Wireguard unter Win11 <--> FritzBox

[Frank73]

Hallo zusammen,

nach vielen Recherchen im Internet bzgl. Wireguard-Verbindungen FB und Win wäre ich um euren Rat dankbar, wie ihr das umsetzen würdet.

Ausgangssituation:
Wireguard auf FB für 4 Handys eingericht und läuft auf diesen mit der Wireguard-App seit Monaten fehlerfrei. Auf Grund Studium unseres Sohnes wird dieses Thema jetzt auch für den PC und Laptop interessant, da Zugriffe von ausserhalb auf auf das NAS (DS1621) erforderlich werden (bspw. für vaultwarden, paperless-ngx ...). Auf dem NAS läuft ein eigener DNS und Reverse-Proxy (beide aus den Standardpaketen).

Herausforderung:
Die Wireguard-App (UI) ist bei Win nur mit dem Admin-Account möglich, mit welchem generell nicht gearbeitet wird (alle nutzen nur den Standarduser). Jetzt möchte ich natürlich, dass unser Sohn den VPN-Tunnel starten und beenden kann. Hierzu habe ich nach langen Recherchen eigentlich nur 2 Möglichkeiten gefunden um dies über einen Workaround ermöglichen zu können.
1) Hinzufügen eines Reg-Eintrages und den User, bzw. Gruppe in die Gruppe "Netzwerkoperationen" mitaufnehmen
2) Nutzung von Scripts um dies über einen Dienst zu realiseren und mit net start-Befehlen bei Bedarf den entsprechenden Tunnel (bei mehreren [z. B. privat nach Hause, sep. Tunnel für die Uni]) zu akivieren (für Nicht-Admin-User möglich) -->hier.

Bei beiden Alternativen habe ich (auf Grund fehlenden tiefergreifenden Kenntnisse) jedoch ein ungutes Gefühl.
Bei 1) Es hat ja seinen Grund, dass Standarduser nicht in dieser Gruppe sind
Bei 2) Da ich die Codes nicht nachvollziehen kann (bin kein Programmierer) kann ich nicht nachvollziehen, was die Scripte genau machen

Welche Alternative würde ihr in diesem Fall anwenden (IPSec möchte ich nicht unbedingt nutzen, da ich nur ein Protokoll verwenden möchte ?

Vorab vielen Dank und einen schönen Sonntag.

 

[blurrrr]

Moin,

also ich sehe das Problem mit IPSec nicht, dem steht eigentlich auch nur ein "Ich will aber nicht!" im Wege. Grade bei der Fritz!Box ist die Einrichtung ja nun auch echt kein Aufwand.

Bei 2) Da ich die Codes nicht nachvollziehen kann (bin kein Programmierer) kann ich nicht nachvollziehen, was die Scripte genau machen

Es wird ein "Dienst" angelegt und der Gruppe "Users" wird erlaubt, diesen Dienst zu starten/stoppen. Somit läuft das ganze auch transparent im Hintergrund (ohne Wireguard-GUI).

Ich persönlich würde einfach IPSec nutzen, das dürfte auch der einfachste und verständlichste Weg für alle sein.

EDIT Ist der Sohnemann an seinem Gerät nicht sowieso in der Lage administrative Dinge zu erledigen (z.B. benötigte Software für die Uni zu installieren)?

 

[Frank73]

Ja, Sohnemann hat die Möglichkeit administrative Tätigkeiten durchzuführen

Bei der Nutzung von IPSec benötige ich weiterhin noch die Software "Fritz!Fernzugang" um dann auch später die VPN-Verbindung herzustellen?

 

[blurrrr]

Vermutlich, ich nutze kein Fritz!Box-VPN, von daher kann ich nichts dazu sagen. Es gab noch eine andere Software von der Firma Shrewsoft, damit ging es auch. Direkt über die integrierte VPN-Funktion in Windows ging es nur mittels Registry-Anpassungen. Wie der Stand da heute ist, kann ich nicht sagen, aber vielleicht weiss da jemand anders etwas genaueres

EDIT: Sieht auf den ersten Blick wohl eher mau aus:

• Android-Smartphone oder -Tablet mit FRITZ!Box verbinden
• iPhone oder iPad mit FRITZ!Box verbinden
• Windows-Computer mit FRITZ!Box verbinden (FRITZ!Fernzugang)
• macOS-Computer mit FRITZ!Box verbinden
• Linux-Computer mit FRITZ!Box verbinden

(Quelle: https://fritz.com/service/vpn/)

 

[Frank73]

Ja, so sehe ich das auch, habe gerade mal versucht das ohne diese Software hinzubekommen --> geht natürlich nicht.
Teste jetzt mal noch auf einem Win10-System (da kann ich nicht viel verhauen, kommt in 2 Wochen eh Win11 drauf).

Würdest du nach dieser Erkenntnis immer noch IPSec für WIN-OS empfehlen?

 

[blurrrr]

Naja, IPSec dürfte noch immer Standard sein, ggf. gefolgt von OpenVPN und Wireguard ist dann halt das (mittlerweile nicht mehr ganz so) neue Ding. Spielt aber auch keine Rolle, was ich sage, wichtig ist, dass Du damit klar kommst bzw. Dein Sohn. Wenn beim Aufbau der VPN-Verbindung nach administrativen Credentials gefragt wird, Dein Sohn hat sie ja, nervt vielleicht ein bisschen, aber funktioniert.

 

[Stationary]

ohne diese Software hinzubekommen --> geht natürlich nicht.

Das geht deshalb nicht, weil Windows IPSec mit L2TP kombiniert, während die Fritzbox IPSec IKEv2 macht. Androiden, iOS und MacOS machen Letzteres out-of-the-box, für Windows hast Du da schon immer eine entsprechende Client-Software gebraucht.

Für Wireguard unter Windows: https://rz.rptu.de/dienstleistungen...luss/vpn-zugang/hinweise-fuer-administratoren

 

[Barungar]

Androiden, iOS und MacOS machen Letzteres out-of-the-box

Was bei der linuxoiden Abstammung dieser drei und der FritzBox naheliegend ist. Windows ist hier halt (wie so oft) der "Exot".

 

[Stationary]

linuxoiden Abstammung

Persönlich hätte ich unixoid gesagt, um es allgemeiner zu halten iOS und MacOS bauen auf einem Darwin BSD Kernel auf. Aber das sind Spitzfindigkeiten und wir kommen vom Thema ab.

 

[Frank73]

Bin immer noch am Testen .
Was mir jetzt allerdings im Protokoll der Wireguard-Anwendung in Windows auffällt ist, dass alle 2 Minuten (fast auf die Sekunde) ein Schlüsseltausch protokolliert wird. Ich bin eigentlich immer davon ausgegangen, dass das Schlüsselpaar einmalig beim Erstellen des Tunnels generiert wird und das wars.

Ist das normal, oder stimmt da irgendwas nicht. Ist mir bisher so noch nicht aufgefallen .
Probleme mit dem Tunnel habe ich nicht, es verhält sich so wie parametrisiert.

2025-09-23 18:42:46.003617: [TUN] [fb5590] Starting WireGuard/0.5.3 (Windows 10.0.19045; amd64)
2025-09-23 18:42:46.003854: [TUN] [fb5590] Watching network interfaces
2025-09-23 18:42:46.006693: [TUN] [fb5590] Resolving DNS names
2025-09-23 18:42:46.019629: [TUN] [fb5590] Creating network adapter
2025-09-23 18:42:46.173964: [TUN] [fb5590] Using existing driver 0.10
2025-09-23 18:42:46.183812: [TUN] [fb5590] Creating adapter
2025-09-23 18:42:46.844709: [TUN] [fb5590] Using WireGuardNT/0.10
2025-09-23 18:42:46.844709: [TUN] [fb5590] Enabling firewall rules
2025-09-23 18:42:46.577189: [TUN] [fb5590] Interface created
2025-09-23 18:42:46.852477: [TUN] [fb5590] Dropping privileges
2025-09-23 18:42:46.853127: [TUN] [fb5590] Setting interface configuration
2025-09-23 18:42:46.854165: [TUN] [fb5590] Peer 1 created
2025-09-23 18:42:46.856388: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:42:46.856388: [TUN] [fb5590] Monitoring MTU of default v4 routes
2025-09-23 18:42:46.856388: [TUN] [fb5590] Sending handshake initiation to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:42:46.856388: [TUN] [fb5590] Interface up
2025-09-23 18:42:46.862646: [TUN] [fb5590] Setting device v4 addresses
2025-09-23 18:42:46.864797: [TUN] [fb5590] Monitoring MTU of default v6 routes
2025-09-23 18:42:46.865304: [TUN] [fb5590] Setting device v6 addresses
2025-09-23 18:42:46.873193: [TUN] [fb5590] Receiving handshake response from peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:42:46.873193: [TUN] [fb5590] Keypair 1 created for peer 1
2025-09-23 18:42:46.908801: [TUN] [fb5590] Startup complete
2025-09-23 18:44:38.211745: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:44:48.276584: [TUN] [fb5590] Sending handshake initiation to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:44:48.284309: [TUN] [fb5590] Receiving handshake response from peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:44:48.284309: [TUN] [fb5590] Keypair 2 created for peer 1
2025-09-23 18:44:48.284309: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:46:48.289820: [TUN] [fb5590] Sending handshake initiation to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:46:48.309046: [TUN] [fb5590] Receiving handshake response from peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:46:48.309046: [TUN] [fb5590] Keypair 1 destroyed for peer 1
2025-09-23 18:46:48.309046: [TUN] [fb5590] Keypair 3 created for peer 1
2025-09-23 18:46:48.309046: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:48:48.313555: [TUN] [fb5590] Sending handshake initiation to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:48:48.327681: [TUN] [fb5590] Receiving handshake response from peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:48:48.327681: [TUN] [fb5590] Keypair 2 destroyed for peer 1
2025-09-23 18:48:48.327681: [TUN] [fb5590] Keypair 4 created for peer 1
2025-09-23 18:48:48.327681: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:50:48.333899: [TUN] [fb5590] Sending handshake initiation to peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:50:48.346480: [TUN] [fb5590] Receiving handshake response from peer 1 (bb.aaa.yyy.xxx:ppppp)
2025-09-23 18:50:48.346480: [TUN] [fb5590] Keypair 3 destroyed for peer 1
2025-09-23 18:50:48.346480: [TUN] [fb5590] Keypair 5 created for peer 1
2025-09-23 18:50:48.346480: [TUN] [fb5590] Sending keepalive packet to peer 1 (bb.aaa.yyy.xxx:ppppp)

config client:

[Interface]
PrivateKey = key
Address = 123.456.789.100/32,fdab:cdef:cdef::100/128
DNS = 123.456.789.99,123.456.789.1,fdab:cdef:cdef:cdef:cdef:cdef:cdef:cdef,fd96:fdab:cdef:cdef:ffff:ffff:ffff:ffff

[Peer]
PublicKey = key
PresharedKey = key
AllowedIPs = 123.456.789.0/24,fdab:cdef:cdef::/64
Endpoint = dyndns:pppp
PersistentKeepalive = 25