d3athcap
Goto Top

Brume Wireguard

Hallo liebe Administratoren,
Ich habe nun öfters gelesen, dass man den GL Inet Brume hinter eine Fritzbox(daheim) als Wireguard Server laufen lassen kann, um eine Verschlüsselte Verbindung zum Heimnetz und darüber auch das Internet von daheim nutzen kann. Ich bin sehr oft mit dem Camper unterwegs und habe leider immer öfter das Problem, dass in den Wäldern sehr schlechter LTE Empfang ist und ich aufs öffentliche WLAN des Campingplatztes zugreifen muss. Für Onlinebanking und dergleichen sehr ungeeignet.
Nun habe ich mir den Brume für daheim zugelegt um einen Wireguard Server während meine Reise erreichen zu können.
Leider bin ich mit 2 verschiedenen Tutorials von gewissen Youtubern nicht zum Ziel gelangt. Ich habe die UDP Portfreigabe für den Brume in der Fritzbox hinterlegt. Dyndns läuft auch auf dem Brume. Leider ist diese aber nicht erreichbar, weil der Brume Hinter der Fritzbox (Nat) sitzt.

Nun Brauch euch eure Hilfe.
Hab ich irgendetwas vergessen?

Grüssle d3athcap

Content-ID: 1373699767

Url: https://administrator.de/contentid/1373699767

Ausgedruckt am: 19.11.2024 um 15:11 Uhr

Visucius
Visucius 10.10.2021 um 15:27:36 Uhr
Goto Top
Dyndns läuft auch auf dem Brume.
bringt Dir aber nix ... sollte auf der Fritze laufen face-wink
aqui
aqui 10.10.2021 aktualisiert um 18:24:59 Uhr
Goto Top
hinter eine Fritzbox(daheim) als Wireguard Server laufen lassen kann, um eine Verschlüsselte Verbindung zum Heimnetz
Ja das geht. Siehe:
Merkzettel: VPN Installation mit Wireguard
Ist nur ziemlich (überflüssig) doppelt gemoppelt wenn man mit der FritzBox schon einen fertigen VPN Router sein eigen nennt.
Wenn du es aber dennoch versuchen willst dann wirst du mit dem o.a. Tutorial sicher zum Erfolg kommen.
Bedenke aber immer: Wenn du zuhause an der FritzBox ein DS-Lite Anschluss hast mit einem Provder der CGN macht ist jede VPN Liebesmüh umsonst. Mit DS-Lite / CGN Anschlüssen ist VPN Einwahl dann generell unmöglich. Möglich also auch das du deswegen gescheitert bist.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
149569
149569 10.10.2021 aktualisiert um 17:21:29 Uhr
Goto Top
Zitat von @aqui:
Mit DS-Lite / CGN Anschlüssen ist VPN Einwahl dann generell unmöglich.
Diese Aussage ist so nicht ganz korrekt. Für IPv4 gilt das natürlich, aber natürlich kann man an DS-Lite/CGN Anschlüssen auch ein VPN betreiben und zwar über die globale IPv6 die man auch an DS-Lite Anschlüssen erhält! Voraussetzung dazu ist aber das man an dem externen Hotspot auch globalen IPv6 Zugang erhält, ansonsten braucht es einen IPv4 Jumphost wie bspw. einen vServer bei einem externen Hoster welchen man per VPN-Einwahl durch den Heimrouter mit dem Heimnetz verbindet.
aqui
aqui 10.10.2021 aktualisiert um 18:29:12 Uhr
Goto Top
Das ist natürlich absolut richtig. Es sollte nur ausdrücken das mit der aktuellen Hardware des TO das so nicht möglich ist und der TO ggf. daran gescheitert ist und es nicht an ihm und seinem Setup lag, sollte er denn einen DS-Lite Anschluss haben. Diese Info von ihm fehlte ja leider oben. face-sad
Mit einem 5 Euro Server bei einem Hoster oder rein IPv6 kann man natürlich auch DS-Lite Anschlüsse VPN fähig machen. face-wink
D3athcap
D3athcap 10.10.2021 um 19:16:39 Uhr
Goto Top
Hi Leute, vielen Dank für die zahlreichen schnellen Antworten.
Zitat von @aqui:

Das ist natürlich absolut richtig. Es sollte nur ausdrücken das mit der aktuellen Hardware des TO das so nicht möglich ist und der TO ggf. daran gescheitert ist und es nicht an ihm und seinem Setup lag, sollte er denn einen DS-Lite Anschluss haben. Diese Info von ihm fehlte ja leider oben. face-sad
Mit einem 5 Euro Server bei einem Hoster oder rein IPv6 kann man natürlich auch DS-Lite Anschlüsse VPN fähig machen. face-wink

Hi Leute, danke für die schnellen Antworten. Ja leider verbindet sich meine Fritz box über einen ds Lite Tunnel. Kann man das ändern?
Mfg
D3athcap
D3athcap 10.10.2021 um 19:17:26 Uhr
Goto Top
Zitat von @aqui:

hinter eine Fritzbox(daheim) als Wireguard Server laufen lassen kann, um eine Verschlüsselte Verbindung zum Heimnetz
Ja das geht. Siehe:
Merkzettel: VPN Installation mit Wireguard
Ist nur ziemlich (überflüssig) doppelt gemoppelt wenn man mit der FritzBox schon einen fertigen VPN Router sein eigen nennt.
Wenn du es aber dennoch versuchen willst dann wirst du mit dem o.a. Tutorial sicher zum Erfolg kommen.
Bedenke aber immer: Wenn du zuhause an der FritzBox ein DS-Lite Anschluss hast mit einem Provder der CGN macht ist jede VPN Liebesmüh umsonst. Mit DS-Lite / CGN Anschlüssen ist VPN Einwahl dann generell unmöglich. Möglich also auch das du deswegen gescheitert bist.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)

Ich werde es probieren wenn ich die Tage dazu komme. Dankeschön
aqui
Lösung aqui 10.10.2021 um 19:23:43 Uhr
Goto Top
Man kann Antwortthreads auch intelligent zu einem zusammenfassen ohne immer alles voll zitieren zu müssen... face-wink
Kann man das ändern?
Ja, natürlich kann man das es gibt 2 Optionen:
  • Provider wechseln zu einem guten Provider der öffentliche v4 IPs vergibt
  • Deinen DS-Lite Provider nach einer öffentlichen v4 IP fragen. Kostet meist nur 3 oder 4 Euro mehr im Monat.
  • 3te Variante wie oben schon angesprochen Server mit öffentlicher v4 IP mieten und als VPN Jumphost verwenden. Sowas gibts schon ab 3 Euronen im Monat.
Such dir die für dich Schönste aus ! face-wink
D3athcap
D3athcap 10.10.2021 um 20:07:19 Uhr
Goto Top
Zitat von @aqui:

Man kann Antwortthreads auch intelligent zu einem zusammenfassen ohne immer alles voll zitieren zu müssen... face-wink
Kann man das ändern?
Ja, natürlich kann man das es gibt 2 Optionen:
  • Provider wechseln zu einem guten Provider der öffentliche v4 IPs vergibt
  • Deinen DS-Lite Provider nach einer öffentlichen v4 IP fragen. Kostet meist nur 3 oder 4 Euro mehr im Monat.
  • 3te Variante wie oben schon angesprochen Server mit öffentlicher v4 IP mieten und als VPN Jumphost verwenden. Sowas gibts schon ab 3 Euronen im Monat.
Such dir die für dich Schönste aus ! face-wink

Okey, also am Support Tele von 1&1 könnten sie mir nichts dazu sagen. also wird es wohl ein separater Server werden. Dankee
aqui
aqui 11.10.2021 aktualisiert um 09:27:49 Uhr
Goto Top
also am Support Tele von 1&1 könnten sie mir nichts dazu sagen
Wie bitte ???
Was ist das denn für ein Provider und wie kompetent ist denn deren Hotline ? Die kennen ja ihre eigenen Produkte nicht !
Das ist so wenn du nach dem Weg zur Tankstelle fragst und einer antwortet dir: Tankstelle ? Was ist eine Tankstelle ?
Muss man sicher nicht weiter kommentieren sowas. Weltfirma 1&1.... ohne Worte.

Wie man es mit einem Jumphost löst wird dir hier erklärt:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Feste IPs zuhause in pfsense via WireGuard Tunnel
Feste IPs zuhause in pfsense via GRE Tunnel
D3athcap
Lösung D3athcap 12.10.2021 um 06:00:56 Uhr
Goto Top
Alsooooo ich habe gestern Abend nochmal den Technik Support angerufen. Ich hatte wohl davor wieder Mal einen sehr unkompetenten Mitarbeiter dran. Genau wie die letzten 3 male wo mir gesagt wurde, ihre Internet Verbindung geht nicht, weil vor ihrem Haus eine Baustelle ist. ( Es war keine Baustelle, es war ein Mitarbeiter von der Telekom der einen neuen Anschluss falsch verpinnt hat.)
Diesmal hatte ich jedenfalls eine echt coole Socke am Telefon. Die ganze Sache war in keinen 5 min erledigt. Er hat kostenlos den DS Lite Tunnel deaktiviert und Zack, es funktioniert. Gleich alles eingerichtet. Perfekt. Klappt.
Vielen Dank für die Hilfe Leuten. Erster Beitrag, und gleich die Lösung. Super Forum!
Mfg d3athcap
aqui
aqui 12.10.2021 um 10:17:25 Uhr
Goto Top
👍
Wieder einmal ein Beispiel was gute Leute am richtigen Platz ausmachen !
gonzoll
gonzoll 12.01.2023 um 15:34:43 Uhr
Goto Top
Zitat von @aqui:

Man kann Antwortthreads auch intelligent zu einem zusammenfassen ohne immer alles voll zitieren zu müssen... face-wink
Kann man das ändern?
Ja, natürlich kann man das es gibt 2 Optionen:
  • Provider wechseln zu einem guten Provider der öffentliche v4 IPs vergibt
  • Deinen DS-Lite Provider nach einer öffentlichen v4 IP fragen. Kostet meist nur 3 oder 4 Euro mehr im Monat.
  • 3te Variante wie oben schon angesprochen Server mit öffentlicher v4 IP mieten und als VPN Jumphost verwenden. Sowas gibts schon ab 3 Euronen im Monat.
Such dir die für dich Schönste aus ! face-wink

Hi,

bin neu hier, habe aber ein ähnliches Problem:
ISP: DG - keine öffentliche IPv4 Adresse
Würde gern einen VPN Server zuhause aufsetzen, um vom Internet aus auf mein Heimnetzwerk zugreifen zu können.

Ein erster Versuch (nach mehreren Anläufen) hat letztendlich auch funktioniert:
- OpenVPN-Server auf meiner QNAP über TCP6 aktivieren
- Über Fest-IP.de ein Port-Mapping von einer IPv4 Adresse auf die IPv6 Adresse der QNAP eingerichtet, die ich über die MyFRITZ!-Adresse realisiert habe.
- OpenVPN Client auf dem Handy und PC eingerichtet -> läuft.

Diesen Ansatz möchte ich jetzt aber fallen lassen, aus mehreren Gründen:
- Der VPN Server auf der QNAP soll nicht sicher sein
- Ich möchte das NAS nicht immer nur wegen des VPN Servers laufen lassen
- Ich möchte von OpenVPN auf WireGuard umsatteln, da dieses Protokoll performanter ist.

Habe mir dazu auch schon zwei Router von GL-iNet (Brume & Brume2) zugelegt. Beide sind hinter meiner Fritzbox (7580), die als Haupt-Router fungiert, im Heimnetzwerk geschaltet. Einer soll als (WireGuard)Client dienen, um mich mit dem WireGuard-Server-Anbieter meiner Wahl zu verbinden - das funktioniert bereits. Der andere soll als WireGuard-Server für meine eingehenden Verbindungen von außen (Internet) als Host dienen. Diesen Ansatz konnte ich nicht realisieren und darauf beziehen sich meine Fragen hier:

1.IPv6 auf GL-iNet: Um von außen auf meinen Router, der nur über eine öffentliche IPv6-Adresse verfügt, zugreifen zu können, muss ich doch zunächst auf dem Router IPv6 aktivieren, richtig? Defaultmäßig scheint IPv6 dort disabeld zu sein. Wenn ich den Schalter umlege und IPv6-Unterstützung aktivieren möchte, bekomme ich folgenden Hinweis eingebledet:
"Die aktuelle Version der Firewall, des VPN, der Terminalliste, des Cloud-Dienstes usw. unterstützt IPv6 derzeit möglicherweise nicht. Daher kann die IPv6-Funktion nur für die Konfiguration innerhalb dieser Schnittstelle verwendet werden.
Hinweis: Wenn Sie Funktionen von VPN und IPv6 gleichzeitig verwenden, kann es wahrscheinlich zu einem IPv6-Datenleck kommen."
Anscheinend ist IPv6 und VPN auf diesem Router keine gute Option. Kann ich diesen Ansatz also knicken?

2.PortMapping: WireGuard unterstützt nur das UDP Protokoll. Also kann ich hier den Port-Mapper von Fest-IP.net nicht verwenden, weil dieser nur TCP unterstützt. Sollte ich die Challenge, die ich unter 1 beschrieben habe, irgendwie lösen, wie/wo mappe ich denn eine IPv4 Adresse auf die IPv6 Adresse meines GL-iNet Routers uter Verwendung des UDP Protokolls? GL-iNet selbst scheint dort AstroRelay zu empfehlen. Ich schrecke aber davor ab, weil ich dazu zunächst einen Agent von AstroRelay auf meinem Router installieren müsste (ist mir zu suspekt) und weil es zu viel kostet.

3.Gäbe es evtl. eine Möglichkeit, meinen GL-iNet Router intern nur mit IPv4 zu betreiben und trotzdem vom Internet aus, auf ihn bzw. auf seinen WireGuard-Server zuzugreifen?

Sorry, falls ich meine Fragen an der falschen Stelle gestellt haben sollte. Die drei hier weiter oben zitierten Optionen schienen mir ein geeigneter Einstiegspunkt zu sein.

Grüße!
aqui
aqui 12.01.2023 um 15:44:58 Uhr
Goto Top
Alternative: Preiswerten vServer als Jumphost mieten und von der FB dort eine WG Verbindung hin aufbauen.
Geht auch ganz ohne WG mit IPsec.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
gonzoll
gonzoll 29.05.2023 um 10:29:33 Uhr
Goto Top
Vielen Dank für die Info! Ich würde jedoch WG bevorzugen, weil es performanter ist. Was ich bereits erreicht habe, ist in meinem Heimnetz WG auf einem Raspberry Pi zu installieren und als WG-Server zu betreiben. Auf meiner FB (Router) habe ich eine entsprechende Portfreigabe eingerichtet und kann nun von außen, d.h. aus dem Internet auf mein Netzwerk zugreifen über WG Clients, z.B. übers Handy. Allerdings geht das nur, wenn ich mich in einem IPv6 Netz befinde, denn mein Heimnetzwerk incl. WG-Server zuhause hat nur öffentliche IPv6 Adressen. Wenn ich mich nun im T-Mobile Netzwerk aufhalte, ist das kein Problem, denn die unterstützen IPv6. Wenn ich allerdings in einem fremden W-LAN bin (Hotel, Flughafen, Restaurant, etc.) oder gar im Ausland über mobile Daten mit dem Internet verbunden bin, kommt es sehr oft vor, dass die nur IPv4 unterstützen. Dann kommt natürlich keine VPN-Verbindung zu meinem IPv6-Netzwerk zuhaue zu Stande. Deswegen würde ich jetzt gern, wie du vorgeschlagen hast, einen vServer als Jumphost nutzen. Habe auch schon einen gemietet: bei IONOS gibt es derzeit ein Paket für 1€ im Monat incl. einer öffentlichen IPv4 Adresse.
Frage: Gibt es auch ein Tutorial, das beschreibt, wie man einen vServer als Jumphost für WG VPN Verbindungen einrichtet? Also das Pendant zu dem Artikel, zu dem du zuvor verlinkt hast, nur halt WG statt des IPsec Protokolls.

Danke & Gruß!
aqui
aqui 29.05.2023 aktualisiert um 12:56:14 Uhr
Goto Top
Holla die Waldfee! 4 Monate für eine Antwortszeit auf einen gekaperten Thread... face-wink
Ich würde jedoch WG bevorzugen, weil es performanter ist.
Das ist natürlich Quatsch, denn IPsec und Wireguard tun sich nichts von der Performance.
Ist aber natürlich kein Hinderungsgrund. Das o.a. Jumphost Setup funktioniert natürlich auch völlig problemlos mit Wireguard. Welches VPN Protokoll man nimmt ist letztlich egal. IPsec hat den Vorteil das man bei keinem Endgerät mit einem externen und überflüssigen VPN Client rumfrickeln muss sondern alles bequem mit Bordmitteln erledigen kann. face-wink
Bei der Verwenung von Wireguard muss man bei AVM immer die nicht konforme Wireguard Konfig der AVM Fritzbox beachten. Siehe dazu auch HIER!
Damit ist dann natürlich auch die Jumphost Umsetzung mit Wireguard dann kein Problem!
Auf meiner FB (Router) habe ich eine entsprechende Portfreigabe eingerichtet
Mit der AVM FB Firmware 7.5 müsstest du das nicht, denn dann spricht die FritzBox selber Wireguard. face-wink
Aber OK, bei einem internen WG Server (RasPi etc.) ist das aber korrekt!
Allerdings geht das nur, wenn ich mich in einem IPv6 Netz befinde
Logisch und völlig normal wenn du zuhause ein DS-Lite Opfer bist mit so einem Anschluss. Da ist dann bekanntlich ein Zugang mit IPv4 technisch nicht möglich.
Jedenfalls nicht so mit Bordmitteln. Grund ist das du das zentrale CGNAT Gateway des Providers mit IPv4 nicht überwinden kannst.
Das lässt sich nur mit 2 Optionen lösen:
Oder mit einem "richtigen" Dual Stack Provider natürlich. Nur wenn man sich für 2 Jahre schon freiwillig an einen DS-Lite Provider verkauft hat, ist das natürlich keine Option...
Gibt es auch ein Tutorial, das beschreibt, wie man einen vServer als Jumphost für WG VPN Verbindungen einrichtet?
Ja, natürlich. Guckst du hier:
Merkzettel: VPN Installation mit Wireguard
Bzw. mit der Kopplung einer Wireguard fähigen Fritzbox hier:
S2S-Wireguard: AVM zu Mikrotik
gonzoll
gonzoll 29.05.2023 um 13:13:16 Uhr
Goto Top
Vielen Dank für die schnelle Antwort!
Ich besitze leider "nur" die FB 7580, für die es die Firmware 7.5 nicht gibt und laut AVM auch nicht mehr geben wirdface-sad
250€ für eine neue FB wären mir "nur" wegen WG zu viel, zumindest solange die 7580 noch läuft. Deswegen habe ich entschieden, 60€ in einen Pi zu investieren, dort einen WG-Server aufzusetzen und bei der Gelegenheit meine Linux-Kenntnisse aufzufrischen.

Dass IPsec mit WG bzgl. der Performance vergleichbar wäre, überrascht mich jetzt, aber ich lasse mich gern belehren. Da meine FB IPsec im Bauch hat, könnte ich theoretisch auf WG und meinen Pi verzichten. Habe das aber nicht in Betracht bezogen, weil WG derzeit so angepriesen wird und IPsec somit zum Alteisen abgestempelt wird.

Ich werde mir als nächstes die Beiträge, die du mir empfohlen hast, in aller Ruhe reinziehen und erlaube mir, hier dazu Fragen zu stellen, falls ich nicht weiterkomme.

Gruß!
aqui
aqui 29.05.2023 aktualisiert um 13:31:00 Uhr
Goto Top
wären mir "nur" wegen WG zu viel
Da hast du Recht, da ist der RasPi die deutlich preiswertere Lösung! face-wink
wären mir "nur" wegen WG zu viel
Sehr löblich! 👍
überrascht mich jetzt, aber ich lasse mich gern belehren
Guckst du hier. 100mbp/s auf 1Gig merkst du nicht wirklich. Auch gilt das nur für spezifische Schlüsselalgorithmen. Das Thema ist nicht trivial.
könnte ich theoretisch auf WG und meinen Pi verzichten.
Nicht nur theoretisch sondern auch praktisch. Guckst du hier. 😉
Works like a charme und hat den großen Vorteil das du dein VPN auf der Peripherie hast wo es auch hingehört (Security) und nicht ungeschützten Internet Traffic in dein lokales Netzwerk lassen musst bei einem internen VPN Server. face-wink
Aber das Gute ist ja: Du hast 2 verschiedene Design Szenarien zum Testen die beide fehlerfrei funktionieren. Damit kannst du dann wasserdicht den Praxiseinsatz testen und dich fürs beste der beiden entscheiden...
weil WG derzeit so angepriesen wird und IPsec somit zum Alteisen abgestempelt wird.
Was natürlich laienhafter Bullshit ist...ohne Worte. 🧐
und erlaube mir, hier dazu Fragen zu stellen, falls ich nicht weiterkomme.
Immer gerne!
Beachte aber auch das das hier nicht dein Thread ist und du den jetzt für deine Fragen gekapert hast. Auch ist er schon als gelöst markiert.
Ggf. ist es fairer für den o.a. Threadowner @D3athcap wenn du einen neuen Thread explizit für dein Projekt und deine Fragen dazu eröffnest. face-wink
gonzoll
gonzoll 29.05.2023 um 20:09:33 Uhr
Goto Top
Alles klar, dann lassen wir das mit dem Kapern;)
Habe den vor dir empfohlenen Guide gelesen und versucht zu befolgen. Leider akzeptiert swanctl -q meine Konfig nicht. Den Fehler habe ich hier beschrieben.

Gruß!
aqui
aqui 30.05.2023 um 09:06:24 Uhr
Goto Top
Danke für den Hinweis! 👍
Fehler ist im Tutorial korrigiert!