WireGuard VPN mit 2 Fritzboxen

[Braini]

Hallo Forum!
Ich möchte 2 Standorte mit 2 Fritzboxen (7590 und 7590 AX) über Wireguard verbinden. Die neueste FritzOS Labor Version ist jeweils drauf. Beide Fritzboxen haben MyFritz eingerichtet

Standort A: Fritzbox 7590 AX (7.39-101352 BETA)
Lokales Netz: 192.168.178.0
IP der Fritzbox: 192.168.178.1

Standort B: Fritzbox 7590 (7.39-101351 BETA)
Lokales Netz: 192.168.188.0
IP der Fritzbox: 192.168.188.1


Per Assistent füge ich jeweils die Verbindung wie folgt hinzu:

Standort A:

1. Verbindung hinzufügen
2. Benutzerdefinierte Einrichtung
3. Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? > Nein
4. Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden? > Nein
5. Handelt es sich um ein Einzelgerät (Laptop, Smartphone, Tablet) oder um einen WireGuard®-fähigen Router ( z.B. eine FRITZ!Box)? > WireGard fähiger Router
6. Name der Verbindung: VPN
7. Entferntes Netzwerk: 192.168.188.0 - Subnetzmaske: 255.255.255.0
8. NetBIOS über diese Verbindung zulassen: aktiviert
9. Speichern und wg_config.conf Datei sichern

Standort B:

1. Verbindung hinzufügen
2. Benutzerdefinierte Einrichtung
3. Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? > Ja
4. Name der Verbindung: VPN
5. Wählen Sie die Datei, aus der die WireGuard®-Einstellungen importiert werden sollen: > die o.g. wg_config.conf Datei importieren
6. NetBIOS über diese Verbindung zulassen: aktiviert
7. Fertigstellen

Die Verbindung wird angelegt und wird auch grün auf beiden Seiten, d.h. es wird konnektiert.

Ich kann jeweils aus dem anderen Netz die Fritzbox erfogreich anpingen. ABER: Keine andere IP im jeweils gegenüberliegenden Netz ist pingbar.
Warum ist das so? Was mache ich falsch, oder wo ist der Gedankenfehler?

 

[blurrrr]

Habe zwar keinerlei Erfahrung bzgl. Wireguard auf der Fritzbox, aber mal ganz blöd gefragt: Ist denn über IPSec-VPN (ebenfalls Fritzbox) irgendwas aus dem Remote-Netz anpingbar? Die Gerätschaften haben ja mitunter auch ihre Firewalls und verwerfen ggf. auch einfach die Anfragen aus fremden Netzen.

 

[Braini]

per IPSec habe ich es nicht probiert. Ein einfacher Ping an ein Windows PC z.B. würde immer durchgehen, denn ICMP zu blocken müsste man ja gesondert in der FW konfigurieren.

 

[blurrrr]

ABER: Keine andere IP im jeweils gegenüberliegenden Netz ist pingbar.

Ein einfacher Ping an ein Windows PC z.B. geht durch.

Na was denn jetzt? Gehen die Pings durch, oder nicht? Du beschreibst als "Problem", dass die Geräte nicht via Ping erreichbar wären, im nächsten Atemzug ist es kein Problem, da frage ich mich doch, wo jetzt das eigentliche Problem liegt?

ICMP zu blocken müsste man ja gesondert in der FW konfigurieren.

Das kommt wohl ganz auf die Voreinstellungen des jeweiligen Gerätes an.

 

[Braini]

sorry - das war wohl missverständlich ausgedrückt. habe es korrigiert.

 

[FSC830]

per IPSec habe ich es nicht probiert. Ein einfacher Ping an ein Windows PC z.B. würde immer durchgehen, denn ICMP zu blocken müsste man ja gesondert in der FW konfigurieren.

Nein, wenn die Route nicht stimmt, geht auch der Ping nicht.
Wenn ich mit Wireguard eine Verbindung zu meinem Heimnetz aufbaue, muss ich unter WIndoof immer erst die Route eintragen, dann geht alles.
Das ist aber eine Client Verbindung. Site-to-site habe ich IPsec, da ich keine Labor Firmware verwende.

Gruss

 

[blurrrr]

Ich kann jeweils aus dem anderen Netz die Fritzbox erfogreich anpingen. ABER: Keine andere IP im jeweils gegenüberliegenden Netz ist pingbar.

"Jeweils" würde ich jetzt so interpretieren, dass es sowohl von A nach B, als auch von B nach A funktioniert, aber ich glaube, das meintest Du so jetzt nicht, oder? Eventuell hilft es, einfach mal beide Fritzboxen (A+B) neuzustarten

Kannst Du denn die Fritzbox-Oberflächen jeweils aus dem gegenüberliegenden Netz aufrufen via HTTP? Wie sieht es mit anderen Gerätschaften in den jeweiligen Remote-Netzen aus (z.B. NAS, oder irgendwas, was z.B. eine Weboberfläche bietet)?

 

[FSC830]

Ich kenne WG so, das die WG Endpunkte eigene IPs haben, die abweichend vom jeweiligen lokalen Netzwerk sind.
Daher wäre die Frage welche Fritzbox IP angepingt werden kann: die des WG Netzwerkes oder wirklich die LAN-IP der Fritzbox im remote LAN?

Gruss

 

[Braini]

Es gibt Neues, aber am Ziel bin ich noch net.

ja, die Weboberflächen der Fritzboxen sind jeweils von beiden Seiten aus erreichbar. (Hatte ich schon damit abgehandelt, da ich sagte, dass sie pingbar sind)
Nun kam vor ein paar Tagen ein Labor Update heraus. 7.39-101352
Dort sind einige fixes zum WireGuard VPN drin.
(Changelog: "Verbesserung Interoperabilitätsverbesserung für WireGuard"

Seit dem bekomme ich jetzt wenigstens Verbindung von Standort A zu Standort B. Alle Geräte sind erreichbar und lassen sich anpingen.
Nur von B zu A ist es nachwievor nicht möglich.

*I am confused*

Ich habe daraufhin die Einrichtung umgedreht. Verbindungen gelöscht und dann neu angelegt, jedoch dann zuerst auf Standort B, dann auf Standort A. Gleiches Ergebnis. sollte ja aber auch eigentlich keinen Unterschied machen.