Wireguard Verbindung Fritzbox 7530 mit GL-AXT1800 / Slate AX

[Emilk]

Hah, ja, aber sie hat ein völlig verrücktes Format mit mehreren '=' zwischendrin, der Befehl scheint es gar nicht erkannt zu haben, und nur einen Fehler ausgespuckt.

Nichtsdestotrotz, habe ich einige Anpassungen vorgenommen und habe tatsächlich eine erste Wireguard Verbindung vom Reiserouter zu der FB hinbekommen. Ich habe die DyDNS von IPV64 verwendet. Es kommt traffic durch, der ist allerdings so langsam, dass ich damit nichtmal auf "wie istmeine IP" oder ähnliches zugreifen kann, ich sehe aber sowohl im Reiserouter sowie in der FB, dass verbunden ist .

An was könnte das liegen? Immerhin ist die Verbindung schon mal ein Zeichen, dass die zwei kommunizieren und richtig eingerichtet worden ist oder? Könnte mein neues Config unten daran Schuld sein, dass es langsam läuft?

Reiserouter



FB


Was ich verändert habe:
- Bei der Wireguard Einrichtung auf der FB, habe ich nicht die IP des Reiserouters, sondern eine beliebe 10XXXX eingegeben.

Das neue Config sieht jetzt so aus


Address = 10.0XXXX
ListenPort = 63145 <-- im Youtube wieder gesehen
PrivateKey = XXXXXX
DNS = 1XXXXX <- unverändert
MTU = 1420 <- Keine Ahnung, welchen Nutzen das hat

[Peer]
AllowedIPs = XXXX
Endpoint = newXXXXXde: 51789 <- Port aus FB
PersistentKeepalive = 25
PublicKey = XXXX
PresharedKey = XXXX


Gruß

 

[blurrrr]

Na siehste mal, geht doch...

Für eine langsame Verbindung kann es mehrere Gründe geben:

1) Internetverbindung des Reise-Routers
2) Probleme auf dem Weg zwischen Reise-Router und Fritzbox
3) Problem mit der Fritzbox

Grundsätzlich bist Du bei Deinem Konstrukt (wo ja anscheinend "sämtlicher" Internetverkehr durch das VPN wandert) schon mal grundsätzlich beschränkt. Das liegt an den Sende-/Empfangsrichtungen. Als Beispiel gehen wir mal von folgenden Werten aus:

Reise-Router: 250Mbit eingehend, 50Mbit ausgehend
Fritzbox: 100Mbit eingehend, 40Mbit ausgehend

Nun schauen wir uns mal die beiden Wege an (rein + raus)...:

Datenverkehr ausgehend:
Client -X-> Reise-Router -50-> Fritzbox -40-> Internet

Datenverkehr eingehend:
Internet -100-> Fritzbox -40-> Reise-Router -X-> Client

Du bist in beiden Fällen auf die niedrigste Datenrate begrenzt. Primär interessant wäre für Dich ja sowieso der "eingehende" Verkehr (z.B. wenn Du surfst). Hier wäre dann die Fritzbox das schwächste Glied, denn sie holt die Daten zwar schnell aus dem Internet, muss sie aber danach auch an Dich schicken (ausgehend in Deine Richtung), womit das ganze dann wieder auf 40Mbit beschränkt wäre.

Nun kommt es auf die "realen" Zahlen an. Was kann die Fritzbox wirklich leisten und auch garnicht mal so unwesentlich: Was kann der Reise-Router mit seiner aktuellen Verbindung leisten? Könntest hinter beiden Routern mit Deinem Client mal einen Speedtest via z.B. https://www.speedtest.net/ durchführen.

 

[Emilk]

ja das ist schon mal ein erster Erfolg, aber mit den aktuellen KB Zahlen, ist der Reiserouter quasi unbenutzbar, mit 5 Kbs ich kann keine Seite laden.

Der Reiserouter mit LTE hat beim Speedtest 78Mbits zu 23 MBits angezeigt.
Die Fritzbox schafft 80 / 40 Mbits

Kann es sein, dass meine Config Einstellungen immer noch falsch sind?

 

[blurrrr]

MTU = 1420 <- Keine Ahnung, welchen Nutzen das hat

Kann es sein, dass meine Config Einstellungen immer noch falsch sind?

Die MTU gibt die maximale Übertragungseinheit an, nachzulesen hier: https://de.wikipedia.org/wiki/Maximum_Transmission_Unit. Im LAN steht sie standardmässig auf 1500 (und kann intern auch noch höher geschraubt werden). Nach aussen hin kommen halt immer mehr "Umverpackungen" div. Protokolle hinzu.

Du solltest vom Client hinter dem Reise-Router bei aktiviertem VPN ja durchaus Deine Fritzbox erreichen (mit der internen IP!). Diese sollte auf einen "Ping" reagieren, das könnte z.B. so aussehen: ping 192.168.178.1 (wieder im "Terminal").


Bin mir grade nicht sicher bzgl. der Parameter auf dem Mac, aber Du kannst die Paketgröße beim Ping auch vorgeben, so dass Du durch div. Versuche die optimale MTU durch den Wireguard-Tunnel ausfindig machen kannst. Die dazugehörigen Parameter wären:

-D : Pakete nicht fragmentieren/aufteilen
-s : Paketgröße (-s <MTU-Wert>)

Somit würde sich für Dich "initial" folgender Befehl ergeben: ping 192.168.178.1 -D -s 1500

Das mach erstmal, wird definitiv schief gehen, aber dann siehst Du auch direkt welche Meldung die "falsche" ist. Da sollte dann etwas stehen in Form von "müsste fragmentieren werden, soll es aber nicht" (dafür sorgt dann der Parameter "-D"). Nun hast Du in einer Wireguard-Config auch schon eine MTU von 1420 stehen (also schon deutlich niedriger). Geh einfach mal runter auf eine MTU von 1300 und schau, wie es sich dann verhält

 

[Emilk]

Morgen,
ich habe mit den MTUs noch etwas rumgespielt, zwischen 1300 und 1500, leider keine Veränderung.

Über den Befehl ping 192.168.178.1, erhalte ich:
PING 192.168.178.1 (192.168.178.1): 56 data bytes
64 bytes from 192.168.178.1: icmp_seq=0 ttl=63 time=45.741 ms
64 bytes from 192.168.178.1: icmp_seq=1 ttl=63 time=67.028 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=63 time=59.043 ms
64 bytes from 192.168.178.1: icmp_seq=3 ttl=63 time=50.583 ms
kurzzeitig konnte ich auf das Interface der Fritzbox zugreifen, mehr aber auch nicht , .... dann aber

Request timeout for icmp_seq 1033
Request timeout for icmp_seq 1034
Request timeout for icmp_seq 1035
92 bytes from console.gl-inet.com (192.168.8.1): Destination Port Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
XXXxXXXXXXXXXXXXXXXXXXXXX 192.168.178.1


Der Befehl: ping 192.168.178.1 -D -s 1500

PING 192.168.178.1 (192.168.178.1): 1500 data bytes
ping: sendto: Message too long
ping: sendto: Message too long
Request timeout for icmp_seq 0
ping: sendto: Message too long
Request timeout for icmp_seq 1
ping: sendto: Message too long

 

[blurrrr]

Der letzte Befehl "kann" auch nicht funktionieren mit 1500, deswegen solltest DU die 1500 auch verringern. Halt erstmal runter auf 1420 und wenn es da noch immer ein "too long" gibt, immer weiter runter, bis das "too long" nicht mehr erscheint. Damit hast Du dann die optimale MTU ermittelt, so dass die Pakete nicht mehr fragmentiert (aufgeteilt) werden müssen.

64 bytes from 192.168.178.1: icmp_seq=3 ttl=63 time=50.583 ms
kurzzeitig konnte ich auf das Interface der Fritzbox zugreifen, mehr aber auch nicht , .... dann aber

Request timeout for icmp_seq 1033

Also die "ms"-Angabe ist zwar schon etwas höher, aber das schieb ich einfach mal auf die LTE-Anbindung (oder ggf. auch Fragmentierung). Was das "geht nicht mehr" angeht, so scheint es, als wäre da die VPN-Verbindung abgebrochen und nicht wieder aufgebaut worden. Da findet sich aber ggf. etwas in den Logs (Reise-Router + Fritzbox).

 

[Emilk]

Danke, das werde ich nochmal finetunen,

also nach weiteren Recherchen und kleineren Anpassungen bei Address auf
10.0.0.2/24 geändert und AllowedIPs = 0.0.0.0/0, ::/0
habe ich jetzt tatsächlich eine nützliche Verbindung hergestellt. Ich kann im Netz surfen, Speedtest 37/34 mbits.


Ich bin gerade eine Stadt weiter. Mit einer IP Check Webseite mit Standort, sehe ich, dass es funktioniert.
Ist Wireguard an, zeigt es mich in der aktuellen Stadt. Schalte ich es aus, dann den Heimrouterstandort. Auch der Internetprovider, der zuhause ein anderer ist, zeigt der IP Test korrekt an. Die genaue IP-Adresse müsste ich zuhause nochmal nachkontrollieren, da ich die heutige nicht weiß da ich nicht auf den Fritzbox Router zugreifen kann über http://fritz.box/.

Sollte das nicht funktionieren? Wenn ich quasi auf mein Heimnetzwerk zugreife?

 

[blurrrr]

Die genaue IP-Adresse müsste ich zuhause nochmal nachkontrollieren, da ich die heutige nicht weiß da ich nicht auf den Fritzbox Router zugreifen kann über http://fritz.box/

Das sind 2 Paar Schuhe:

1) IP (Adressen / Netze / Routen)
2) DNS (Namensauflösung - FQDN->IP / IP->FQDN)

Es kommt also darauf an, wen Du fragst. Du wirst vermutlich Deinen Reise-Router fragen und der kennt halt "fritz.box" nicht. Insofern... versuch es einfach mal über die "IP" der Fritzbox (wenn nix umgestellt wurde, normalerweise http://192.168.178.1).