Wireguard VPN Tunnel zwischen Fritzbox 7590 und GL.iNet Router

[rednag]

Hallo und willkommen im Forum @Börnd

Ich kenne weder den Router noch stecke ich tief im Thema VPN drin.
Ich vermute du musst eine Site2Site Verbindung zwischen dem Reiserouter und der heimischen Fritz!Box einrichten. Es sind hier aber etliche Leute vertreten welche dir da besser weiterhelfen können.

 

[Stationary]

Die Lösung ist eventuell hier zu finden: https://forum.heimnetz.de/threads/b...s-wireguard-zu-fritz-box-7530.3049/post-35058

 

[knuts]

Hallo zusammen,
Lieder klappt bei mir keiner der Lösungsansätze.
Komme immer nur auf die FB aber nicht in Internet.
Vielleicht hat ja jemand noch eine Idee.
Danke

 

[blurrrr]

Man könnte jetzt drölfzig und eine Idee in den Raum werfen, aber das wäre nicht grade zielführend... Wesentlich zielführender wäre es, wenn man nicht einfach nur "geht nicht" sagt, sondern mitteilt was man wie gemacht hat (z.B. anonymisierte Konfiguration posten)

 

[Adrian]

Guten Morgen zusammen, ich klinke mich hier auch mal ein, da ich ein ähnliches Problem habe. Mein Anliegen klingt komisch, dennoch hoffe ich, dass ihr mir weiterhelfen könnt. Ich habe ebenfalls den GL iNet Router der bei meinem Dad am VDSL Fritzrouter hängt und eine Verbindung zu meiner Fritte aufbauen soll. Die klappt auch. Bei meiner Fritte sehe ich, dass die Wireguard Verbindung besteht (grüner Punkt). Verbinde ich mich nun bei meinem Dad mit dem GL Router habe ich aber keinen Internetzugriff.

Hänge ich nun den GL Router aber eine LTE Fritte funktioniert es. Was mach ich falsch.

Vielen Dank für Eure Hilfe.

 

[rednag]

Hallo und willkommen im Forum @Adrian

Eventuell doch einen extra Thread aufmachen.

 

[Stationary]

@Adrian gibt es einen spezifischen Grund Deine Fritzbox mit einem GL.iNet Router hinter einer anderen Fritzbox zu verbinden und nicht direkt eine Verbindung direkt zwischen den beiden Fritzboxen herzustellen?

 

[neuhier88]

Hallo Zusammen!!!
It has been a while wie man so schön sagt.

Ich hatte meine Zugangsdaten nicht mehr daher gab es von mir zu meiner ursprünglich beschriebenen Situation kein Update.
Also was hatte ich in meinem Fall getan.

Ich hatte Fritzbox (7590 PZ) + Glinet Router (nennen wir Router A) zu Hause (GL.iNet Modell: GL-A1300 Slate Plus) und dann denselben Router (nennen wir Router B) nochmal zum mitnehmen.

Die Idee war das ich einen Wireguard Tunnel aufbaue zwischen Router A und B. Da Router A direkt an meiner Fritzbox hängt gehe ich dann mit meiner heimischen deutschen IP Adresse ins Internet.

Soweit so gut. Das hat tatsächlich auch funktioniert. Ich habe das positiv von mehreren Lokationen testen können. Allerdings habe ich immer wieder mal eine Fehlermeldung erhalten das DDNs nicht aktiv ist und ich vermute das wenn sich meine HomeISP IP Adresse ändert ich dann mit der Verbindung auf die Schnautze fliege.

-------------------------------------------------------------------------------------------------------------------------------------------------------

also dachte ich mir. Hey, meine Fritzbox kann auch Wireguard. Sie kann auch DDNS (über myfritz, habe ich registriert) also warum lasse ich nicht einfach Router A weg, der sollte doch obsolet sein. Und ich setze einfach eine Wireguard Verbindung zwischen Fritzbox und Router B auf.

Hört sich easy an. Aber ich scheitere schon bei dem Wireguard Widget auf der Fritzbox an dieser Stelle:



Name. Okay das bekomm ich noch hin.

Gesamten IPv4 Netzverkehr über die VPN Verbindung. Ja das verstehe ich auch noch (und das soll auch so sein. (*ALLES* soll über die Wireguard Verbindung)

Aber was soll ich bei Entferntes Netz und Subnetzmaske eintragen? Woher entnehme ich diese Infos?

 

[Stationary]

Exakt das, was da steht. Den IP-Bereich den Dein anderer Router aufspannt. Subnetzmaske 255.255.255.0, entferntes Netz das was Du in Deinem anderen Router verwendest. Nimm‘ an, Du hättest dort als Router-Adresse die 192.168.123.1 vergeben und Geräte bekommen von diesem Router 192.168.123.[2-255], dann trägst Du bei entferntes Netz 192.168.123.0 ein.
So wird das zumindest eingetragen, wenn Du Fritzboxen miteinander verbindest. Ob das so auch mit einem GLinet funktioniert, kann ich Dir mangels Hardware nicht sagen.

 

[neuhier88]

Auf den GLinet Router greife ich zu indem ich im Browser die 192.168.8.1 eingebe. Dann gehe ich mal davon aus 192.168.8.0 sollte kargehen bei der WireGuard server Konfiguration auf meiner Fritzbox. Ich werde das heute Abend mal testen. Danke!

 

[neuhier88]

Exakt das, was da steht. Den IP-Bereich den Dein anderer Router aufspannt. Subnetzmaske 255.255.255.0, entferntes Netz das was Du in Deinem anderen Router verwendest. Nimm‘ an, Du hättest dort als Router-Adresse die 192.168.123.1 vergeben und Geräte bekommen von diesem Router 192.168.123.[2-255], dann trägst Du bei entferntes Netz 192.168.123.0 ein.
So wird das zumindest eingetragen, wenn Du Fritzboxen miteinander verbindest. Ob das so auch mit einem GLinet funktioniert, kann ich Dir mangels Hardware nicht sagen.

Vielen Dank für deine Hilfe.

Ich habe jetzt eine spezielle Wireguard Verbindung über die Fritzbox erstellt. Habe das Config File dann auf dem GL.inet Router eingespielt. Sieht so aus:

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxx
Address = 192.168.8.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.178.0/24
Endpoint = xxxxxxx.myfritz.net:xxxxx
PersistentKeepalive = 25

So weit so gut. Der Wireguard Tunnel scheint auch aufbaubar zu sein. Ich sehe auf meiner Fritzbox zu Hause zumindest das eine letzte Aushandlung stattgefunden hat vor ein paar Minuten.

Allerdings scheine ich vom Laptop der am GL.inet Router hängt (nutze einfaches USB Tethering über mein Handy <-> GL.Inet Router) keine Internetverbindung zu haben. Woran könnte das liegen? Habe ich etwas übersehen oder müsste ich der Config noch manuell etwas hinzufügen?

 

[the other]

Moinsen,
hast du denn bei der Einrichtung an der Fritzbox den Haken gesetzt bei (siehe dein screenshot) "Gesamten IP Netzwerkverkehr..." (erste checkbox).
Damit sollte in der Konfig dann etwas wie

Allowed IPs = 0.0.0.0/0

erscheinen...

 

[neuhier88]

Moinsen,
hast du denn bei der Einrichtung an der Fritzbox den Haken gesetzt bei (siehe dein screenshot) "Gesamten IP Netzwerkverkehr..." (erste checkbox).
Damit sollte in der Konfig dann etwas wie

Allowed IPs = 0.0.0.0/0

erscheinen...

Ja den Haken hatte ich gesetzt. Ich bin allerdings verwirrt wo ich in der Config die IP Adresse der Fritzbox und wo die IP Adresse des Reiserouters eintragen soll.

For Reference nochmal:
-MeineFB (Router zu Hause, Wireguard Server: 192.168.178.1)
-ReiseRouter (Router zum mitnehmen, GL.iNet Modell: GL-A1300 Slate Plus: 192.168.8.1)


Die von der Fritzbox ausgespuckte Config sieht aus wie oben bereits gezeigt:

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxx
Address = 192.168.8.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.178.0/24
Endpoint = xxxxxxx.myfritz.net:59481
PersistentKeepalive = 25

Ich habe jetzt in einem anderen Forumpost (HeimnetzLink) gelesen das die Default Config der Fritzbox wohl nicht ausreichend ist für den Wireguard Client, dort gab es Erfolg mit der folgenden Config:

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.8.1/24
DNS = 192.168.178.1, 192.168.8.1

[Peer]
PublicKey = xxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.8.0/24, 0.0.0.0/0
Endpoint = xxxxxxx.myfritz.net:59481
PersistentKeepalive = 25

Ich bin MAXIMAL verwirrt, warum sind hier die IP Adressen so vertauscht. Müsste nicht das Interface einfach die FritzBox IP sein und die Peer IP die ReiseRouter IP und gut is?

 

[the other]

Moinsen,
ich bin hier leider nicht der wireguard Pro, da gibt es deutlich erfahrenere Menschen...
Trotzdem nach meinem bescheidenen Verständnis:
mit wireguard wird eigentlich zunächst eine peer to peer Verbindung (also zB von der gli box zur fritzbox) aufgebaut. Das geht ja auch bereits, du kannst ja die Fritzbox erreichen (oder? also auch durch den Tunnel auf die Fritzbox Oberfläche kommen, Anmelden usw?).
Wenn du aber mehr als nur eine Verbindung zwischen diesen beiden willst, dann ist die Allowed IP Zeile anzupassen.
Willst du zB den gesamten Verkehr darüber leiten (also "surfen durch den Tunnel", dann eben ergänzend mit 0.0.0.0/0 (ALLES!)

Oder was meinst du mit

warum sind hier die IP Adressen so vertauscht

??

 

[the other]

Moinsen,
ergänzend hier im Forum:
https://forum.heimnetz.de/threads/b...-slate-plus-wireguard-zu-fritz-box-7530.3049/ da bei Post #10 mal schauen
edit: uupsie, das ist der gleiche Beitrag, den du bereits verlinkt hast, sorry...

 

[neuhier88]

Moinsen,
ich bin hier leider nicht der wireguard Pro, da gibt es deutlich erfahrenere Menschen...
Trotzdem nach meinem bescheidenen Verständnis:
mit wireguard wird eigentlich zunächst eine peer to peer Verbindung (also zB von der gli box zur fritzbox) aufgebaut. Das geht ja auch bereits, du kannst ja die Fritzbox erreichen (oder? also auch durch den Tunnel auf die Fritzbox Oberfläche kommen, Anmelden usw?).
Wenn du aber mehr als nur eine Verbindung zwischen diesen beiden willst, dann ist die Allowed IP Zeile anzupassen.
Willst du zB den gesamten Verkehr darüber leiten (also "surfen durch den Tunnel", dann eben ergänzend mit 0.0.0.0/0 (ALLES!)

Oder was meinst du mit


??

Was mich so verwirrt ist, warum ist in der Config die von Fritzbox ausgespuckt wird als AllowedIP das Netz der Fritzbox?

Und bei der Config aus dem Forumpost die IP des entfernten Netzwerks stattdessen.

Beim Interface ist auch der DNS Eintrag ein anderer. Also aktuell verwende ich die untere Config. Aber auch das scheint nicht zu klappen.

Wie du schreibst, der Tunnel ist da. Es scheint auch was drüber geschickt zu werden. Aber Internet ist nich :/

 

[neuhier88]

Kleines Update. Es scheint auch so, dass wenn ich die Wireguard Verbindung aufbaue ... mein Rechner zu Hause der per LAN an der Fritzbox hängt ebenfalls nicht mehr ins Internet kommt. OMEGA strange

 

[the other]

Moinsen,
tja, mit der Einstellung werden eben ALLE Pakete durch den Tunnel geschleust. Und da kommt es dann ggf. wieder zu neuen Hürden...
Was genau willst du denn am Ende erreichen?
Also: soll der gesamte Traffic durch den Tunnel, willst du nur von entfernt auf dein Heimnetz? Oder gar nur auf die Fritzbox?

 

[neuhier88]

Ich will im Grunde sicherstellen das ich beim surfen + arbeiten aus meiner HeimIP Adresse aufs Internet zugreife.

 

[the other]

Moinsen,
Wenn du das willst, warum dann nicht an den externen clients wireguard als app installieren und damit die Verbindung herstellen?
Es gibt ja einmal deine Intention (du bist woanders und willst via Tunnel surfen unter der IP deines Heimanschlusses oder/und auf Ressourcen im Heimnetz zugreifen).
Dafür würde ich dann eben die Fritzbox vorbereiten und das Gerät, mit dem ich von unterwegs zugreife.
Dann gibt es ja aber auch die Intention, zwei Netzwerke eher dauerhafter miteinander zu verbinden (Netzwerk Standort 1 zu 2), da würde ich dann eher alles am wireguard Server selber (Fritzbox, anderer Router) einrichten, damit alle entfernten Ressourcen (Drucker, Fileserver, Backupserver usw) eben via Tunnel erreichbar sind.
Dritte Intention, deine fritzbox soll sich mit einem der ominösen VPN Anbieter ("anonym surfen" als Werbeversprechen) via wireguard verbinden...wieder was anderes.
Wenn du also nur von außerhalb mit einem Gerät (Smartphone, laptop, pc) via heimische IP ins Internet willst und ab und zu mal auf dein NAS daheim, dann würde ich Nr 1 denken...also am liegt statt am gli router einrichten.