Zwei FritzBoxen über VPN (WireGuard) - Kein Zugriff auf Daten möglich

[pfaelzerwildsau]

Leider war meine Suche bisher erfolglos, daher stelle ich hier meine Frage.
Sollten bereits Antworten/Lösungen bestehen, reicht mir ein Link dazu.

Wir haben an zwei Standorten je eine FB 7590 und FB 7590ax.
Beide hängen am DSL (Telekom).
In der Vergangenheit haben wir einen VPN (IPSec) zwischen den Boxen erfolgreich hergestellt.
Nachdem nun beide Boxen die offizielle Firmware 7.50 besitzen, wollten wir den VPN-Tunnel mittels WireGuard aufbauen.
IPSec gelöscht und beide Boxen gemäß AVM-Anleitung via WireGuard eingerichtet.
(https://avm.de/service/vpn/wireguar...etzwerken-einrichten/dok2/3448_VPN-mit-FRITZ/)
Anschließend wird unter Freigabe die Verbindung auch mit einem grünen Punkt signalisiert, jedoch ist kein Zugriff auf Resourcen im entfernten Netzwerk möglich.
Selbst ein Ping auf ein freigegebenes Gerät scheitert.

Sowohl MyFRITZ!-Konto, als auch MyFRITZ!-Internet sind auf beiden Seiten aktiv.
Auch besitzen beide Fritzboxen unterschiedliche lokale Netzwerknummern (war bereits für IPSec erforderlich)

die "Einfache Einrichtung" für Smartphone und Tablet funktionieren nach der Einrichtung auf Anhieb fehlerfrei.

Wir möchten das gerne mit WireGuard umsetzen, weil dabei der Zugriff auf einzelne Geräte beschränkt werden kann.
Für den Tunnel wurden auf beide Seiten folgende Optionen eingestellt:
Gesamten Netzwerkverkehr über VPN: Nein
NetBIOS über diese Verbindung zulassen: Ja
Nur bestimmte Geräte erreichbar: Ja (jeweils 2 Geräte auf einer Seite)

Neuboot der Boxen hat nichts gebracht, auch vereinzelte Paramter aktivieren/deaktivieren waren erfolglos.
Auch das Löschen der vorhandenen VPN WireGuard für Endgeräte (Smartphone & Tablet) vor der Einrichtung, brachte keinen Erfolg.

Woran kann das jetzt noch liegen?

Früher in der Labor-Software (7490ax) hatte ich dieses Phänomen auch schon bei einem Windows-Notebook, der über WireGuard angebunden werden sollte.
Auch da war der Connect erfolgreich, jedoch war kein Zugriff auf Daten möglich (damals noch ohne Geräteeinschränkungen).
Ich habe das Problem aber nicht weiter verfolgt, das Notebook einfach unter IPSec eingerichtet.

Ich würde mich über Antworten sehr freuen.

 

[blurrrr]

Wir möchten das gerne mit WireGuard umsetzen, weil dabei der Zugriff auf einzelne Geräte beschränkt werden kann.

Da wäre wohl "accesslist" (IPSec) Dein Freund gewesen, aber nujut...

Woran kann das jetzt noch liegen?

Zum Beispiel daran, dass die Fritzbox behauptet, dass der Tunnel aufgebaut wäre, er aber nicht aufgebaut ist. Alternativ ist die Konfiguration falsch. Oder die "falschen" Geräte wurden "erlaubt", etc. Auch soll zwischendurch mal ein Neustart so einer Fritzbox ganz gut tun (im besten Fall einfach direkt "beide" Seiten) und manchmal hilft auch - sofern dort etwas passendes vorhanden ist - ein Blick ins Log der "beiden" Fritzboxen

 

[pfaelzerwildsau]

Die Konfiguration wurde bei beiden Boxen strikt nach AVM-Anleitung durchgeführt.
Beide Boxen wurde anschließend neu gebootet.
Bei beiden Boxen wurde der eingeschränkte Zugriff auf bestimmte Geräte rausgenommen, wobei eine "falsche IP-Adresse ansprechen" eigentlich ausgeschlossen war, die entsprechenden IP-Adressen sind seit Jahren bekannt und haben sich auch nicht geändert.
In der Log-Datei kann der erfolgreiche Verbindungsaufbau zur Gegenstelle nachgelesen werden.
Trotzdem ist weiterhin kein Zugriff/Ping auf ein Gerät im entfernten Netzwerk möglich.

Hat schon mal jemand nach AVM-Anleitung erfolgreich eine VPN-Verbindung (WireGuard) zweier Fritzboxen durchgeführt?

 

[Barungar]

Nope, ich bin eher von der IPsec-Fraktion.

 

[the other]

Moinsen,
muss ebenfalls verneinen, kein VPN auf der Fritzbox (und wenn, dann kein wireguard, da neige ich auch eher zu IPsec...).

 

[Stationary]

Ein beliebter Fehler beim Einrichten von LAN-LAN-Kopplungen (unter Wireguard wie auch unter IPsec) ist, bei der IP-Adresse des jeweils entfernten Netzwerkes anstelle von x.y.z.0 x.y.z.1 eingetragen zu haben. Das kannst Du ausschließen?

 

[pfaelzerwildsau]

Yep, auch diesen Fehler kann ich auf beiden Seiten ausschließen.
Trotzdem danke für den Hinweis. Manchmal sieht man ja den Wald vor lauter Bäumen nicht.

 

[blurrrr]

Das hier wäre evtl. noch eine Möglichkeit https://twitter.com/kevin_schley/status/1618014380012245001... habe aber selbst auch kein Wireguard im Einsatz.

 

[Boxenluder]

Die Telekom bietet imho echten DualStack an. Da sollten auf beiden Seiten die IPv6-Einstellungen besser identisch sein. Falls MyFritz als DynDNS verwandt wird.
Da Clients aus dem Mobilfunknetz zumeist IPv6 verwenden, kann es gefühlt besser laufen.
Ein Versuch ist es wert.

 

[Stationary]

Da Clients aus dem Mobilfunknetz zumeist IPv6 verwenden, kann es gefühlt besser laufen.

Hier geht es doch um LAN-LAN-Kopplung von zwei Boxen mit jeweils DSL?

 

[Boxenluder]

Neben LAN-LAN können auch andere VPN-Clients eingerichtet sein? Falls auf der einen Box IPv6 Unterstützung aktiviert und auf der anderen nicht, kann es zu Problemen führen, da gefühlt das interne Routing zwischen IPv4- und IPv6-Clienten in der Firmware nicht immer reibungslos funktioniert.

 

[pfaelzerwildsau]

Genau. Zwei Boxen jeweils über DSL angebunden.
Mittlerweile läuft unsere WireGuard-Verbindung.

Was haben wir gemacht:
Nachdem WireGuard nicht lief, haben wir die gelöscht und wieder IPSec eingerichtet.
Der VPN-Assistent unter 7.50 lässt mittlerweile auch unter IPSec Einschränkung auf einzelne Geräte zu.
Hat kurioserweise nicht funktioniert.
Also IPSec nochmal gelöscht und neu eingerichtet, weil es lief ja schon mal.
Diesmal aber ohne Geräte-Einschränkung.
Und siehe da, jetzt lief es.
Also IPSec deaktiviert und nochmal WireGuard eingerichtet.
Diesmal von Beginn an ohne Geräte-Einschränkung, jetzt läuft auch WireGuard fehlerfrei.

Wir hatten beim ersten Versuch nachträglich die Geräte-Einschränkung weggenommen, trotzdem lief es nicht.
Erst als wir WireGuard ohne Einschränkung eingerichtet haben, lief es fehlerfrei.
Nachträglich Geräte-Einschränkung einrichten haben wir jetzt sein lassen.
Ich muss das nicht verstehen, aber ich vermute, dass da noch ein Holpertstein unter 7.50 drin ist.
Werde den Hinweis mal an AVM schicken, mit den Jungs habe ich bislang gute Erfahrung.

Trotzdem vielen Dank an alle für ihre Kommentare auf meine Anfrage.

Mein Problem ist somit gelöst.