WireGuard Verbindung Site2Site zwischen Fritzbox 7690 und Cudy LT500E

[firechumper]

Hallo Zusammen,

komme leider nicht mehr wirklich weiter...

Situation:

Ich habe zwischen den zwei Routern (endlich) erfolgreiche eine Wireguard-Verbindung aufbauen können.
Allerdings klappt das Routing noch nicht wirklich.

FritzBox = IP 192.168.2.1
Cuddy: IP 192.170.2.1

Ich komme aus dem Fritzbox-Netzwerk auf den Cudy Router über die IP 192.168.2.204.
Ich komme aus dem Cudy-Netzwerk auf die FritzBox über die IP 192.168.2.1
Ebenso erreiche ich aus dem Cudy Netzwerk über die IP Eingabe 192.168.2.50 meinen Raspi welcher im Fritz-Netzwerk ist.
Aus dem FritzBox Netzwerk erreiche ich allerdings einen Shelly (192.70.2.130) der im Cudy Netzwerk ist NICHT.
Am Routing habe ich nichts verändert, da ich hier zu wenig Ahnung habe.

1. Ziel: Alle Geräte aus beiden Netzwerken erreichen
2. Ziel (wenn möglich) : Die Geräte im Cudy Netzwerk über eine IP aus dem Fritzbox-Netzwerk erreichbar zu machen (wenn da funktioniert)

Einstellungen FritzBox




Einstellungen Cuddy



Wäre mega dankbar über Hilfe.

Vielen Dank!

 

[the other]

Moinsen,
Warum hat der, die, das Cuddy Gerät eine IP Adresse außerhalb des IP Bereiches, der für private genutzte Adressen vorgesehen ist?
Schau zum Thema mal hier: https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/

 

[Stationary]

Cuddy: IP 192.170.2.1

Shelly (192.70.2.130)

Das sind schon mal Adressen aus zwei verschiedenen Bereichen. Zudem, wie schon @the other angemerkt hat, nicht aus einem für Heimnetze vorgesehenen Bereich.

Ansonsten stimmt in der Fritzbox die Einstellung für das Netzwerk der Gegenstelle nicht. 192.168.2.204/32 ist exakt das Endgerät, in Deinem Fall der Cudy. Wenn Du da mehr erreichen willst, muß da die Netzwerkadresse der Gegenstelle hinein, in Deinem Fall würde das 192.170.2.0/24 entsprechen.
Da würde ich aber noch mal nacharbeiten, dem Cudy-Netzwerk würde ich 192.168.10.0/24 geben, d.h. der Cudy hat dann als Adresse 192.168.10.1, der Shelly hätte dann 192.168.10.130, und in die Fritzbox kommt als verwendetes IP-Netzwerk der Gegenstelle 192.168.10.0/24.

 

[Stationary]

Zudem sehe ich gerade: das ist als WG-Geräteverbindung eingerichtet, das muß als WG-Netzwerkverbindung eingerichtet werden.

 

[firechumper]

Schon mal vielen Dank für eure Hilfe.
Das mit dem "IP-Chaos" habe ich behoben.

Cudy hat jetzt das Netz 192.168.50.1

Ansonsten stimmt in der Fritzbox die Einstellung für das Netzwerk der Gegenstelle nicht. 192.168.2.204/32 ist exakt das Endgerät, in Deinem Fall der Cudy. Wenn Du da mehr erreichen willst, muß da die Netzwerkadresse der Gegenstelle hinein, in Deinem Fall würde das 192.170.2.0/24 entsprechen.
Da würde ich aber noch mal nacharbeiten, dem Cudy-Netzwerk würde ich 192.168.10.0/24 geben, d.h. der Cudy hat dann als Adresse 192.168.10.1, der Shelly hätte dann 192.168.10.130, und in die Fritzbox kommt als verwendetes IP-Netzwerk der Gegenstelle 192.168.10.0/24.

Weißt du wie man das in der fritzbox ändert? Habe ich vielleicht schon von Anfang an einen Fehler gemacht in dem ich eine WireGuard Geräteverbindung und keine Server2Server Verbindung gemacht habe?

 

[Barungar]

192.170.2.1

Du weißt aber schon, dass das eine öffentliche IP ist, die der Firma Hewlett Packard gehört?
Sowas sollte man nicht tun, einfach öffentliche IPs für seine privaten Netze nutzen.

Edit: Ups, zu langsam...

 

[Stationary]

Weißt du wie man das in der fritzbox ändert? Habe ich vielleicht schon von Anfang an einen Fehler gemacht in dem ich eine WireGuard Geräteverbindung und keine Server2Server Verbindung gemacht habe?

Siehe #4

Zudem sehe ich gerade: das ist als WG-Geräteverbindung eingerichtet, das muß als WG-Netzwerkverbindung eingerichtet werden.

 

[firechumper]

So habe die Verbindung seitens der Fritzbox geändert und die Konfigdatei in den Cudy Router gespielt.
Ergebnis: Die Fritzbox zeigt einen verbundenen Tunnel... allerdings erreiche ich (auch über ping) keine Geräte (weder von der Fritzbox noch vom Cudy aus).

Der Cudy-Router ist ebenfalls nicht mehr über seine IP 192.168.50.1 mit einem direkt verbundenen Gerät erreichbar. Hat auch keine Internetverbindung mehr.

Einstellungen Fritzbox:


Einstellungen Cudy


Auszug aus der Konfigdatei (von FritzBox bereitgestellt)

[Interface]
PrivateKey = XXXXXXXXXXXXXX620vOrca1dfkvRDHY=
Address = 192.168.50.1/24
DNS = 192.168.2.1
DNS = fritz.box

[Peer]
PublicKey = XXXXXXXXXXXXXXXXKGaXMicwG38PV8eH8=
PresharedKey = XXXXXXXXXXXXXXXXXBW9mbF4hx8tCnRzQNJpCCaQ=
AllowedIPs = 192.168.2.0/24
Endpoint = XXXXXXXXXXXXXXj.myfritz.net:51415
PersistentKeepalive = 25

 

[Stationary]

fritz.box als DNS Domain der Gegenstelle scheint mir schon mal nicht zu stimmen. Die Gegenstelle ist ja der Cudy Router.
Dann ist der Cudy Router als Client definiert. Was gibt es da noch für Möglichkeiten?
Hast Du in den Cudy eine Einstellungsdatei aus der Fritzbox hochgeladen, oder wie wird der konfiguriert?
In der Konfigdatei, die Du da zeigst, sehe ich nirgendwo eine DynDNS-Adresse des Cudy Routers. Wie also soll der erreicht werden können? Der für den Peer angegebene Endpoint ist der Deiner Fritzbox, da muß aber der Endpoint des Cudy stehen.

 

[firechumper]

fritz.box als DNS Domain der Gegenstelle scheint mir schon mal nicht zu stimmen. Die Gegenstelle ist ja der Cudy Router.
Dann fritz.box rauslöschen und ersetzten durch die IP des Routers 192.168.10.1?

Dann ist der Cudy Router als Client definiert. Was gibt es da noch für Möglichkeiten?

Die hier:

Hast Du in den Cudy eine Einstellungsdatei aus der Fritzbox hochgeladen, oder wie wird der konfiguriert?
Ja genau war die Datei welche die Fritzbox nach der Konfig ausgespuckt hat

In der Konfigdatei, die Du da zeigst, sehe ich nirgendwo eine DynDNS-Adresse des Cudy Routers. Wie also soll der erreicht werden können? Der für den Peer angegebene Endpoint ist der Deiner Fritzbox, da muß aber der Endpoint des Cudy stehen.
Dachte eine DnyDns der FritzBox würde reichen... (sorry Anfänger)... habe jetzt noch dem Cudy eine DynDns eingerichtet.

In einem Video heisst es, dass quasi einer der Client ist (obwohl Server) und der dann keine statische Adresse benötigt.

 

[Stationary]

dass quasi einer der Client ist (obwohl Server) und der dann keine statische Adresse benötigt.

Das kann funktionieren, wenn sich der Client verbindet. Bei LAN-LAN-Kopplungen, und eine solche versuchst Du aufzubauen, ist meiner persönlichen Erfahrung nach das Vorhandensein von DynDNS-Adressen bei allen beteiligten Routern besser. Allerdings habe ich diesbezüglich nur Erfahrung mit Fritzboxen, von denen bei uns vier Stück über Wireguard gekoppelt sind.

Kann man aus dem Cudy auch eine Einstellungsdatei herunterladen?

 

[firechumper]

Nur wenn ich Ihn als Server Konfiguriere... ansonsten nur Import und kein Export.

 

[Stationary]

Ich sehe gerade, daß AVM die Eingabemaske für LAN-LAN-Kopplungen geändert hat. Jetzt muß/kann man da eine IPv6 eintragen. Dafür gibt sehe ich kein Eingabefeld mehr führ die öffentliche (DynDNS) Adresse der Gegenstelle und den verwendeten WG-Port. Früher war das wie hier unter Punkt 4 gezeigt.

 

[NinjaTurtle]

Hallo zusammen,
Ich bin mit dem gleich problem am kämpfen.
Ich komme aber von der FritzBox auf die Geräte hinter dem Cudy obwohl dieser keine öffentliche IP hat sondern nur die FritzBox
über DynDNS.
Ich kann aber vom Cudy weder ins Internet noch auf die FritzBox zugreifen.

 

[DonnerGunther]

Ich habe genau das gleiche Problem. Wenn ich das Netzwerk als LAN-LAN einrichte und nichts weiter angebe, dann habe ich nach erfolgreicher Verbindung gar keinen Zugriff mehr auf den Cudy und auch aus dem Netzwerk des Cudy keinen Zugriff mehr aufs Internet.

Fritznetz: 192.168.0.0
Cudynetz: 192.168.10.0

1. Variante (Vollzugriff (zumindest Ping) vom Fritznetz auf das Cudynetz):

Wenn ich beim Cudy bei Interface-IP-Adresse nicht die 192.168.0.1 angebe, sondern z. B. die 10.10.10.1, dann kann ich aus dem Fritznetz alles, aus dem Cudynetz, außer den Cudy selbst, also 192.168.0.1, anpingen. Ich habe es mit drei Geräten aus dem Cudynetz ausprobiert. Und ich komme dann aus dem Cudynetz auch weiterhin auf den Cudy.

Wenn ich bei VPN-Policy Remote Subnet und die IP 192.168.0.0 mit der Subnetzmaske 255.255.255.0 angebe, haben meine Geräte aus dem Cudynetz weiterhin Internet. Ich glaube, damit sage ich ihm: Tunnel bitte nur die Anfragen zum Remote-Netz und sonst nichts anderes.

Wenn ich beim Cudy bei Interface-IP-Adresse dann auch noch z. B. die 192.168.0.209 angebe, also eine aus dem Fritznetz, kann ich, glaube ich, sogar alles vom Fritznetz aus im Cudynetz anpingen, auch den Cudy selbst.

2. Variante (Vollzugriff vom Cudynetz auf das Firtznetz):

Wenn man nur die Geräte im Fritznetz vom Cudynetz aus erreichen möchte, kann man auch in der Fritzbox eine LAN-LAN-Verbindung einrichten, aber am Ende nicht einen Wireguard-fähigen Router angeben, sondern ein Einzelgerät. Mit den Einstellungen hatte ich vom Cudynetz vollen Zugriff auf beide Netze, aber vom Fritznetz aus nur auf das Fritznetz. Das ist jetzt meine Qual der Wahl. Eigentlich müsste ich entweder die erste Variante nehmen und dann im Cudy ein statisches Routing einstellen oder die zweite, wie auf dem Bild, und in der Fritzbox ein statisches Routing einstellen. Allerdings geht das in der Fritzbox nicht, weil sie meinte, dass meine IP, also die 192.168.0.209, die der Cudy über die Config-Datei bekommen hat, außerhalb des IP-Adressbereiches der Fritzbox liegt.



3. Hilfe:

Falls euch irgendwas an meiner Konfiguration aufgefallen ist, was ich vielleicht noch ändern könnte, damit einfach beide Netze gegenseitigen Vollzugriff haben, sagt mir bitte Bescheid.

 

[NinjaTurtle]

Ich habe es gelöst in dem ich eine Wireguard-Sever auf einem Raspi gehostet habe und im Cudy eine Route zum FritzBox Netzwerk erstellt hab.
Mittlerweile betreibe Ich ein Unifi-Netzwerk da ging es ohne Raspi und ohne Probleme.