VPN-Wireguard: DNS-Problem im Mobilnetz

[Oberdorf]

Auf meiner Fritzbox 7530 (FritzOS 7.57) habe ich eine VPN-Verbindung per Wireguard zu meinem iPhone 6 (iOS 16.6) erstellt. In WLAN-Netzen funktioniert das sehr schnell und zuverlässig. In Mobilnetzen (verschiedene Anbieter probiert) kann jedoch keine VPN-Verbindung aufgebaut werden, es kommt konsistent diese Fehlermeldung:



Im Logfile auf dem iPhone steht:

2023-09-05 17:53:22.455131: [APP] App version: 1.0.16 (27)
2023-09-05 17:53:24.318258: [APP] startActivation: Entering (tunnel: VPN-MyName)
2023-09-05 17:53:24.320008: [APP] startActivation: Starting tunnel
2023-09-05 17:53:24.320329: [APP] startActivation: Success
2023-09-05 17:53:24.328399: [APP] Tunnel 'VPN-MyName' connection status changed to 'connecting'
2023-09-05 17:53:24.460776: [NET] App version: 1.0.16 (27)
2023-09-05 17:53:24.461331: [NET] Starting tunnel from the app
2023-09-05 17:53:24.510862: [NET] DNS resolution failed for the following hostnames: myname.myfritz.net
2023-09-05 17:53:24.517071: [NET] Network change detected with unsatisfied route and interface order [pdp_ip0]
2023-09-05 17:53:24.519959: [APP] Tunnel 'VPN-MyName' connection status changed to 'disconnecting'
2023-09-05 17:53:24.532806: [APP] Tunnel 'VPN-MyName' connection status changed to 'disconnected'
2023-09-05 17:53:29.320545: [APP] Status update notification timeout for tunnel 'VPN-MyName'. Tunnel status is now 'disconnected'.

Anscheinend kann also Wireguard auf meinem Handy nicht die IP-Adresse anhand des Namens meines Routers auf myfritz.net auflösen. Gebe ich den Namen direkt in einen Browser ein, komme ich jedoch auf die Benutzeroberfläche der FritzBox: so funktioniert also das DNS. Hat jemand eine Idee, warum das mit Wireguard im Mobilnetz nicht geht?

 

[the other]

Moinsen,
direkt leider nicht.
Wenn du mal im Netz nach der Problematik suchst (a la "wireguard löst hostname nicht auf"), findest du zig Einträge...
Von Problemen zwischen IPv4 und v6 wird da berichtet als Idee, dann dass wireguard für die DNS Auflösung wohl eigen ist und nicht oft genug nachfrage, wenn zunächst keine Antwort kommt, usw.
Es wird vorgeschlagen u.a. auf einen anderen DynDNS als myfritz zurückzugreifen...
Kurz: das Problem haben scheinbar viele Leute, nicht nur unter iOS.
Ich selber nutze wireguard nicht. Wäre denn das gute alte und eigentlich schöne IPsec nix als Alternative?

 

[Oberdorf]

Danke für den Hinweis, da hatte ich wohl noch nicht mit den richtigen Schlüsselwörtern gesucht.

An Wireguard habe ich schätzen gelernt, wie schnell Verbindungen aufgebaut werden und laufen - aber ja, für das Mobilnetz werde ich dann halt wohl wieder auf IPsec zurückgreifen, das gute alte!

 

[Stationary]

Also von einem iPhone 13 mit iOS16.6 zu einer Fritzbox 7590 mit FritzOS 7.57 aus funktioniert Wireguard im Telekomnetz perfekt, selbst als on-demand. Ist natürlich nicht ganz vergleichbar, weil die Hardware komplett verschieden ist, aber es funktioniert auch vom iPhone zu einer 6820 ohne Probleme.

Hast Du die Konfiguration noch einmal neu erstellt?

In einem älteren Log hatte ich das auch mal (nicht mit myfritz, sondern mit meiner DynDNS-Adresse). Da half aber dann einmal Wireguard in der App auszuschalten und wieder einzuschalten.

 

[the other]

Moinsen,
auch AVM bietet nicht wirklich konkrete Hilfe dazu:
https://avm.de/service/wissensdaten...eine-VPN-Verbindung-zur-FRITZ-Box-herstellen/
Da liegt @Stationary gut mit der Idee:

Hast Du die Konfiguration noch einmal neu erstellt?

edit: kann auch anders herum passieren:
https://forum.heimnetz.de/threads/v...x-ueber-wireguard-klappt-nicht-aus-wlan.1426/

 

[Oberdorf]

Hast Du die Konfiguration noch einmal neu erstellt?

Ja, schon zwei Mal neu konfiguriert, dazu auch die App auf dem iPhone gelöscht und neu installiert - hat alles nichts genutzt. Und auch eine Anfrage auf dem Youtube-Kanal von Fritz brachte nur ein "dazu können wir nichts sagen."

Aber um auch was positives zu sagen: ich habe mit einem Wireguard-Tunnel zwei Netzwerke an verschiedenen Standorten miteinander verbunden, und das funktioniert tadellos!

 

[Stationary]

Was ist denn in der Wireguard-App für Konfiguration unter „DNS-Servers“ eingetragen?

 

[Oberdorf]

Was ist denn in der Wireguard-App für Konfiguration unter „DNS-Servers“ eingetragen?

Das ist eine heisse Spur, hatte ich noch nicht bemerkt: auf dem Handy steht dort nur die lokale IP-Adresse der Fritzbox, die das Synology NAS für DNS-Anfragen verwendet. Im Mobilnetz funktioniert das natürlich nicht. Im Zuge der Erstellung der Wireguard-Verbindung auf dem NAS wird anscheinend diese Info mit dem QR-Code auf das Handy übertragen. Jetzt frage ich mich, wie das zu Beheben ist: für das NAS soll ja die FritzBox der DNS-Lieferant bleiben, nicht aber für das Handy. Welchen externen DNS-Server könnte ich allenfalls noch angeben?

 

[Stationary]

Der Eintrag steht bei mir auch so (bzw. so ähnlich, da die lokale Adresse des pi-holes gefolgt von der lokalen IP der Fritzbox bei mir steht). Das sollte also nicht das Problem sein.

Steht im Endpoint der Wireguard-Port der Fritzbox mit drin? Also nach der DynDNS/myfritz-Adresse ein Doppelpunkt gefolgt von einer (meist) 50000er-Nummer?
Was steht bei den „Allowed IPs“, der lokale Bereich der Fritzbox x.y.z.0/24 und 0.0.0.0/0?

 

[Stationary]

Kann ich eigentlich davon ausgehen, daß Du den oben gezeigten Log-Eintrag editiert hast, dort also im Originaleintrag nicht überall „myname“ steht? Insbesondere nicht bei myname.myfritz.net?

 

[Oberdorf]

Steht im Endpoint der Wireguard-Port der Fritzbox mit drin? Also nach der DynDNS/myfritz-Adresse ein Doppelpunkt gefolgt von einer (meist) 50000er-Nummer?
Was steht bei den „Allowed IPs“, der lokale Bereich der Fritzbox x.y.z.0/24 und 0.0.0.0/0?

Ja, das sieht alles bei mir genauso aus.

 

[Oberdorf]

Kann ich eigentlich davon ausgehen, daß Du den oben gezeigten Log-Eintrag editiert hast, dort also im Originaleintrag nicht überall „myname“ steht? Insbesondere nicht bei myname.myfritz.net?

Ja, das habe ich alles editiert, um die wahren Namen nicht zu veröffentlichen.

 

[Barungar]

Hast Du denn mal auf dem Smartphone außerhalb von Wireguard versucht den Namen aufzulösen?!

Für mich klingt das eher noch so, alsob Wireguard es gar nicht erst schafft eine Verbindung aufzubauen, weil es den Namen des Endpoints nicht auflösen kann. Zumindest im Log oben sieht es so aus, dass er schon im Verbindungsaufbau am Namen (DNS) scheitert.

Da wäre mein Ansatz mit einer Netzwerk App auf dem Smartphone mal zu schauen, wie das DNS reagiert.

Deine Anmerkung, dass aus dem Browser heraus die UI der FritzBox kommt; bezog sich dann auch auf das Smartphone zu gleichen Bedingungen? Also im gleichen "Netz" in dem Wireguard dann gerade nicht will?

 

[Stationary]

In was für einem Mobilfunknetzwerk bist Du unterwegs?

 

[Oberdorf]

Hast Du denn mal auf dem Smartphone außerhalb von Wireguard versucht den Namen aufzulösen?!

Ja: wenn ich auf dem iPhone den Namen meiner Fritzbox direkt in einen Browser eingebe, komme ich sofort auf deren Benutzeroberfläche. Ausserhalb von Wireguard funktioniert das DNS.

 

[Oberdorf]

In was für einem Mobilfunknetzwerk bist Du unterwegs?

Swisscom und Vodafone

 

[Stationary]

O.k. bei mir funktioniert das natürlich mit der Telekom. Nicht, daß da in der Schweiz irgendetwas geblockt wird?

 

[Oberdorf]

Vodafone war in Deutschland

 

[Stationary]

Also vielleicht doch, wie schon @the other ganz am Anfang gesagt, ein IPv4/IPv6-Problem.

 

[Barungar]

@Stationary Ich habe auch schon an IPv4/IPv6 aka DS-Lite gedacht. Aber da verstehe ich dann auch das mit dem Browser nicht. Weil Wireguard kann doch sowohl IPv4 als auch IPv6 und gleiches gilt (theoretisch) für den Browser auf dem es zu funktionieren scheint.

Also selbst, wenn der Heimanschluss DS-Lite wäre und keine IPv4 hätte, so müsste es mittels IPv6 auch mit Wireguard funktionieren. Es würde mich halt weiter "brennend" interessieren, wie die DNS-Auflösung für den Hostname auf dem Smartphone aussieht.