Wireguard Verbindung Fritzbox 7530 mit GL-AXT1800 / Slate AX

E

Emilk

New member
Hallo Zusammen,

ich versuche seit Tagen eine Verbindung zwischen meiner Fritzbox 7530 via Wireguard und meinem Reiserouter GL-AXT1800 / Slate AX herzustellen, um dann bei längeren Reisen mit dem Router auf mein Heimnetzwerk zuzugreifen und die heimische IP zu nutzen.

Zurzeit erhalte ich gar keine Wireguard Verbindung. Zwischenzeitlich (ich glaube, bevor ich Portfreigabe drin hatte), ging die Verbindung auf grün. Aber es kamen kaum Daten durch, es war extrem langsam, unbenutzbar.

Ich habe mich durch zahlreiche Videos geforstet und Anleitung gelesen, bin mir nicht ganz im Klaren, welche Schritte notwendig sind und welche nicht. Folgendes habe ich gemacht:

Fritzbox 7530 (Wireguard Server):
- Dyn DNS erstellt (ist dieser Schritt unbedingt notwendig?)
- Portfreigabe auf den Slate X (ist dieser Schritt unbedingt notwendig?) Über Portfreigabe den Slate X ausgewählt, der schon mal verbunden war, und dann wie unten konfiguriert.
1714665564130.png
- Wireguard eingerichtet mit Option "WireGuard®-fähiger Router", als entferntes Netzwerk die Router IP der Slate X angegeben 192.168. 8.1. / 255.255.255.1

1714665731170.png

GL 1800 Slate X
Wireguard Client installiert
[Interface]
Address = 192.168.8.1/24
ListenPort = 62687
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXX
DNS = 192.168.2.1, 192.168.8.1
MTU = 1420

[Peer]
AllowedIPs = 192.168.8.0/24, 0.0.0.0/0
Endpoint = <DynDNS-Adresse>:51820
PersistentKeepalive = 25
PublicKey = XXXXXXXXXXXXXXXXXXXXXX
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXX

Für die letzten Einstellung, oben, erhalte ich jetzt folgendes Skript:

Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Rule 'wan_in_conn_mark'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Rule 'lan_in_conn_mark_restore'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Rule 'out_conn_mark_restore'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Zone 'lan'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Zone 'wan'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Zone 'guest'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Zone 'wgclient'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Set tcp_ecn to off
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Set tcp_syncookies to on
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Set tcp_window_scaling to on
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Running script '/etc/firewall.nat6'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Running script '/etc/firewall.swap_wan_in_conn_mark.sh'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Running script '/etc/firewall.vpn_server_policy.sh'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Running script '/var/etc/gls2s.include'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): ! Skipping due to path error: No such file or directory
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): * Running script '/usr/bin/gl_block.sh'
Thu May 2 18:06:08 2024 daemon.notice netifd: wgclient (22745): uci: Entry not found
Thu May 2 18:06:08 2024 daemon.notice netifd: Interface 'wgclient' is now down
Thu May 2 18:06:08 2024 daemon.notice netifd: Interface 'wgclient' is setting up now
Thu May 2 18:06:08 2024 user.notice firewall: Reloading firewall due to ifdown of wgclient ()


Ich danke vorab für Eure Tipps. Ich hoffe, ich bin auf dem richtigen Weg.

Viele Grüße
Emil
 

Anhänge

  • 1714665532565.png
    1714665532565.png
    181,5 KB · Aufrufe: 0
Hi,
Emilk schrieb:
- Dyn DNS erstellt via: IPv64.net (ist dieser Schritt unbedingt notwendig?)
Zum Vergrößern anklicken....
nö, könntest auch einfach direkt MyFritz oder einen anderen nehmen. Einen festen externen Ansprechpunkt brauchst Du aber so oder so, sofern Du keine statische externe öffentliche IP hast.

Das mit der Portfreigabe verstehe ich mal so garnicht... Wozu genau soll das jetzt gut sein? Das macht - so wie Du es beschreibst - so gar keinen Sinn 😅 Eine Portfreigabe auf der Fritzbox zum Reise-Router... das mag ja funktionieren, wenn der Reise-Router hinter der Fritzbox ist und sich etwas zum Reise-Router verbinden will, aber... mal ganz doof gefragt: Geht das Ding nicht mit auf die Reise?

Sollte es nicht eher in diese Richtung laufen: <Client>-<Reise-Router>----(VPN)----<Fritzbox>-<Ressource im LAN>
 
Danke für die schnelle Antwort! Verstehe, das habe ich wohl falsch aufgeschnappt aus Tutorials, wo der heim Router nicht gleichzeitig der Server war. Dann kann ich das getrost löschen. Werde es nachher probieren und berichten
 
Was Du brauchst, wäre die Wireguard-Verbindung zwischen Fritzbox und Reise-Router. Weiss ja nicht, was dieser für Möglichkeiten hat (LTE oder ein vorhandenes WLAN nutzen), aber im Zweifel mit dem Handy (während es nicht im eigenen WLAN ist) einen Hotspot aufmachen und darüber die Internetverbindung für den Reise-Router herstellen. Falls dieser sowieso eine LTE-Karte hat, wäre das natürlich auch in Ordnung. Es geht halt darum, dass Du ein reales Szenario nachbilden kannst (Reise-Router irgendwo mit Internet vor Ort) :)
 
Habe gerade die Portweiterleitung gelöscht und dann den Reiserouter über das mobile Internet meines Handys verbunden, um es zu simulieren.

Leider verbindet der Wireguard immer noch nicht. Der Log unten.

Meine Einstellungen hier nochmal kopiert: Darin könnte der Fehler irgendwo versteckt sein.

Reiserouter Slate Konfigurationsdatei (IP: 192.168.8.1), angepasste Version, das Original hänge ich unten an, das Fritzbox bei der Installation ausspuckt
Wireguard Einstellung Fritzbox
1714676776152.png1714674800490.png

Wireguard log
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Rule 'wan_in_conn_mark'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Rule 'lan_in_conn_mark_restore'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Rule 'out_conn_mark_restore'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Zone 'lan'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Zone 'wan'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Zone 'guest'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Zone 'wgclient'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Set tcp_ecn to off
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Set tcp_syncookies to on
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Set tcp_window_scaling to on
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Running script '/etc/firewall.nat6'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Running script '/etc/firewall.swap_wan_in_conn_mark.sh'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Running script '/etc/firewall.vpn_server_policy.sh'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Running script '/var/etc/gls2s.include'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): ! Skipping due to path error: No such file or directory
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): * Running script '/usr/bin/gl_block.sh'
Thu May 2 20:26:43 2024 daemon.notice netifd: wgclient (27298): uci: Entry not found
Thu May 2 20:26:43 2024 daemon.notice netifd: Interface 'wgclient' is now down
Thu May 2 20:26:43 2024 daemon.notice netifd: Interface 'wgclient' is setting up now
Thu May 2 20:26:43 2024 user.notice firewall: Reloading firewall due to ifdown of wgclient ()



Original Fritzbox Installationsdatei, die ich oben angepasst habe
1714675385097.png
 

Anhänge

  • 1714675182625.png
    1714675182625.png
    402,3 KB · Aufrufe: 4
Das Thema allgemein wurde hier auch schon mal behandelt, ich habe Dir mal den Thread rausgesucht: https://forum.heimnetz.de/threads/bitte-um-hilfe-gl-inet-gl-a1300-slate-plus-wireguard-zu-fritz-box-7530.3049/. Vielleicht hilft es ja weiter :)

Ansonsten gäbe es da noch die Frage nach der Art des Internetanschlusses (das solltest Du in der Weboberfläche der Fritzbox sehen). Das wird aber auch nochmal exlizit in der entsprechenden Anleitung (https://avm.de/service/wissensdaten...chen-FRITZ-Box-und-anderem-Router-einrichten/) von AVM erwähnt (Thema IPv4 und IPv6). Um es kurz zu machen:

IPv4 -> IPv4 = ok
IPv6 -> IPv6 = ok
IPv6 -> IPv4 = ok (aber nur durch zusätzliche Systeme des Providers)
IPv4 -> Ipv6 = nicht ok

Nun hängt es davon ab, ob Du eine öffentliche IPv4-Adresse hast, IPv4 und IPv6 (DualStack), oder nur eine IPv6-Adresse und für IPv4-Dinge teilst Du Dir mit hunderten/tausenden anderen Leuten "eine" öffentliche IPv4-Adresse.

Spricht der Standort - an welchem Du Dich während Deiner Reise befindest - z.B. nur IPv4 und Du hast Zuhause nur eine IPv6-Adresse, wird das schon nichts. Schau doch mal unter: https://www.wieistmeineip.de/ (einmal aus Deinem lokalen Fritzbox-Netz und einmal mit dem Handy (ohne WLAN, also via LTE)) und prüfe, was für IP-Adressen dort stehen. In der Fritzbox kannst Du diesbezüglich auch nochmal nachschauen.
 
Danke für die links. Die habe ich auch schon durchgespielt ohne Erfolg.

Die ip Adressen sind über Handy mit lte und pc und Router sowohl als ipv 4 als auch 6 verfügbar. Der ipv6 Test verlief ohne Probleme laut link
 
Hi,

der ReiseRouter Log unten nach meinem neusten Test, bei der Fritzbox finde ich keinen Log. Dort kam auch nie eine Verbindung zustande.


Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Rule 'lan_in_conn_mark_restore'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Rule 'out_conn_mark_restore'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Zone 'lan'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Zone 'wan'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Zone 'guest'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Zone 'wgclient'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Set tcp_ecn to off
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Set tcp_syncookies to on
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Set tcp_window_scaling to on
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Running script '/etc/firewall.nat6'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Running script '/etc/firewall.swap_wan_in_conn_mark.sh'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Running script '/etc/firewall.vpn_server_policy.sh'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Running script '/var/etc/gls2s.include'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): ! Skipping due to path error: No such file or directory
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): * Running script '/usr/bin/gl_block.sh'
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): uci: Entry not found
Fri May 3 10:15:59 2024 daemon.notice netifd: wgclient (19625): cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory
Fri May 3 10:15:59 2024 daemon.notice netifd: Interface 'wgclient' is now down
Fri May 3 10:15:59 2024 daemon.notice netifd: Interface 'wgclient' is setting up now
Fri May 3 10:15:59 2024 user.notice firewall: Reloading firewall due to ifdown of wgclient ()



Hier auch nochmal mein letztes Konfig Original und angepasst, das ich aus der FB auf den Reiserouter eingespielt habe:
ListenPort, ist aus FB Wireguard, das habe ich auch hinter den Endpoint kopiert, nach der generierten DynDNS, kann hier ein Fehler vorliegen?

1714725854274.png
 
Naja, wenn in der Fritzbox nix zu finde ist, ist vermutlich auch nichts angekommen. Dafür spricht dann ggf. auch diese Zeile aus dem Log:
cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory
Zum Vergrößern anklicken....
Du hast ja nun eine DynDNS-Adresse eingerichtet. Hast Du mal geprüft, ob diese auch auf die externe(n) WAN-IP(s) Deiner Fritzbox zeigt?

Da Du anscheinend Mac-User bist... Im "Terminal" mal folgenden Befehl ausführen:
nslookup <Deine DynDNS-Adresse>

Dabei sollten entsprechend hinterlegte IP-Adressen auftauchen. Diese müssen mit denen in der Fritzbox übereinstimmen (oder Du prüfst via z.B. wieistmeineip.de).
 
habe den Befehl gerade ausgeführt "nslookup dyndnsxxxxxx.net:50881"

1) über mein Fritzbox Wlan kommt: Server: 192.168.178.1, Address: 192.168.178.1#53 ** server can't find xxxxxxxxxx.net:50881: NXDOMAIN

2) über mein Reiserouter mit Mob Internet kommt: ; connection timed out; no servers could be reached.


Gerne kann ich das Dyn DNS auch deaktivieren, ich dachte das muss man drauf haben, da sich die IP Adresse regelmäßig ändert. Was trage ich stattdessen ein?

Danke vorab für all deine Hilfe. Nächstes Bier geht auf mich!
 
Zuletzt bearbeitet:
Korrektur. Ohne die Zahl am Ende,

Fritzbox:
nslookup xxxxxxxxxxx.net
Server: 192.168.178.1
Address: 192.168.178.1#53
Non-authoritative answer:
Name: xxxxxxxxxx.net
Address: 87.141.113.68

Reiserouter und Mobil. Internet
nslookup xxxxxxxxxx.net
;; connection timed out; no servers could be reached
 
Na da haben wir es ja... Du willst vom Urlaub aus nach Hause und irgendwo steht ein Haus, welches niemand kennt und auch niemand den Weg dorthin kennt.

Also Grundvoraussetzung ist, dass das "externe" (egal ob Reise-Router, Handy, etc.) Dein Zuhause ausfindig machen kann. Da sich aber die Hausnummer ständig ändert (IP) brauchst Du halt einen dynamischen Wegweiser, welcher immer auf Deine Korrekte Hausnummer zeigt (DynDNS). Zeigt dieser Wegweiser allerdings nirgendwohin (so wie derzeit), wirst Du Dein Haus auch niemals erreichen können (wie solltest Du auch?).

Das ist aktuell Dein Stand. Kurzum: Sorg dafür, dass die Fritzbox den Eintrag korrekt vornimmt (ggf. nimmst Du auch einfach direkt den MyFritz-Dienst). Ist das gegeben, kann Dein Reise-Router auch die Adresse der MyFritz-URL in eine IP auflösen, womit der Reise-Router auch den Weg zu Deiner Fritzbox finden kann.

Erst nachdem das gegeben ist, kann man sich dem Thema Wireguard widmen (und vielleicht funktioniert dann auch schon einfach alles), wird man sehen... :)
 
Hi ich habe alles neu aufgesetzt, neue DynDNS erstellt. die laut website auch aktiv ist und funktioniert, und das dann der Anleitung entsprechend auf Fritzbox übertragen, anschließend neuen Wireguard erstellt und im Reiserouter per angepasster Config eingepflegt. Leider nichts neues.

Ich verzweifle langsam...

PrivateKey = XXXXXXXXXXXX
ListenPort = 51789
Address = 192.168.178.1/24
DNS = 192.168.178.1,192.168.8.1


[Peer]
PublicKey = bXXXXXXXX
PresharedKey =XXXXXXXXX
AllowedIPs = 192.168.8.0/24, 0.0.0.0/0
Endpoint = XXXXXXXXXXX:51789
PersistentKeepalive = 25


1714738070764.png
1714738126317.png
 
Zuletzt bearbeitet von einem Moderator:
Häng Dich doch einfach mal mit einem Endgerät hinter Deinen Reise-Router (der zu diesem Zeitpunkt eine Internetverbindung via z.B. LTE hat). Danach führst Du am Client (hinter dem Reise-Router) nochmal folgenden Befehl aus: nslookup <Deine DynDNS-Adresse>

Die Internetverbindung des Reise-Routers sollte dem Router eigentlich auch passende DNS-Server mitgeben. Falls das nicht so sein sollte, schau bitte mal im Reise-Router nach, ob Du da bei der Internetverbindung ggf. noch DNS-Server manuell angeben musst (z.B. 8.8.8.8 / 8.8.4.4 für die Google-DNS-Server). Diese DNS-Server haben nichts mit den Dingen zu tun, welche nach hinten an die Clients verteilt werden.

Wenn Du o.g. Befehl beim Client hinter dem Reise-Router ausführst, kriegst Du in der Antwort auch den Server angezeigt, welcher befragt wurde. Das sollte theoretisch die interne IP vom Reise-Router sein.

EDIT: Dein Reise-Router hat zum Test-Zeitpunkt aber schon eine Internetverbindung, oder? 😁
 
Der Reiserouter ist nur mit meinem Handy per Tethering/Ladekabel und 5G verbunden. Das Internet funktioniert auch, solange der Wireguard aus ist.

Ich habe über den Reiserouter jetzt nochmal mehrere NSlookups probiert. Ehrlich gesagt, weiß ich nicht, ob ich es richtig mache, mit Zahlenkombi hintendran oder nicht, auch den Fritzbox DNS zugang habe ich mal probiert. Auch da gleiches Ergebnis

1714740855825.png

1714740910074.png
 
Zuletzt bearbeitet von einem Moderator:
Nimm einfach mal Deine MyFritz-Adresse. Diese lautet übrigens nicht einfach nur "myfritz.net", sondern der Teil davor ist entscheidend, denn "alle" MyFritz-Nutzer haben die Endung "myfritz.net", der vordere Teil ist Dein persönlicher. Ports (die Zahl nach dem Doppelpunkt am Ende) haben dabei übrigens nichts in einer Namensauflösung verloren. Vergleich das mit einer Fenster-Nummer an einem Haus. Hat also nichts mit der eigentlichen Adresse zu tun :)

Insofern sollte die korrekte DNS-Anfrage wie folgt lauten:

nslookup abc123abc123abc123.myfritz.net

"abc123abc123abc123" ersetzt Du dabei bitte durch Deinen eigenen Teil (s. o. in Deinem Screenshot beim Punkt MyFritz). Davor auch kein "http" oder "https", kein "/" und kein Port.

Wenn Dir gesagt wird, dass Deine DynDNS-Adresse "https://abc123abc123abc123.myfritz.net:25632" wäre, dann nimmst Du bitte nur den mittleren Teil (abc123abc123abc123.myfritz.net).
 
Kleiner Nachtrag noch:

Da wird Dir ja nun als befragter DNS-Server die 192.168.8.1 angezeigt, das dürfte dann wohl die interne IP vom Reise-Router sein. Eine kleine Ergänzung dazu noch:

1) nslookup abc123abc123abc123.myfritz.net (damit wird der Reise-Router gefragt)
2) nslookup abc123abc123abc123.myfritz.net 8.8.8.8 (damit wird direkt bei Google gefragt)

Warum das jetzt? Falls der Reise-Router derzeit generell keine DNS-Anfragen verarbeiten kann, kann man das gegenprüfen, indem man einfach mal einen anderen DNS-Server befragt. Gibt es bei 1 keine Antwort, bei 2 aber schon, so wird das eigentliche Problem beim Reise-Router liegen, dann wird diesem wohl ein passender DNS-Server fehlen (wo er selbst nachfragen kann, wenn er selbst von einem Client gefragt wird).
 
Hi, also über den Reiserouter zeigt mir bei dem Befehl mit der Fritz DNS tatsächlich die IPV4 Adresse meiner Fritzbox an.

Den Befehl mit der DynDNS einzugeben klappt nicht ganz. Sie ist sehr lange, komisches Format. Dort habe ich eine Domain und eine Account URL. Bei beiden kam kein Ergebnis
 
Emilk schrieb:
Hi, also über den Reiserouter zeigt mir bei dem Befehl mit der Fritz DNS tatsächlich die IPV4 Adresse meiner Fritzbox an.
Zum Vergrößern anklicken....
Welcher DNS-Server antwortet denn da? Ich hatte Dir 2 Befehle aufgezeigt (1+2), kam beim ersten auch die korrekte Antwort (vom DNS-Server 192.168.8.1)?

Hier stehe ich allerdings auf dem Schlauch
Emilk schrieb:
Hi, also über den Reiserouter zeigt mir bei dem Befehl mit der Fritz DNS tatsächlich die IPV4 Adresse meiner Fritzbox an.
Zum Vergrößern anklicken....
= alles geht
Emilk schrieb:
Den Befehl mit der DynDNS einzugeben klappt nicht ganz. Sie ist sehr lange, komisches Format. Dort habe ich eine Domain und eine Account URL. Bei beiden kam kein Ergebnis
Zum Vergrößern anklicken....
= nix geht

Was denn nun? 😄

Die DynDNS-Adresse kannst Du Dir auch einfach in die Zwischenablage kopieren, dann musst Du sie auch nicht abtippen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 82 (Mitglieder: 4, Gäste: 78)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.657
Beiträge
47.589
Mitglieder
4.300
Neuestes Mitglied
R2B2-123

Teilen

Zurück
Oben