VPN (Wireguard + IPSec) an FRITZ!Box 6591 funktioniert nicht

[thebackfisch]

Hallo liebes Forum,
ich möchte mit meinem Mac eine VPN-Verbindung zu einer entfernten FRITZ!Box 6591 herstellen, leider bisher ohne Erfolg. Veruscht habe ich es auf zwei Wegen:
1. IPSec: Einen FritzBox-Benutzer samt VPN-Berechtigung habe ich angelegt und die VPN-Verbindung angelegt. Diese habe ich direkt auf meinem Mac unter VPN konfiguriert. Leider kommt hier erst gar keine Verbindung zustande.
2. Wireguard: Eine Wireguard-Verbindung habe ich in der FritzBox angelegt, konfigurieren kann man ja hier nichts. Für meinen Mac habe ich die Wireguard-App aus dem Appstore geladen und die config-Datei hinzugefügt. Zusätzlich bin ich mit meinem Mac (hängt auch an einer FritzBox) in das Gäste-WLAN gewechselt, damit sich die Adressräume nicht überschneiden (entfernte FritzBox hat 192.168.178.0/24, Gäste-WLAN der heimischen Box 192.168.179.0/24). Eine Wireguard-Verbindung kommt hier zustande, jedoch ist es mir nicht möglich irgendeinen Host im entfernten Netzwerk anzupingen. Das ganze habe ich zusätzlich mit Windows und meinem Android-Handy (ohne WLAN) versucht mit demselben Ergebnis: Verbindung wird aufgebaut, aber kein Netzwerkverkehr ins entfernte Netzwerk möglich. Auch die Routen scheinen zu stimmen,

route get 192.168.178.1

spuckt das utun6-interface aus,

route get 192.168.179.1

das en0-interface. Die entfernte FritzBox hängt an einem Vodafone-Kabelanschluss im echten Dual-Stack-Betrieb. Über MyFritz ist sowohl ein A- als auch ein AAAA-Record hinterlegt.

Hat jemand eine Idee, wieso ich weder mit Wireguard noch IPSec eine Verbindung bekomme? Gibt es noch mehr Möglichkeiten das zu debuggen?

 

[Stationary]

Das ist eine Kabel-Fritzbox. Hast Du überhaupt eine öffentlich erreichbare IPv4? Schau mal in die Fritzbox, steht da etwas von DS-lite, soll heißen: bist Du sicher mit dem Dual Stack? Oder poste mal die ersten zwei Oktetts der IP-Adresse, die die Fritzbox hat.

 

[blurrrr]

Hi,

schau mal via netstat -rn im Terminal, dort sollte theoretisch das gesamte Remote-"Netz" aufgeführt sein (in Deinem Fall dann "192.168.178.0/24"). Die Mühe bzgl. dem Gast-Netz (192.168.179.0/24) kannst Du Dir direkt sparen, sowas wird beim VPN nicht mitgegeben.

Ansonsten... in die Logs schauen... Sowohl auf der Fritzbox, als auch beim Client, irgendwo wird da sicherlich schon irgendwas stehen... Je nach Client auf jeden Fall auch mal vorher via nslookup <DeineMyFritzAdresse> schauen, ob die Auflösung entsprechend passt.

 

[thebackfisch]

Die Fritzbox läuft im echten DualStack-Betrieb:


Mich wundert jedoch, dass die beiden IP-Adressen immer gleich bleiben, auch bei Neustart der Fritzbox.

In den Fritzbox-Logs tauchen keine Meldungen auf. netstat -rn ergibt folgendes:

Routing tables

Internet:
Destination        Gateway            Flags               Netif Expire
default            link#21            UCSg                utun6    
default            192.168.179.1      UGScIg                en0    
127                127.0.0.1          UCS                   lo0    
127.0.0.1          127.0.0.1          UH                    lo0    
169.254            link#6             UCS                   en0      !
192.168.178        192.168.178.203    UGSc                utun6    
192.168.178.203    192.168.178.203    UH                  utun6    
192.168.179        link#6             UCS                   en0      !
192.168.179.1/32   link#6             UCS                   en0      !
192.168.179.1      3c:37:12:5e:97:ab  UHLWIir               en0   1187
192.168.179.2/32   link#6             UCS                   en0      !
224.0.0/4          link#21            UmCS                utun6    
224.0.0/4          link#6             UmCSI                 en0      !
224.0.0.251        1:0:5e:0:0:fb      UHmLWI                en0    
255.255.255.255/32 link#21            UCS                 utun6    
255.255.255.255/32 link#6             UCSI                  en0      !

Ich glaube langsam, dass irgendetwas an diesem Kabelanschluss nicht stimmt. Zu anderen VPNs kann ich mich problemlos verbinden.

 

[Barungar]

Ich persönlich finde es sehr seltsam, dass Du nur ein /64-Präfix hast, das finde ich sehr ungewöhnlich.
So kann die FritzBox ja nicht einmal IPv6 im Gastnetz anbieten, da sie nur ein Subnet hat.

 

[Stationary]

IPv6/64 haben wir bei unserer Kabelfritzbox 6590 auch. Daran liegen die VPN-Probleme eher nicht. Allerdings läßt sich zu WG bei uns nichts sagen, das kann die 6590 leider nicht. IPSec funktioniert allerdings, sowohl LAN-LAN mit 7590 und 6820 LTE, als auch direkt von den Macbooks oder iPhones. Ist da in den Einstellungen der richtige Gruppenname eingetragen? Der wird gerne mal vergessen. Da muß noch einmal der Nutzername hinein.
Was WG angeht, nutze ich nur auf der 7490, 7590 und 6820, also nicht mit einer Kabelbox: machst Du das über eine myfritz-Adresse oder einen externen DynDNS-Anbieter?

 

[thebackfisch]

Danke für den Hinweis, der Gruppenname hat tatsächlich gefehlt. Mit geht es allerdings auch nicht. Ich verwende myFritz, die Auflösung zur IP-Adresse funktioniert auch. Habe auch schon direkt mit der IPv4 und IPv6 Adresse versucht. Bei Wireguard macht das keinen Unterschied, bei ipsec kommt mit IPv6 sofort die Meldung, dass der Server nicht gefunden werden kann, mit einer IPv4 Adresse dauert es ca. 20s bis die Meldung kommt, dass der Server nicht antwortet(!).

 

[Stationary]

Der Nutzer, den Du für den IPSec-Zugang angelegt hast, hat in den Fritzbox-Einstellungen natürlich einen Haken bei „VPN“?

 

[thebackfisch]

Ja, der Benutzer hat die VPN-Berechtigung. Ich werde als nächstes mal testen, ob Anfragen überhaupt bis an die Fritzbox geleitet werden. Wenn das geht, dann installiere ich evtl. Wireguard manuell auf einem Raspberry Pi hinter der Fritzbox mit Portfreigabe.

 

[thebackfisch]

Ich hatte nun Zeit nochmal etwas rumzuspielen und konnte das Problem lösen. Die FritzBox blockiert im Gastnetz standardmäßig alle Ports bis auf ein paar für Http, Email usw.. Die Einstellung versteckt sich in einem geschlossenen Reiter. Nachdem ich im Gastnetz vollen Internetzugriff zugelassen habe, kann ich mich auch ganz normal per VPN verbinden.

 

[the other]

Moinsen,
Na, super.
Ich freue mich, dass es geht und danke für die Auflösung...
Das mit dem Gastnetz hatte ich total überlesen, mist, das hätte vielleicht eher geklingelt. Aber du wolltest die Gastnetzlösung ja vermutlich nur zum ausprobieren, oder soll das dann so bleiben? Langfristig wäre ja ein Ändern des default IP Adressbereiches doch eleganter (für mich zumindest).