VPN mit Wireguard auf Fritzbox geht nicht über Pihole (Raspberry)

[manzanilla]

Hallo zusammen,

Hab ein VPN mit WG auf einer FB7690 eingerichtet, das soweit erst mal funktioniert.
In einem zweiten Schritt hab ich den Pihole auf einem Raspberry aufgesetzt, was im Heimnetz funktioniert
Folgende Einstellungen hab ich u.a. dafür vorgenommen:
IPv6 Präfix manuell festgelegt
feste IP (v4 und v6) für den pihole
In der FB sind als lokale DNS für IPv4 und IPv6 der pihole eingetragen.
Der pihole hat eine feste IP,
Im pihole ist die FB als upstream-DNS eingetragen (1.Eintrag IPv6, 2. Eintrag IPv4)
und als conditional forwarding auch die FB (true,192.168.45.0/24,192.168.45.1,fritz.box)
Der DHCP Bereich der FB geht von 20 bis 200 und der WG der FB vergibt Adressen ab 201 (es sind 2 Verbindungen eingerichtet)
in der FB sind DNS-Server von dnsforge,de und adguard-dns eingetragen

Wenn ich mit meinem Laptop (Ubuntu 25.04) im lokalen WLAN surfe, läuft (nach meiner Ansicht) alles wie gewünscht, z.B. wird Werbung geblockt.
Nach VPN Einwahl per Hotspot habe ich vom Laptop aus Zugriff auf die FB und pihole, aber es wird, wie es aussieht, nicht (nur?) der DNS der FB, sondern der des Hotspots verwendet und die aufgerufenen Seiten sind voller Werbung, etc.

Mein Ziel ist, dass der gesamte Traffic vom entfernten Client über das VPN mit FB und pihole geht.

Weitere Infos, logs, config kann ich gerne liefern.
Vielleicht hat jemand hilfreiche Tipps, was eingestellt werden muss, oder ob das überhaupt geht, wie ich mir das vorstelle.

Hab hier im Forum einige Einträge nachgelesen, die ein ähnliches Problem hatten, was aber dann doch nicht so ganz bei mir gepasst hat.
Vorab schon mal Danke für eure Unterstützung.

 

[Barungar]

Wie hast Du Deinen VPN-Tunnel den konfiguriert? Für mich klingt das nach einem Split-Tunnel, der also nur den Teil des Traffics übernimmt, der auf eine IP Range Deines LANs abzieht und aller anderer Verkehr an dem VPN-Tunnel zur FritzBox vorbeiläuft.

Du musst bei der Konfiguration des Tunnels, dann schon angeben, dass Du möchtest das ALLES durch den VPN Tunnel laufen soll.

 

[manzanilla]

Danke für deine Antwort, Barungar.
Nachdem ich mich jetzt zum Thema Splittunnel eingelesen habe und einiges getestet habe, vermute ich folgendes:
Ich habe den Tunnel über die Oberfläche der FB erstellt. Da gibt es zwei Möglichkeiten. Bei der ersten wird scheinbar generell ein Splittunnel generiert. Man hat keine Möglichkeit im Verlauf des "Assistenten" die Einstellung zu setzen, dass der gesamte Verkehr über den VPN-Tunnel laufen soll. Leider gibt die Doku bei avm recht wenig dazu her.
Bei der zweiten Variante gibt es die Möglichkeit explizit einen Haken zu setzen um den gesamten Trafic über das VPN zu leiten....
Ich habe damit jetzt eine neue VPN-Verbindung erstellt und am Ubuntu-Laptop über die Netzwerkoberfläche eingespielt. Ein erster Test hat leider mein Netz lahmgelegt (die aktuellen Nutzer waren darüber nicht so begeistert ;-) )
Ich werde mir das morgen etwas genauer anschauen, warum beim Aktivieren des WG-Tunnel so ein seltsames Verhalten auftritt. Ist für mich ein Rätsel und ich habe da vermutlich einen dicken Wurm reingebracht und leider sind die Konfig-Möglichkeiten bei der FB in Bezug auf WG sehr beschränkt.
Werd mir morgen am Ubuntuclient über den Netzwerkmanager die VPN-Konfig noch mal genauer anschauen.

 

[Stationary]

Ich habe das gerade noch mal ausprobiert, einen neuen WG-Tunnel für ein Endgerät erstellt (iOS) und die Konfigurationsdatei auf das Endgerät geladen. Mit der Konfiguration komme ich aber ohne Probleme in das Netzwerk weiter.
Kannst Du mal prüfen, ob bei Dir 0.0.0.0/0 als erlaubtes Ziel hinterlegt ist? Unter Peer > Allowed IPs.
Bei mir läuft von außerhalb auch alles über den PiHole zu Hause und wird entsprechend gefiltert.

 

[the other]

Moinsen,
eigentlich sollten diese Einstellungen doch eher in der client config zu suchen (und finden) sein...zb zum Split Tunneling vs Redirect all (durch den Tunnel).
Bin jetzt nicht so der wg Spezi, aber ein Eintrag von

AllowedIP: 0.0.0.0/0

sollte dann wirklich ALLES durch den Tunnel senden (Eintrag muss in die client config!).
Dein pihole DNS sollte ebenfalls an der client WG-config enthalten sein. Mit einem Eintrag wie etwa:

[Interface]
Address = XXX.XXX.XXX.XXX/24
PrivateKey = xyz12345
DNS = eigene PiHoleServer.IP

[Peer]
PublicKey = ...
Endpoint = DeinDynDNS für den Router
AllowedIPs = für Redirect (gesamter Traffic) 0.0.0.0/0 (und sonst NIX!) eintragen
oder aber (split tunneling) wireguard.IP.des.WGServers/32 und LAN.IP.Adress.Bereich/24

Wäre meine Idee...

 

[Stationary]

Bei allowed IP kann auch mehr drinstehen, wichtig ist, daß 0.0.0.0/0 mit dabei ist.
Ich habe da noch ein paar andere /24 mit drin. Die schreibt die Fritzbox bei mir aber auch automatisch mit hinein.
Bei mir stehen diese Adressen automatisch in den peer-Einstellungen mit drin:

192.168.aaa.0/24, 192.168.bbb.0/24, 192.168.ccc.0/24, 192.168.ddd.0/24, 0.0.0.0/0

wobei aaa der Bereich der Fritzbox selbst ist, und bbb, ccc und ddd Bereiche von weiteren Fritzboxen sind, mit denen die Box, auf der die Konfig erstellt wurde, dauerhaft per LAN-LAN-Kopplung verbunden ist. Diese Bereiche nimmt die die Konfig erstellende Fritzbox direkt mit auf, zusätzlich zu 0.0.0.0/0

Man müßte sich vielleicht mal die komplette WG-config des Ubuntu-Rechners ansehen, ob die korrekt erstellt ist. Normalerweise machen die Fritzboxen das schon richtig, so daß man überall hinkommt und auch der DNS-Server korrekt funktioniert.

Dazu noch eine Frage: wo ist der DNS-Server „pihole“ in der Fritzbox eingetragen? Unter DNS-Server oder unter den Netzwerkeinstellungen? Bei mir habe ich den unter den Netzwerkeinstellungen stehen.

 

[manzanilla]

danke nochmal für eure hilfreichen Tipps:

Dazu noch eine Frage: wo ist der DNS-Server „pihole“ in der Fritzbox eingetragen? Unter DNS-Server oder unter den Netzwerkeinstellungen? Bei mir habe ich den unter den Netzwerkeinstellungen stehen.

Der ist unter Netzwerkeinstellungen in lokaler DNS eingetragen

Bei allowed IP kann auch mehr drinstehen, wichtig ist, daß 0.0.0.0/0 mit dabei ist.

ja, das steht drin. Der Eintrag sieht so aus:

allowedIPs 192.168.45.0/24, 0.0.0.0/0, fd00::/64, ::/0

Hab eure Hinweise aufgenommen und noch mal von vorne angefangen:
Alle WG-Verbindungen gelöscht und neu aufgesetzt.
- Verbindung vom Smartphone (Android) geht problemlos
- Verbindung vom Laptop wird gar nicht mehr hergestellt.
Ich denke, dass ich mir da irgendwas ganz arg kaputt konfiguriert habe und werde WG neu aufzusetzen. Sonst weiß ich erst mal nicht weiter.

Vielen Dank auf alle Fälle und schöne Grüße

 

[the other]

Moinsen,
ohne in den Klugsch%$$er Modus verfallen zu wollen:

Bei allowed IP kann auch mehr drinstehen, wichtig ist, daß 0.0.0.0/0 mit dabei ist.

Ja, das kann da auch noch drinstehen.... aber WARUM? Denn die 0.0.0.0/0 deckt ja alles, also wirklich ALLES ab. Es reicht also an der Stelle mit dem einen Eintrag locker hin.

 

[Stationary]

Da hast Du natürlich nicht unrecht, aber da die Fritzbox das da selbsttätig in die Clientkonfigurationsdatei hineinschreibt, pfusche ich in der Datei nicht herum.