Wireguard VPN Tunnel zwischen Fritzbox 7590 und GL.iNet Router

[neuhier88]

Hallo Zusammen,

wie der Titel besagt möchte ich gerne einen VPN Zugang zwischen meinem Reiserouter (GL.iNet Modell: GL-A1300 Slate Plus) und meiner Fritzbox zuHause aufsetzen. Dabei möchte ich, das jeglicher Traffic zwischen dem Reiserouter (und Geräten die eben an diesem Router hängen) und der Fritzbox über die Wireguard VPN Verbindung läuft.

So weit so gut. Ich habe meine Fritzbox registriert, diese hat auch Wireguard Funktionalität und auch DDNS (ich vermute das benötige ich weil sich meine Telekom IP ja ständig ändert).

Allerdings weiß ich jetzt nicht wie ich diesen Wireguard Zugang einrichte sodass ich dann nurnoch den Reiserouter mitnehmen muss und dann direkt immer mit meiner eigenen deutschen IP surfen kann.

 

[tiermutter]

Ich kenne den Router nicht, daher kann ich auch nur die Anleitung dazu lesen: https://docs.gl-inet.com/router/en/4/tutorials/wireguard_client/

Hast Du das schonmal ausprobiert? Wenn ja, wo gibt es Probleme?
Wenn ich das Ad Hoc richtig sehe, wird dann schon automatisch alles durch das VPN geroutet; bei WG ist dazu auch das 0.0.0.0/0 entscheidend wie es in dem einem Bild bei 3b dargestellt ist.

 

[Boxenluder]

Ich habe meine Fritzbox registriert, diese hat auch Wireguard Funktionalität und auch DDNS (ich vermute das benötige ich weil sich meine Telekom IP ja ständig ändert).

Erstens kommt es darauf an, daß du dich an die AVM Hinweise hälst, die eigentlich einen MyFritz-Account vorgeben, der dann gleichzeitig als DynDNS dient. Wichtig auch die Konfiguration im Heimnetz zu konfigurieren und nicht über Fernzugriff oder IKEv1/2. Selbst geschnitzte WG-configs lassen sich nur bedingt einlesen.

Zweitens ist es nicht trivial, mit deinem "Reiserouter" auch immer einen geeigneten Internetzugang zu erwischen? Zuhause hast du mit der Telekom mutmaßlich Dualstack, wobei dabei die IP eigentlich nurnoch alle 6 Monate gewechselt wird, was für eine Reise planbar wäre. Vorsorglich würde ich das heimische Netzwerk auf einen nicht so gängigen IP-Bereich einstellen, da 192.168. ... und 100. ... doch vielerorts anzutreffen sind. Im Übrigen scheint der Router für schnelle VPN-Server ausgelegt zu sein? Der Uploadspeed des heimischen Anschlusses ist das Maß der VPN-Performance.
Just my 2 cent

 

[Stationary]

die eigentlich einen MyFritz-Account vorgeben, der dann gleichzeitig als DynDNS dient.

Warum soll es da auf einen Fritzbox-Account ankommen? Bei LAN-LAN-Kopplung, wie auch generell beim VPN-Zugang funktioniert doch jedes DynDNS, solange Du in der Fritzbox die Update-URL korrekt angelegt hast. Ich habe auf vier miteinander verknüpften Boxen nur spdyn als DDNS-Anbieter, bei keiner ist ein MyFritz-Account hinterlegt.
Das sollte also mit einem anderen Router ohne MyFritz funktionieren.

 

[Boxenluder]

Das Problem liegt nicht am DynDns perse bzw. welcher, sondern an den Möglichkeiten zwischen IPv4 und IPv6 switchen zu können. Du kennst deine Netze ja und kannst entsprechend Nachjustieren.
Bei einem Reiserouter weißt Du nicht, auf welche Zugangsart/Anschluss du triffst? Da können Firewalls, IPv4 mit CGNat, IPv6 in Mobilfunknetzen ... darunter sein, wo Wireguard bzw. LAN2LAN an seine Grenzen stösst. Oder hast du schonmal bei einer Hotelzimmerreservierung im Ausland derartige Feinheiten bzgl. "WLAN _im_Hause" vorab in Erfahrung bringen können?

 

[Barungar]

Da sehe ich aber für den VPN-Clients, was der Router in dem Fall, ist kein Problem.
IPv4 mit NAT, kein Problem, so lange ich der aktive Part im Aufbau der VPN-Verbindung bin und keine Pakete gefiltert werden.
IPv4/IPv6 egal, mein Router daheim ist über beide Protokolle erreichbar, somit kann der VPN-Client machen, was ihn glücklich macht.

 

[Stationary]

Und ich bin da vermutlich verwöhnt, da mein Reiserouter über LTE läuft und sich nicht an fremde Netzwerke anhängen muß.

 

[Boxenluder]

Schön wenn ihr dank Dualstack Zuhause und frei konfigurierbaren Wireguard für alles gewappnet seid. Hier geht es aber um eine 7590 und was AVM zulässt bzw. bisher vorgesehen hat. Und weil du @Stationary gerade so schwärmst? In einem anderen Forum will jmd. mit Salt.ch auf seine DS-Lite (IPv6) zugreifen! Keine Chance da Salt nur IPv4 macht. Ich selbst experimentiere gerade auch ein wenig mit Mobilfunk/Android mit durchwachsenen Ergebnissen, wobei manches nicht wirklich logisch erscheint. Leider sind Smartphones zwecks Logs und Analyse nicht sehr gesprächig, was sich in den APNs fortsetzt.

 

[Stationary]

@neuhier88 hat aber Telekom und bei einer 7590 als Router sehr wahrscheinlich einen VDSL-Anschluß. Damit hat der TE sehr wahrscheinlich auch Dualstack. Mein Gegenstück ist nämlich ebenfalls eine 7590.
Im Mobilfunkbereich ist auch vieles einfacher, wenn man dort Telekom-basiert unterwegs ist, da sich dort durch geeignete APN-Auswahl auch eine öffentliche IPv4 bekommen läßt. Das geht leider bei anderen Anbietern auch nicht so gut - bis gar nicht.
Mit LTE von der Telekom ist das hingegen selbst aus dem Ausland kein Problem.
Was die Kollegen in der Schweiz angeht: da fängt es ja schon oft mit der fehlenden Routerfreiheit an. Die beneide ich wirklich nicht.
Speziell zum Thema IPv4/IPv6 mit salt.ch gibt es übrigens eine recht gute Informationsseite: https://sacha.horovitz.ch/ipv4-et-ipv6-avec-salt-fiber/
Bei Salt hängt es davon ab, wann Du da Kunde geworden bist. Altkunden haben IPv4 ohne Chance auf Aktivierung von IPv6 und Neukunden haben IPv6. Letztere können gegen Aufpreis eine öffentliche IPv4 bekommen. Eventuell sollte der Kunde mit nur Salt-IPv4 einen Vertragswechsel in Betracht ziehen.

Ich bin nebenbei bemerkt auch kein Fan von diesen Miniroutern, die sich in Hotelnetzwerke einklinken sollen. Da hängst Du oft genug im Radius fest.

 

[Boxenluder]

Danke, den Linke von Salt kenne ich. Das betrifft leider nur Glasfaseranschlüsse und NICHT Mobilfunk/LTE. Daß beim Roaming in irgendeinem ausländischen Mobilfunknetz der hiesige Telekom APN t-d1.de eine öffentliche IPv4 liefern soll, verblüfft mich.
Ich lasse mich aber gerne positiv von @neuhier88 nach seiner Reise überraschen, wenn er nirgendwo auf Probleme stieß.

 

[Stationary]

Daß beim Roaming in irgendeinem ausländischen Mobilfunknetz der hiesige Telekom APN t-d1.de eine öffentliche IPv4 liefern soll, verblüfft mich.

Wenn ich dran denke schicke ich Dir übernächste Woche einen screenshot aus der 6820 von Sardinien aus. Die letzten Jahre hatte der Router in Sardinien immer eine IP aus der Kölner Region bezogen (laut what is my ip address)

 

[tiermutter]

Ich nutze den APN mit der öffentlichen v4 schon seit Jahren daheim als LTE Fallback, funktioniert tadellos, verwende den auch als VPN Fallback um WG und OVPN Verbindungen nach Hause aufzubauen wenn Glasfaser down ist. Funzt einwandfrei.

 

[Stationary]

@Boxenluder wie versprochen:






Dieses Mal ist die öffentliche IP, die der Router bezieht aus Bonn (braucht niemand versuchen, sich mit dem Router über die gezeigte IP zu verbinden, er ist schon neu gestartet worden und hat eine andere öffentliche IP bekommen).

 

[TunnelFetisch]

Hallo,

ich möchte noch einmal zurückkommen auf das ursprüngliche Problem von neuhier88.

Ich nutze seit ein paar Wochen einen Reiserouter (GL.iNet Modell: GL-AR750S Slate) von unterwegs zum Aufbau einer WireGuard (WG) Verbindung an eine Fritzbox 7530AX (FB). Funzt für die Datensicherung zwischen Remote und zuhause bislang eigentlich ganz gut. Einziges Problem: Endgeräte am Reiserouter können keine Verbindung ins Internet aufbauen. - Hab´ im WG-Protokoll natürlich "AllowedIPs = 0.0.0.0/0" eingestellt. Funktioniert irgendwie trotzdem nicht.

Beim Setup der Verbindung in der FB wird das WG-Protokoll von der FB ja automatisch erstellt. Die AllowedIPs-EInstellung im WG-Protokoll habe ich dann manuell auf o.g. Wert geändert, bevor ich das Protokoll in den Reiserouter importiert habe. Somit sollte der Reiserouter auch allen Traffic durch den WG-Tunnel leiten, was er auch zu tun scheint. Ich kann von Remote alle Geräte im Heimnetzwerk erreichen und umgekehrt. Nur wenn ich versuche eine Internetseite aufzurufen dann tut sich nix. Der Browser zeigt an, dass der Server der aufgerufenen Internetseite nicht erreichbar sei.

Kann es sein, dass die FB hier irgend etwas bockiert? Wie kann ich das ggf. lösen?

 

[blurrrr]

Hast Du mal etwas einfaches wie "ping 8.8.8.8" getestet? Wenn das funktioniert, wird es eher an der Namensauflösung liegen, das kannst Du dann direkt "nach" dem Ping auf die IP via "ping google.de" testen.

 

[TunnelFetisch]

Hallo blurrrr,

vielen Dank für den Tipp. Das scheint es zu sein. Während "ping 8.8.8.8" eine Antwort produziert, führt "ping google.de" zu einer Fehlermeldung. Disher habe ich stets nur in meinem privaten Netzwerk "rumgemacht", so dass ich von Namensauflösung gar keine Ahnung habe. Weist Du wie ich das gerade ziehe?

 

[blurrrr]

Teste erstmal weiter:

1) "nslookup google.de"
2) "nslookup google.de <interne IP Deiner entfernten Fritzbox>"
3) "nslookup google.de 8.8.8.8"

Beim ersten wird der Dir aktuell zugewiesene DNS-Resolver befragt. Beim zweiten Lauf wird ein DNS-Resolver angegeben, welcher zu befragen ist (in Deinem Fall eben die Fritzbox der Gegenstelle über ihre interne IP). Im dritten Fall wird einfach direkt bei Google nachgefragt.

Der Reise-Router "muss" ja auch für sich irgendeine Art der Verbindung ins Internet haben. Normalerweise - wie bei den meisten SOHO-Routern - bekommt der Router WAN-seitig vom ISP diese Daten zur Verfügung gestellt. Andersrum dürfen die Router-Clients den Router dann bzgl. der Namensauflösung befragen, wobei dieser die Anfragen ins Internet leitet. Wenn der Reise-Router sowieso "nur" via VPN genutzt wird, kannst Du theoretisch auch hingehen und an die Reise-Router-"Clients" (also LAN-seitig) als DNS die interne IP der Remote-Fritzbox vergeben, womit die DNS-Anfragen immer durch den VPN-Tunnel zu Deiner heimischen Fritzbox laufen. Alternativ kannst Du aber auch irgendwas anderes an DNS für die Clients angeben (z.B. 8.8.8.8+8.8.4.4, oder was auch immer Du möchtest)

 

[TunnelFetisch]

Hallo blurrrr,

super! Vielen Dank für die Hilfestellung.

Hier die Ergebnisse der drei Tests. Ich denke mal ich habe das produziert was Du erwartet hattest.

User@XXX-MBP ~ % nslookup google.de
Server:    XXX.XXX.32.1
Address:    XXX.XXX.32.1#53
** server can't find google.de: REFUSED

User@XXX-MBP ~ % nslookup google.de XXX.XXX.1.1
Server:    XXX.XXX.1.1
Address:    XXX.XXX.1.1#53

Non-authoritative answer:
Name:    google.de
Address: 142.250.185.131


User@XXX-MBP ~ % nslookup google.de 8.8.8.8
Server:    8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
Name:    google.de
Address: 142.250.185.131

Da der Reiserouter ja genau dazu dient sich ausschliesslich über die heimische FB einzuwählen, hab´ dort nun als DNS-Server die XXX.XXX.1.1, also die interne IP meiner FB, vor-eingestellt. Funktioniert einwandfrei!

Vielen Dank nochmals. Klasse! Ich hab´ hier schon wochenlang rum gegoogelt und gemacht, bevor ich auf dieses Forum hier gestossen bin.

 

[blurrrr]

Freut mich zu lesen

Server: XXX.XXX.32.1

Das Subnetz "32" dürfte wohl das intene Netz vom Reise-Router sein und dieser wird wohl auch DNS-technisch befragt. Warum dieser die Anfrage nicht ordentlich nach aussen weiterleitet, würde sich nur mutmaßen lassen, aber ich denke, wenn es eh nur via VPN genutzt wird, ist die Sache mit der Fritzbox als DNS-Resolver schon ganz in Ordnung, zumal dann auch direkt Dinge wie "http://fritz.box" und so funktionieren

 

[Börnd]

Hallo zusammen,

ich habe die gleiche Fragestellung wie neuhier88 bzw. TunnelFetisch.

Sprich zuhause habe ich eine FB 7590 auf welcher ich Wireguard VPN und MyFritz aktiviert habe. Hiermit kann ich mich z.B. mit meinem iPhone und der Wireguard App über VPN verbinden, klappt problemlos von überall aus ausserhalb des Heimnetzes.

Für unterwegs habe ich einen Reiserout von GL inet, den AC 1300 Beryl. Den Reiserouter verbinde ich im Urlaub mit einem dort vorhandenen WLAN und kann mich dann mit all meinen Geräten auf diesen verbinden, klappt auch problemlos.

Nun die Fragestellung:
Wie richte ich auf dem Reiserouter ein Wireguard VPN Verbindung zu meiner FB zuhause ein, sodass sämtlicher Verkehr per VPN Tunnel zwischen FB zuhause und dem Reiserouter welcher mit einem WLAN (z.B. im Hotel, Campingplatz,...) verbunden ist?

Danke vorab für Tips und Hilfestellungen.