Generell leitet AVM alle FritzBox-Dienste über VPN, was genau zu dem bekannten Problem mit der Telefonie führt.

Warum orientiert sich AVM nicht an anderen Herstellern mit jahrelanger Erfahrung, anstatt so ein umständliches und unvollständiges Menü zu gestalten?

Ich wollte einfach mal andere Meinungen dazu hören – wie seht ihr das?

 

[Barungar]

Ich wollte einfach mal andere Meinungen dazu hören – wie seht ihr das?

Die Fritz-Serie ist eine Mainstream-Produktreihe. Sie versucht einen "typischen Anwendungsfall" den die Mehrheit der Nutzer "braucht / möchte" benutzerfreundlich und einfach bereitzustellen. Dabei bietet sie auch eine recht umfassende Konfiguration. Es geht stark in die Richtung "Eier-legende-Woll-Milch-Sau"-Produkt. Die Fritz-Serie kann viel recht ordentlich, aber nichts richtig "professionell". Das ist aber auch gar nicht der Anspruch.

Die Funktion "den gesamten Internet-Verkehr durch die WG-Verbindung leiten" macht exakt das, für Dich etwas zu stringend. In diesem die Funktion nämlich auch die VoIP-Verbindungen der FritzBox selbst und nicht nur der Internet-Verkehr der Clients im Netzwerk über die VPN-Verbindung geleitet wird. Bei einem "freien" VoIP-Anbieter macht das vielleicht nicht einmal etwas. Aber bei Provider-VoIP ist meist als "Sicherungsebene" eine Herkunftsprüfung der VoIP-Verbinungen dabei. In dem Moment, wo die VoIP-Anfragen über die VPN-Verbindeng gehen erkennt der Provider die Anfragen als netzfremd und verwirft sie in den meisten Fällen. Weil der Provider, der das VoIP gebünddelt mit einem Internet-Anschluss vertreibt natürlich "erwartet", dass die VoIP-Anfragen demnach auch (ausschließlich) aus seinem eigenen IP-Bereich kommen.

Das ist nun mal die Strategie hinter den Fritz-Produkten, wenn man mehr Freiheit bzw. detailierte Konfigurationsmöglichkeiten braucht, dann ist man ganz klar der Zielgruppe "entwachsen". Man hat dann zwei Optionen, man bleibt und sucht sich work arounds oder man wechselt zu "professionelleren" Lösungen.

 

[Boris777]

Danke für die Erklärung. Die FritzBox-Geräte sind für mich generell genau das Richtige, und ich bin sehr zufrieden damit. Ich nutze sie seit Jahrzehnten und schätze besonders die Benutzerfreundlichkeit.

Ich möchte nur kurz erklären, warum ich in diesem Fall ein Problem habe:
Anfangs hat die WireGuard-Verbindung nur IPv4 unterstützt, wodurch alles problemlos funktionierte. Das lag daran, dass sowohl das Internet als auch die Telefonie nur richtig funktionieren, wenn die FritzBox über IPv6 verbunden ist.

Dann kam ein Firmware-Update, mit dem AVM IPv6 für WireGuard aktiviert hat – und genau seitdem treten diese Probleme auf. Generell habe ich nichts gegen neue Funktionen, aber ich kann nicht nachvollziehen, warum ich als Anwender gezwungen werde, diese Neuerung zu nutzen, ohne eine Wahl zu haben.

Ein simples zusätzliches Menü, in dem man IPv6 über WireGuard deaktivieren kann, würde das Problem sofort lösen – und ich finde, das wäre durchaus angebracht.

 

[Digedag64]

ich kann nicht nachvollziehen, warum ich als Anwender gezwungen werde

... du willst dich nicht wirklich auf dieses Niveau herab lassen, hoffe ich; denn dass das ziemlicher Unfug ist, dürfte auch dir selber völlig klar sein. Warum also solche peinlichen Albernheiten? ...