Wireguard mit FB5530 Site2Site mit vServer

spratzi

New member
Hallo zusammen, ich habe mich hier extra in diesem Forum registriert, da ich mit meinem Latein am Ende bin.

Ich hatte DSL und DynDNS um über Portfreigaben auf diverse Websiten, Photostation und anders, was auf meinem Synology NAS (ds218+) liegt von aussen zugreifen zu können. Jetzt habe ich von der Deutschen Glasfaser eine Glasfaseranschluss mit DS-Lite und seit dem ein Problem, da ich nicht mehr so an meine Sachen komme. Also habe ich mir einen vServer gemietet, mit debian bespielt, docker, portainer, nginx proxymanager und noch ein paar andere Sachen unter anderem Wireguard installiert und eingerichtet.
Mein Ziel ist es, durch die statische IP des vServers in Verbindung mit dem Nginx Proxymanager und Wireguard und diversen SubDomains auf meine Lokalen Geräte/Nas zu kommen .
Wireguard hatte ich erst als Container sowohl auf dem Nas als auch auf dem vServer laufen, habe auch eine Verbindung zwischen den beiden hinbekommen aber nur in dem festgelegten Wireguard Netz 10.0.0.0/24. Jedes Mal wenn ich versucht habe, auf meine lokalen Geräte im Netzbereich 192.168.178.0 zuzugreifen bzw. die vomvServer anzupingen schlug das fehl. Um zusätzliche Probleme mit Docker auszuschließen, habe ich Wireguard sowohl auf dem Nas als auch auf dem vServer direkt auf den Geräten laufen lassen, leider mit dem gleichen Ergebnis. Um die Sache jetzt noch ein wenig näher zusammenzubringen habe ich jetzt in der Fritzbox 5530 einen Site2Site Wireguard VPN angelegt, mit der Konfig, die vorher auch schon beim NAS funktioniert hatte, ohne den ZUsatz bei AllowedIPs 192.168.178.0/24, da das die Fritz Box nicht mochte und den Import der Datei wegen Netzüberschneidungen abgelehnt hat.

[Interface]
Address = 10.0.0.2/24
PrivateKey = xxx=
MTU = 1450


[Peer]
PublicKey = xxx=
PresharedKey = xxx=
AllowedIPs = 10.0.0.0/24 # ohne 192.168.178.0/24
Endpoint = 109.230.x.x:51820
PersistentKeepalive = 15

Dei Konfiguration ist importiert und der Tunnel steht auch. Ich kann vom NAS den vServer unter 10.0.0.1 anpingen und vom vServer kann ich die Fritz Box unter 10.0.0.2 anpingen. Leider kann ich keine weiteren Geräte in dem 192er Netz erreichen. Wenn ich einen Ping vom vServer auf eine lokale Ip mache, bekomme ich folgende Ausgabe:
ping 192.168.178.117
PING 192.168.178.117 (192.168.178.117) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=9.84 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=2 ttl=63 time=8.43 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=3 ttl=63 time=6.75 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=4 ttl=63 time=8.82 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=5 ttl=63 time=6.92 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=6 ttl=63 time=9.55 ms (DIFFERENT ADDRESS!)

das Ergebnis von ip route show vom vServer:
ip route show
default via 109.230.224.1 dev ens18
10.0.0.0/24 dev wg0 proto kernel scope link src 10.0.0.1
109.230.224.0/24 dev ens18 proto kernel scope link src 109.230.224.103
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
172.18.0.0/16 dev br-22a96808b3b1 proto kernel scope link src 172.18.0.1
172.19.0.0/16 dev br-670bc9ef1453 proto kernel scope link src 172.19.0.1
172.20.0.0/16 dev br-3ef6e29feecb proto kernel scope link src 172.20.0.1 linkdown
192.168.178.0/24 dev wg0 scope link src 10.0.0.1

Leider habe ich überhaupt keine Ahnung von Netzwerken und komme hier überhaupt nicht weiter. Ich habe schon im Netz gelesen und weiter recherchiert, aber keine hilfreiche Lösung gefunden. Ihr seit meine letzte Hoffnung :)



1736102253446.png



1736102338385.png


Ich hatte schon versucht mit den beiden Haken rumzuspielen, aber auch ohne Erfolg.
 
Leider habe ich überhaupt keine Ahnung von Netzwerken
Das würde ich bei den o.g. Aktivitäten und Konfigurationen mal ausschließen wollen... ;-)

Vielleicht erstellst Du einmal ein einfaches Netzwerk-Diagramm mit den beteiligten Komponenten und IPs zur besseren Übersicht. Ferner habe ich schon des Öfteren gehört, dass einige Provider IP-V4 Adressen nicht mehr vollumfänglich unterstützen...
 
Mach’s mit Tailscale. Die App gibt es im Synology Paketzentrum und für die Mobilgeräte in den jeweiligen App-Stores. Tailscale ist für private Nutzer kostenfrei.
 
Ich hatte DSL und DynDNS um über Portfreigaben auf diverse Websiten, Photostation und anders, was auf meinem Synology NAS (ds218+) liegt von aussen zugreifen zu können.
Wenn Du Apps von aussen erreichbar machen willst (abseits von Wireguard), kannst Du Dir auch mal 6tunnel anschauen, sofern Dein VPS IPv4 und IPv6 spricht und Deine Geräte nur öffentliche IPv6-Adressen haben. Natürlich nur, wenn andere externe darauf zugreifen können sollen. Wenn es nur für Dich ist, ist VPN schon die bessere Wahl 🙃
 
Erst einmal möchte ich mich für Eure Antworten und vor allem Anregungen danken. 6tunnel und Tailscale kannte ich bis Dato noch nicht und werde ich mir jetzt auf jeden Fall anschauen, da beide Tools eigentlich das machen, was ich am Ende des Tages erreichen möchte.

Mein eigentliches Problem habe ich mittlerweile auch "fast" selbst lösen können (zumindest ist der Leidensdruck momentan nicht mehr so hoch). Ich habe einfach die FritzBox als Wireguard Server konfiguriert und den vServer als Client. Das funktioniert auch tadellos. Ich komme vom vServer auf alle IP's in meinem lokalen Netz, also genau das was ich wollte. Das einzige, was mich jetzt noch stört ist, dass ich wenn ich mit meinem Laptop unterwegs bin, ich nicht per Wireguard auf mein Heimnetz zugreifen kann. Da die Fritzbox als Server fungiert, lässt sie nur eine WG Verbindung zu und die ist dauerhaft vom vServer belegt. Da Ihr mir jetzt aber freundlicherweise die Hinweise mit Tailscale und 6tunnel gegeben habt, werde ich mich mal mit den beiden Tools etwas näher beschäftigen. Den Horizont erweitern ist ja immer gut.

Noch einmal vielen Dank für die Tipps :)
 
Da die Fritzbox als Server fungiert, lässt sie nur eine WG Verbindung zu und die ist dauerhaft vom vServer belegt.
Das ist so nicht richtig. Egal ob Fritz!Box, vServer oder irgendwas anderes. Es sind normalerweise immer mehrere Verbindungen möglich. Zwar keine "doppelte" Einwahl für eine spezifische Verbindung, Du kannst aber mehrere Verbindungen (Konfigurationen) anlegen. Somit kannst Du beliebig viele Site2Site- (Netz), als auch Roadwarrior-Verbindungen (Client) nutzen.
 
Da die Fritzbox als Server fungiert, lässt sie nur eine WG Verbindung zu und die ist dauerhaft vom vServer belegt.
Das ist so nicht richtig. Egal ob Fritz!Box, vServer oder irgendwas anderes. Es sind normalerweise immer mehrere Verbindungen möglich.
Kann ich bestätigen. Auf meiner 5690 Pro laufen ständig drei Wireguard-Verbindungen als LAN-LAN-Kopplung zu anderen Fritzboxen. Zusätzlich können auch noch Mobilgeräte per Wireguard eine direkte Verbindung aufbauen.

Das sagt AVM:

Maximale Anzahl gleichzeitiger VPN-Verbindungen zur FRITZ!Box​

Sie können in der FRITZ!Box mehrere VPN-Verbindungen einrichten und gleichzeitig nutzen. Dabei spielt es keine Rolle, ob es sich um IPSec- oder WireGuard-Verbindungen, Verbindungen von einem Computer oder Smartphone, Verbindungen zu einer anderen FRITZ!Box oder einem Firmen-VPN handelt.
Die maximale Anzahl der VPN-Verbindungen, die in der FRITZ!Box eingerichtet werden kann, ist theoretisch nicht begrenzt. Allerdings können nur für bis zu 20 FRITZ!Box-Benutzer IPSec-Verbindungen eingerichtet werden.
Die maximale Anzahl der gleichzeitig nutzbaren VPN-Verbindungen hängt von der Geschwindigkeit und Auslastung der Internetverbindung, den verwendeten VPN-Techniken und der Auslastung der FRITZ!Box ab. Wir empfehlen, nicht mehr als 10 bis 20 VPN-Verbindungen gleichzeitig zu nutzen.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
6.035
Beiträge
58.630
Mitglieder
6.047
Neuestes Mitglied
FredFunker
Zurück
Oben