Wireguard VPN Tunnel zwischen Fritzbox 7590 und GL.iNet Router

[neuhier88]

Leider kann ich auf dem Endgerät (Geschäftslaptop) keinen Wireguard Client installieren. Sonst wäre das sicherlich meine Wahl gewesen. Wie ich aber oben beschrieben hatte, hat das Setup mit zwei GL.inet Routern (einer direkt per Ethernet an meiner Fritzbox und der andere als Reiserouter wie gewohnt) perfekt geklappt.

Ich frage mich wieso das mit der Fritzbox nicht funktioniert. Ich muss doch in der Config irgendwas übersehen haben.

 

[Stationary]

Zwei und mehr Fritzboxen funktionieren auch gut (ich habe vier mit WG zusammengeschaltet).
Also nochmal zur Konfiguration. Erstellst Du die von Hand, oder importierst Du einfach nur die Konfigurationsdateien (ich bevorzuge es, zumindest auf einer Seite immer die Konfiguration manuell zu erstellen, das geht gerade mit den etwas problematischeren Boxen 7490 und 6820 besser).
Wird der Button in der Fritzbox grün, aber Du kannst nichts machen? Stimmen die ausgetauschten Schlüssel?

Kannst Du in der FB mal alle WG-Konfigurationen löschen? Dann zuerst eine für ein Smartphone anlegen, damit die Fritzbox ihren öffentlichen Schlüssel und ihren Port festlegt (sonst wechselt beides jedesmal, wenn Du nur die Konfiguration zu einem anderen Router hast und wieder löscht). Dann den öffentlichen Schlüssen der FB und ihre DynDNS-Adresse/myfritz-Adresse und den WG-Port anzeigen lassen. Mit diesen Daten im anderen Gerät manuell die Konfiguration anlegen. Dort dann die Konfiguration exportieren. Diese Konfiguration dann in der Fritzbox durch Import wieder hinzufügen.

 

[Stationary]

Wireguard Tunnel scheint auch aufbaubar zu sein. Ich sehe auf meiner Fritzbox zu Hause zumindest das eine letzte Aushandlung stattgefunden hat vor ein paar Minuten.

Allerdings scheine ich vom Laptop der am GL.inet Router hängt (nutze einfaches USB Tethering über mein Handy <-> GL.Inet Router) keine Internetverbindung zu haben. Woran könnte das liegen?

Das klingt wie falsch ausgetauschte Schlüssel. Dann steht die Verbindung anscheinend (wird grün angezeigt), aber nichts funktioniert.

 

[Barungar]

Wie ich aber oben beschrieben hatte, hat das Setup mit zwei GL.inet Routern (einer direkt per Ethernet an meiner Fritzbox und der andere als Reiserouter wie gewohnt) perfekt geklappt.

Wenn die WG-Verbindung doch mit den beiden GL.inet geklappt hat... wieso dann die FritzBox? Warum lässt Du nicht weiterhin die beiden GL.inet Router die WG-Verbindung machen?

 

[neuhier88]

Zwei und mehr Fritzboxen funktionieren auch gut (ich habe vier mit WG zusammengeschaltet).
Also nochmal zur Konfiguration. Erstellst Du die von Hand, oder importierst Du einfach nur die Konfigurationsdateien (ich bevorzuge es, zumindest auf einer Seite immer die Konfiguration manuell zu erstellen, das geht gerade mit den etwas problematischeren Boxen 7490 und 6820 besser).
Wird der Button in der Fritzbox grün, aber Du kannst nichts machen? Stimmen die ausgetauschten Schlüssel?

Kannst Du in der FB mal alle WG-Konfigurationen löschen? Dann zuerst eine für ein Smartphone anlegen, damit die Fritzbox ihren öffentlichen Schlüssel und ihren Port festlegt (sonst wechselt beides jedesmal, wenn Du nur die Konfiguration zu einem anderen Router hast und wieder löscht). Dann den öffentlichen Schlüssen der FB und ihre DynDNS-Adresse/myfritz-Adresse und den WG-Port anzeigen lassen. Mit diesen Daten im anderen Gerät manuell die Konfiguration anlegen. Dort dann die Konfiguration exportieren. Diese Konfiguration dann in der Fritzbox durch Import wieder hinzufügen.

Das kann ich gerne mal ausprobieren und dann berichten. Ich sichere mir die Config sicherheitshalber mal.

Wenn die WG-Verbindung doch mit den beiden GL.inet geklappt hat... wieso dann die FritzBox? Warum lässt Du nicht weiterhin die beiden GL.inet Router die WG-Verbindung machen?

Weil ich es leider nicht richtig hinbekommen habe das DDNS meiner Fritzbox (oder des Wireguard Server GL.inet Routers, die scheinen auch mit DDNS zu kommen) richtig zu nutzen. D.h. wenn sich meine ISP IP ändert dann müsste vermutlich jemand meinen Router zu Hause neustarten bevor ich wieder draufkomme. Aber das ist nur gefährliches Halbwissen.

Ich dachte Fritzbox wäre einfach eleganter weil ich dann den zweiten Router zu Hause nicht benötige ...

 

[Barungar]

Bei einem Tunnel zwischen den beiden GL.inet-Routern wird es wieder das typische IPv4 und IPv6 Issue sein.
Die FritzBox kennt die korrekte IPv4 und der GL.inet kennt die korrekte IPv6.
Aber nicht umgekehrt. Du bräuchtest also ein DDNS-Namen bei dem man getrennt die IPv4 und die IPv6 updaten kann.
Die FritzBox müsste den A-Record (DNS-Name für IPv4) und der GL.inet müsste den AAAA-Record (DNS-Name für IPv6) updaten.

Wenn Du den DDNS-Namen nur auf einem von beiden Updaten lässt, dann hast Du das Pech jenachdem ob Deine Gegenstelle IPv4 oder IPv6 hat falsch zu laufen.

Um dieses "Problem" voll zu analysieren müsste man auch wissen, welche IP-Versionen den jeweiligen Endpunkten jeweils wann zur Verfügung stehen.

Falls Du "nur" IPv4 nutzen willst/kannst; dann müsste es klappen, wenn die FritzBox DDNS macht und den WireGuard-Port des GL.inet-Routers hinter ihr auf dessen "interne" IP in ihrem Netz per Portweiterleitung liefert.

Für IPv6 müsstest Du an der FritzBox zusätzlich eine Portfreigabe auf das IPv6-Interface des GL.inet-Router in IPv6-Subnetz der FritzBox machen.

 

[Stationary]

Du bräuchtest also ein DDNS-Namen bei dem man getrennt die IPv4 und die IPv6 updaten kann.

Würde es eventuell helfen, nicht auf myfritz Rückgriff zu nehmen. Ich habe an allen meiner vier Boxen eine öffentliche IPv4. An drei Boxen ist nur ein DynDNS bei spdyn hinterlegt, bei der Kabelbox ist sowohl myfritz eingeschaltet als auch bei spdyn ein Eintrag hinterlegt. Die Einträge bei spdyn sind A-AAAA, also sowohl IPv4 als auch IPv6, ich lasse dort beides aktualisieren.
Bei der Kabelfritzbox ließ sich Wireguard nur anlegen, wenn auf die myfritz-Adresse verwiesen wurde, ich habe es nicht geschafft, eine Verbindung dorthin zu erstellen, wenn der spdyn-Eintrag verwendet wurde (obwohl die dort hinterlegte IP-Adresse stimmte).
Was nun auffällt, beispielsweise in der Liste, die man in der 5690 einsehen kann, ist, daß die beiden Boxen, die nur bei spdyn Einträge haben, dort mit ihrer IPv6-Adresse geführt werden, während die Kabelbox mit einer IPv4-Adresse geführt wird.
Hilft es also möglicherweise, DynDNS nicht über myfritz zu stellen?

 

[neuhier88]

Zwei und mehr Fritzboxen funktionieren auch gut (ich habe vier mit WG zusammengeschaltet).
Also nochmal zur Konfiguration. Erstellst Du die von Hand, oder importierst Du einfach nur die Konfigurationsdateien (ich bevorzuge es, zumindest auf einer Seite immer die Konfiguration manuell zu erstellen, das geht gerade mit den etwas problematischeren Boxen 7490 und 6820 besser).
Wird der Button in der Fritzbox grün, aber Du kannst nichts machen? Stimmen die ausgetauschten Schlüssel?

Kannst Du in der FB mal alle WG-Konfigurationen löschen? Dann zuerst eine für ein Smartphone anlegen, damit die Fritzbox ihren öffentlichen Schlüssel und ihren Port festlegt (sonst wechselt beides jedesmal, wenn Du nur die Konfiguration zu einem anderen Router hast und wieder löscht). Dann den öffentlichen Schlüssen der FB und ihre DynDNS-Adresse/myfritz-Adresse und den WG-Port anzeigen lassen. Mit diesen Daten im anderen Gerät manuell die Konfiguration anlegen. Dort dann die Konfiguration exportieren. Diese Konfiguration dann in der Fritzbox durch Import wieder hinzufügen.

Also habe ich das richtig verstanden?

1. Ich habe alle Wireguard Tunnel auf FB gelöscht.
2. Ich habe einen neuen Server fürs Handy angelegt
3. Habe den public und private key da rauskopiert
4. Habe jetzt einfach eine neue Konfig erstellt unter Wireguard Client und dort die neuen Keys rein, sieht so aus:

[Interface]
Address = 192.168.8.1/24
PrivateKey = xxxxxxxxxxxxxxxxxxxxqQ7pF0aIzBZX0nZZnI=  .........das sind die Keys die ich von der FB habe
DNS = 192.168.178.1, 192.168.8.1
MTU = 1420

[Peer]
AllowedIPs = 192.168.8.0/24, 0.0.0.0/0
Endpoint = xxxxxxxxxxxxx.myfritz.net:53868
PersistentKeepalive = 25
PublicKey = xxxxxxxxxxxxxvoxxxx3o/ylQt6AS3p2xKp3hg=   .........das sind die Keys die ich von der FB habe
PresharedKey = Muss hier was drinstehen???

Was tue ich jetzt?

 

[neuhier88]

Würde es eventuell helfen, nicht auf myfritz Rückgriff zu nehmen. Ich habe an allen meiner vier Boxen eine öffentliche IPv4. An drei Boxen ist nur ein DynDNS bei spdyn hinterlegt, bei der Kabelbox ist sowohl myfritz eingeschaltet als auch bei spdyn ein Eintrag hinterlegt. Die Einträge bei spdyn sind A-AAAA, also sowohl IPv4 als auch IPv6, ich lasse dort beides aktualisieren.
Bei der Kabelfritzbox ließ sich Wireguard nur anlegen, wenn auf die myfritz-Adresse verwiesen wurde, ich habe es nicht geschafft, eine Verbindung dorthin zu erstellen, wenn der spdyn-Eintrag verwendet wurde (obwohl die dort hinterlegte IP-Adresse stimmte).
Was nun auffällt, beispielsweise in der Liste, die man in der 5690 einsehen kann, ist, daß die beiden Boxen, die nur bei spdyn Einträge haben, dort mit ihrer IPv6-Adresse geführt werden, während die Kabelbox mit einer IPv4-Adresse geführt wird.
Hilft es also möglicherweise, DynDNS nicht über myfritz zu stellen?
Anhang anzeigen 8193

sorry das hat mich komplett rausgehauen xD
Ich verstehe garnichts mehr

 

[neuhier88]

Sorry das ich da nochmal störe. Ich bin leider etwas aufgeschmissen und kann den Root Cause nicht ermitteln ohne eure Hilfe :-/

Ich habe inzwischen das "alte" Setup ( FB <> GLA-1300 (Wireguard Server <> GLA-1300 (Wireguard Client) ) nochmal getestet. Scheint aktuell problemlos zu funktionieren. Habe allerdings weiterhin Angst das es mit dem DDNS zu Problemen führen könnte.