mirkokr
Goto Top

FritzBox als VPN-Client (Wireguard)

Guten Aben / Hallo zusammen,

FritzBox 7590 - Version 7.57 - aktuell


Ich möchte nach der AVM-Anleitung:

FritzBox als VPN-Client(Wireguard) einrichten

eine "Verbindung hinzufügen" / "Netzwerk koppeln"

Beschriebene Schaltfläche wird aber gar nicht angezeigt.

Auch die Schaltfläche "Datei auswählen" bzw. "Durchsuchen...". ist nicht verfügbar um eine Konfiguration zu importieren ...

img_20231215_220747

Die FritzBox ist bei myfritz.net registriert, ist aber hinter einem CGNAT ...

... was aber egal sein sollte, da diese ja eine ausgehende Verbindung aufbauen soll .


Wie sieht's bei euch aus?

Werden die Schalter angezeigt.

Ist es ein Bug?

Der AVM KB-Link ist für die 7530 AX, aber sollte ja dann für die 7590 auch so sein?

Falls angezeigt, wie sind die dahinter liegenden Links?

Danke für Response

Content-Key: 11993986736

Url: https://administrator.de/contentid/11993986736

Printed on: May 21, 2024 at 20:05 o'clock

Member: Pjordorf
Pjordorf Dec 16, 2023 at 00:29:49 (UTC)
Goto Top
Hallo,

Zitat von @MirkoKR:
FritzBox 7590 - Version 7.57 - aktuell
Wie sieht's bei euch aus?
Habe weder eine Fritte noch Wireguard. Aber dir sollte klar sein das AVM ihre eigene Definition von Wireguard hat und hat dememtsprechend ihre eigene Definition umgesetzt. Vielleicht ist das so eine abweichung vom Wireguard Standard. Kollege @aqui kann dazu mehr sagen.

Ist es ein Bug?
AVM sagt es dir gerne face-smile

Der AVM KB-Link ist für die 7530 AX, aber sollte ja dann für die 7590 auch so sein?
Auch das verrät dir AVM sicherlich face-smile

Danke für Response
Fritte schon neu gestartet?

Gruß,
Peter
Member: Visucius
Solution Visucius Dec 16, 2023 at 06:58:35 (UTC)
Goto Top
Hm. So sieht das bei mir unter 7.56 aus:
img_0348

Allerdings habe ich DynDNS (in meinem Fall: https://www.goip.de/) schon hinterlegt (siehe bei Dir „grauer Kasten).
Member: MirkoKR
MirkoKR Dec 16, 2023 updated at 08:00:01 (UTC)
Goto Top
Nun, die FB ist ja bei myfritz.net registriert und hat somit eine DynDNS-Adrrsse ...

img_20231216_084728

Natürlich kann diese, von extern nicht aufgelöst werden, da die hinter einem CGNAT liegt

img_20231216_083831

Das wird wahrscheinlich auch bei einem anderen DynDNS-Anbieter so sein ...
... was ich aber ausprobieren werde.

Ich gehe derzeit davon aus, das es eine Abhängigkeit zwischen der externen Auflösung und dem nicht eingeblendeten Wireguard-Dialog gibt ... was ich SO aber als Bug einstufen würde und an AVM melden werde ...

Aber @Visucius
kannst du bitte den Link hinter der Schaltfläche (ohne eigene FB-IP) posten ...
... vielleicht komme ich über den Link an den Dialog .
Mitglied: 10138557388
10138557388 Dec 16, 2023 updated at 08:17:23 (UTC)
Goto Top
Zitat von @MirkoKR:
kannst du bitte den Link hinter der Schaltfläche (ohne eigene FB-IP) posten ...
... vielleicht komme ich über den Link an den Dialog .
Dazu gibt es keinen direktenLink den du per GET Methode aufrufen kannst, dieser wird per POST Request an https://fritz.box/data.lua aufgerufen.
Übergeben wird dabei die categoryId mit dem Wert "wireguard" die page "wizContainer" und auch die aktuelle "Sid", was dann den Wizard zum Hinzufügen startet.

1000002722

Pjumper
Member: MirkoKR
MirkoKR Dec 16, 2023 at 08:17:46 (UTC)
Goto Top
Zitat von @10138557388:

Zitat von @MirkoKR:
kannst du bitte den Link hinter der Schaltfläche (ohne eigene FB-IP) posten ...
... vielleicht komme ich über den Link an den Dialog .
Dazu gibt es keinen Link den du per GET Methode aufrufen kannst, dieser wird per POST Request an https://fritz.box/data.lua aufgerufen.
Übergeben wird dabei die categoryId mit dem Wert "wireguard" die page "wizContainer" und auch die aktuelle "Sid", was dann den Wizard zum Hinzufügen startet.

Pjumper

OK. Danke.
Bleibt also abzuwarten, ob/wie AVM auf den vermeintlichen Bug-Report reagieren wird .
Mitglied: 10138557388
10138557388 Dec 16, 2023 updated at 08:20:08 (UTC)
Goto Top
Zurücksetzen und neu starten oder myfritz deaktivieren und neu einrichten hilft. Hatte ich auch mal bei einem Bekannten.
Mitglied: 10138557388
10138557388 Dec 16, 2023 updated at 08:48:41 (UTC)
Goto Top
Ach ja, und dem Internet-Anschluss sollte zumindest bei CGNAT eine öffentliche IPv6 Adresse zugewiesen worden sein, sonst erscheint die Seite auch nicht, denn die Box erkennt wenn die öffentliche IPv4 aus dem CGNAT Bereich stammt und veröffentlicht dann auch nur die IPv6 im DNS sofern vorhanden. Nach dem Einrichten von Wireguard kann myfritz auch wieder deaktiviert werden, auch der Zugriff aus dem Internet muss nicht aktiviert bleiben.
Member: Lochkartenstanzer
Lochkartenstanzer Dec 16, 2023 at 09:46:22 (UTC)
Goto Top
Moin,

Da muß bei Dir was verstellt sein. Ich habe bei Kunden auch Fritzboxen hinter CGNAT, bei denen sich Wireshark ohne Probleme konfigurieren laßt.

Versuch doch Mal testweise erst einen Userzugang anzulegen.

lks
Member: MirkoKR
MirkoKR Dec 16, 2023 at 14:22:47 (UTC)
Goto Top
So, also habe ich zunächst mal das naheliegendste gemacht ...

... da die FB seit knapp 4 Jahren nicht durchgepustet wurde, sondern lediglich Updates erfahren hat, habe ich dann mit dem aktuellen Recover-Image 7.57 geflasht.

Soweit, so gut ...

... dann der extrem hartnäckige Einrichtungsassi von 1und1 - da die Box gebrandet ist.
Der erste Frust, ins normale Menü zu kommen.

Also dann erstmal auf WAN - ohne Verbindungsprüfung umgeschaltet.
... weiter keine VPN (WireGuard) - Einrichtung möglich.

MyFritz-Konto eingerichtet: OK.
... weiter keine VPN (WireGuard) - Einrichtung möglich.

Nochmal die AVM-Anleitung gelesen:
Registrieren Sie die FRITZ!Boxen bei MyFRITZ!Net, damit sie im Internet jederzeit unter festen MyFRITZ!-Adressen erreichbar sind:

OK ... also müssen bei der Implementierung von Wireguard zwingend beide eine feste IP haben??

Zitat von @Lochkartenstanzer:

Moin,

Da muß bei Dir was verstellt sein. Ich habe bei Kunden auch Fritzboxen hinter CGNAT, bei denen sich Wireshark ohne Probleme konfigurieren laßt.

Versuch doch Mal testweise erst einen Userzugang anzulegen.

lks

Benutzer war und ist wieder angelegt ... der hat ja über Jahre erfolgreich VPN an einem Nicht-CGNAT-Anschluss genutzt (1und1)

Nun, das Überraschende...

... dem Tipp von @Visucius mit einer DYNDNS bei goip.de gefolgt, die erfolgreich registriert wurde,
ist der Dialog wie von ihm schon gepostet, tatsächlich angezeigt.

Also zumindest hier ist der Unterschied zwischen der DYNDNS von myfritz.net und goip.de dann
aber tatsächlich als BUG einzustufen, denn beide sind ja tatsächlich gar nicht über CGNAT erreichbar ...

WAS übrigens noch extrem nervt, ist das man die 2FA für Systemänderungen, also z.B. Telefoncode, Tastendruck an der FB oder neu dabei, einen Authenticator GAR NICHT mehr abschalten kann ....
... ich finde da zwingt uns AVM zu viel Sicherheit auf :-$

OK, danke bis hier ... auf zum nächsten Schritt.
Schönes WE
Mitglied: 10138557388
10138557388 Dec 16, 2023 updated at 14:35:44 (UTC)
Goto Top
OK ... also müssen bei der Implementierung von Wireguard zwingend beide eine feste IP haben??
Nein, natürlich nicht! Der Idioten-Assi denk wohl es sollen sich nur Leute einwählen statt nur raus wählen.
von 1und1 - da die Box gebrandet ist
Dann liegt das ganze wohl am Branding.
Eine cleane 7590 mit Original AVM FW 7.57 aus meiner Grabbelkiste (rausgezupfter Sondermüll vom Kunden 😉) zeigt hier das geschilderte Verhalten im Test nicht.

You get what you pay for 🤙
Member: MirkoKR
MirkoKR Dec 16, 2023 at 14:36:30 (UTC)
Goto Top
Zitat von @10138557388:

OK ... also müssen bei der Implementierung von Wireguard zwingend beide eine feste IP haben??
Nein, natürlich nicht! Der Idioten-Assi denk wohl es sollen sich nur Leute einwählen statt nur raus wählen.
von 1und1 - da die Box gebrandet ist
Dann liegt das ganze wohl am Branding.
Eine cleane 7590 mit Original AVM FW 7.57 zeigt hier das geschilderte Verhalten im Test nicht.

Naja, letztlich ist der Dialog ja nach Einrichtung einer NICHT-myfritz.net - DYNDNS, also hier bei goip.de, wie erwartet vorhanden ...

Das Branding ließ sich mit den üblichen ftp/adam2 - "quote UNSETENV provider" nicht deaktivieren.
Mit "GETENV provider" wird aber auch kein Provider angezeigt .... das wird wohl mittlerweile woanders hingeschrieben, da habe ich aber nichts zu gefunden ...