Brume Wireguard

Ja das geht. Siehe:
Merkzettel: VPN Installation mit Wireguard
Ist nur ziemlich (überflüssig) doppelt gemoppelt wenn man mit der FritzBox schon einen fertigen VPN Router sein eigen nennt.
Wenn du es aber dennoch versuchen willst dann wirst du mit dem o.a. Tutorial sicher zum Erfolg kommen.
Bedenke aber immer: Wenn du zuhause an der FritzBox ein DS-Lite Anschluss hast mit einem Provder der CGN macht ist jede VPN Liebesmüh umsonst. Mit DS-Lite / CGN Anschlüssen ist VPN Einwahl dann generell unmöglich. Möglich also auch das du deswegen gescheitert bist.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)

Diese Aussage ist so nicht ganz korrekt. Für IPv4 gilt das natürlich, aber natürlich kann man an DS-Lite/CGN Anschlüssen auch ein VPN betreiben und zwar über die globale IPv6 die man auch an DS-Lite Anschlüssen erhält! Voraussetzung dazu ist aber das man an dem externen Hotspot auch globalen IPv6 Zugang erhält, ansonsten braucht es einen IPv4 Jumphost wie bspw. einen vServer bei einem externen Hoster welchen man per VPN-Einwahl durch den Heimrouter mit dem Heimnetz verbindet.

Das ist natürlich absolut richtig. Es sollte nur ausdrücken das mit der aktuellen Hardware des TO das so nicht möglich ist und der TO ggf. daran gescheitert ist und es nicht an ihm und seinem Setup lag, sollte er denn einen DS-Lite Anschluss haben. Diese Info von ihm fehlte ja leider oben.
Mit einem 5 Euro Server bei einem Hoster oder rein IPv6 kann man natürlich auch DS-Lite Anschlüsse VPN fähig machen.

Man kann Antwortthreads auch intelligent zu einem zusammenfassen ohne immer alles voll zitieren zu müssen...
Ja, natürlich kann man das es gibt 2 Optionen:

• Provider wechseln zu einem guten Provider der öffentliche v4 IPs vergibt
• Deinen DS-Lite Provider nach einer öffentlichen v4 IP fragen. Kostet meist nur 3 oder 4 Euro mehr im Monat.
• 3te Variante wie oben schon angesprochen Server mit öffentlicher v4 IP mieten und als VPN Jumphost verwenden. Sowas gibts schon ab 3 Euronen im Monat.

Such dir die für dich Schönste aus !

Wie bitte ???
Was ist das denn für ein Provider und wie kompetent ist denn deren Hotline ? Die kennen ja ihre eigenen Produkte nicht !
Das ist so wenn du nach dem Weg zur Tankstelle fragst und einer antwortet dir: Tankstelle ? Was ist eine Tankstelle ?
Muss man sicher nicht weiter kommentieren sowas. Weltfirma 1&1.... ohne Worte.

Wie man es mit einem Jumphost löst wird dir hier erklärt:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Feste IPs zuhause in pfsense via WireGuard Tunnel
Feste IPs zuhause in pfsense via GRE Tunnel

👍
Wieder einmal ein Beispiel was gute Leute am richtigen Platz ausmachen !

Hi,

bin neu hier, habe aber ein ähnliches Problem:
ISP: DG - keine öffentliche IPv4 Adresse
Würde gern einen VPN Server zuhause aufsetzen, um vom Internet aus auf mein Heimnetzwerk zugreifen zu können.

Ein erster Versuch (nach mehreren Anläufen) hat letztendlich auch funktioniert:
- OpenVPN-Server auf meiner QNAP über TCP6 aktivieren
- Über Fest-IP.de ein Port-Mapping von einer IPv4 Adresse auf die IPv6 Adresse der QNAP eingerichtet, die ich über die MyFRITZ!-Adresse realisiert habe.
- OpenVPN Client auf dem Handy und PC eingerichtet -> läuft.

Diesen Ansatz möchte ich jetzt aber fallen lassen, aus mehreren Gründen:
- Der VPN Server auf der QNAP soll nicht sicher sein
- Ich möchte das NAS nicht immer nur wegen des VPN Servers laufen lassen
- Ich möchte von OpenVPN auf WireGuard umsatteln, da dieses Protokoll performanter ist.

Habe mir dazu auch schon zwei Router von GL-iNet (Brume & Brume2) zugelegt. Beide sind hinter meiner Fritzbox (7580), die als Haupt-Router fungiert, im Heimnetzwerk geschaltet. Einer soll als (WireGuard)Client dienen, um mich mit dem WireGuard-Server-Anbieter meiner Wahl zu verbinden - das funktioniert bereits. Der andere soll als WireGuard-Server für meine eingehenden Verbindungen von außen (Internet) als Host dienen. Diesen Ansatz konnte ich nicht realisieren und darauf beziehen sich meine Fragen hier:

1.IPv6 auf GL-iNet: Um von außen auf meinen Router, der nur über eine öffentliche IPv6-Adresse verfügt, zugreifen zu können, muss ich doch zunächst auf dem Router IPv6 aktivieren, richtig? Defaultmäßig scheint IPv6 dort disabeld zu sein. Wenn ich den Schalter umlege und IPv6-Unterstützung aktivieren möchte, bekomme ich folgenden Hinweis eingebledet:
"Die aktuelle Version der Firewall, des VPN, der Terminalliste, des Cloud-Dienstes usw. unterstützt IPv6 derzeit möglicherweise nicht. Daher kann die IPv6-Funktion nur für die Konfiguration innerhalb dieser Schnittstelle verwendet werden.
Hinweis: Wenn Sie Funktionen von VPN und IPv6 gleichzeitig verwenden, kann es wahrscheinlich zu einem IPv6-Datenleck kommen."
Anscheinend ist IPv6 und VPN auf diesem Router keine gute Option. Kann ich diesen Ansatz also knicken?

2.PortMapping: WireGuard unterstützt nur das UDP Protokoll. Also kann ich hier den Port-Mapper von Fest-IP.net nicht verwenden, weil dieser nur TCP unterstützt. Sollte ich die Challenge, die ich unter 1 beschrieben habe, irgendwie lösen, wie/wo mappe ich denn eine IPv4 Adresse auf die IPv6 Adresse meines GL-iNet Routers uter Verwendung des UDP Protokolls? GL-iNet selbst scheint dort AstroRelay zu empfehlen. Ich schrecke aber davor ab, weil ich dazu zunächst einen Agent von AstroRelay auf meinem Router installieren müsste (ist mir zu suspekt) und weil es zu viel kostet.

3.Gäbe es evtl. eine Möglichkeit, meinen GL-iNet Router intern nur mit IPv4 zu betreiben und trotzdem vom Internet aus, auf ihn bzw. auf seinen WireGuard-Server zuzugreifen?

Sorry, falls ich meine Fragen an der falschen Stelle gestellt haben sollte. Die drei hier weiter oben zitierten Optionen schienen mir ein geeigneter Einstiegspunkt zu sein.

Grüße!

Alternative: Preiswerten vServer als Jumphost mieten und von der FB dort eine WG Verbindung hin aufbauen.
Geht auch ganz ohne WG mit IPsec.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi

Vielen Dank für die Info! Ich würde jedoch WG bevorzugen, weil es performanter ist. Was ich bereits erreicht habe, ist in meinem Heimnetz WG auf einem Raspberry Pi zu installieren und als WG-Server zu betreiben. Auf meiner FB (Router) habe ich eine entsprechende Portfreigabe eingerichtet und kann nun von außen, d.h. aus dem Internet auf mein Netzwerk zugreifen über WG Clients, z.B. übers Handy. Allerdings geht das nur, wenn ich mich in einem IPv6 Netz befinde, denn mein Heimnetzwerk incl. WG-Server zuhause hat nur öffentliche IPv6 Adressen. Wenn ich mich nun im T-Mobile Netzwerk aufhalte, ist das kein Problem, denn die unterstützen IPv6. Wenn ich allerdings in einem fremden W-LAN bin (Hotel, Flughafen, Restaurant, etc.) oder gar im Ausland über mobile Daten mit dem Internet verbunden bin, kommt es sehr oft vor, dass die nur IPv4 unterstützen. Dann kommt natürlich keine VPN-Verbindung zu meinem IPv6-Netzwerk zuhaue zu Stande. Deswegen würde ich jetzt gern, wie du vorgeschlagen hast, einen vServer als Jumphost nutzen. Habe auch schon einen gemietet: bei IONOS gibt es derzeit ein Paket für 1€ im Monat incl. einer öffentlichen IPv4 Adresse.
Frage: Gibt es auch ein Tutorial, das beschreibt, wie man einen vServer als Jumphost für WG VPN Verbindungen einrichtet? Also das Pendant zu dem Artikel, zu dem du zuvor verlinkt hast, nur halt WG statt des IPsec Protokolls.

Danke & Gruß!

Holla die Waldfee! 4 Monate für eine Antwortszeit auf einen gekaperten Thread...
Das ist natürlich Quatsch, denn IPsec und Wireguard tun sich nichts von der Performance.
Ist aber natürlich kein Hinderungsgrund. Das o.a. Jumphost Setup funktioniert natürlich auch völlig problemlos mit Wireguard. Welches VPN Protokoll man nimmt ist letztlich egal. IPsec hat den Vorteil das man bei keinem Endgerät mit einem externen und überflüssigen VPN Client rumfrickeln muss sondern alles bequem mit Bordmitteln erledigen kann.
Bei der Verwenung von Wireguard muss man bei AVM immer die nicht konforme Wireguard Konfig der AVM Fritzbox beachten. Siehe dazu auch HIER!
Damit ist dann natürlich auch die Jumphost Umsetzung mit Wireguard dann kein Problem!
Mit der AVM FB Firmware 7.5 müsstest du das nicht, denn dann spricht die FritzBox selber Wireguard.
Aber OK, bei einem internen WG Server (RasPi etc.) ist das aber korrekt!
Logisch und völlig normal wenn du zuhause ein DS-Lite Opfer bist mit so einem Anschluss. Da ist dann bekanntlich ein Zugang mit IPv4 technisch nicht möglich.
Jedenfalls nicht so mit Bordmitteln. Grund ist das du das zentrale CGNAT Gateway des Providers mit IPv4 nicht überwinden kannst.
Das lässt sich nur mit 2 Optionen lösen:

• Kostenpflichtiger v4 Tunnelprovider
• Preiswerter vServer und Jumphost Lösung

Oder mit einem "richtigen" Dual Stack Provider natürlich. Nur wenn man sich für 2 Jahre schon freiwillig an einen DS-Lite Provider verkauft hat, ist das natürlich keine Option...
Ja, natürlich. Guckst du hier:
Merkzettel: VPN Installation mit Wireguard
Bzw. mit der Kopplung einer Wireguard fähigen Fritzbox hier:
S2S-Wireguard: AVM zu Mikrotik

Vielen Dank für die schnelle Antwort!
Ich besitze leider "nur" die FB 7580, für die es die Firmware 7.5 nicht gibt und laut AVM auch nicht mehr geben wird
250€ für eine neue FB wären mir "nur" wegen WG zu viel, zumindest solange die 7580 noch läuft. Deswegen habe ich entschieden, 60€ in einen Pi zu investieren, dort einen WG-Server aufzusetzen und bei der Gelegenheit meine Linux-Kenntnisse aufzufrischen.

Dass IPsec mit WG bzgl. der Performance vergleichbar wäre, überrascht mich jetzt, aber ich lasse mich gern belehren. Da meine FB IPsec im Bauch hat, könnte ich theoretisch auf WG und meinen Pi verzichten. Habe das aber nicht in Betracht bezogen, weil WG derzeit so angepriesen wird und IPsec somit zum Alteisen abgestempelt wird.

Ich werde mir als nächstes die Beiträge, die du mir empfohlen hast, in aller Ruhe reinziehen und erlaube mir, hier dazu Fragen zu stellen, falls ich nicht weiterkomme.

Gruß!

Da hast du Recht, da ist der RasPi die deutlich preiswertere Lösung!
Sehr löblich! 👍
Guckst du hier. 100mbp/s auf 1Gig merkst du nicht wirklich. Auch gilt das nur für spezifische Schlüsselalgorithmen. Das Thema ist nicht trivial.
Nicht nur theoretisch sondern auch praktisch. Guckst du hier. 😉
Works like a charme und hat den großen Vorteil das du dein VPN auf der Peripherie hast wo es auch hingehört (Security) und nicht ungeschützten Internet Traffic in dein lokales Netzwerk lassen musst bei einem internen VPN Server.
Aber das Gute ist ja: Du hast 2 verschiedene Design Szenarien zum Testen die beide fehlerfrei funktionieren. Damit kannst du dann wasserdicht den Praxiseinsatz testen und dich fürs beste der beiden entscheiden...
Was natürlich laienhafter Bullshit ist...ohne Worte. 🧐
Immer gerne!
Beachte aber auch das das hier nicht dein Thread ist und du den jetzt für deine Fragen gekapert hast. Auch ist er schon als gelöst markiert.
Ggf. ist es fairer für den o.a. Threadowner @D3athcap wenn du einen neuen Thread explizit für dein Projekt und deine Fragen dazu eröffnest.

Alles klar, dann lassen wir das mit dem Kapern;)
Habe den vor dir empfohlenen Guide gelesen und versucht zu befolgen. Leider akzeptiert swanctl -q meine Konfig nicht. Den Fehler habe ich hier beschrieben.

Gruß!