10
Fritzbox Subnet via Wireguard erreichen
Hallo zusammen,
ich habe vor Kurzem auf meiner Fritzbox 7590 AX eine Wireguard Verbindung eingerichtet.
Die FritzBox hat dabei die IPv4 10.8.8.40/24 auf dem wireguard interface.
Der Peer zu dem die Fritzbox verbindet hat die Wireguard IP 10.8.8.8/24.
Das lokale Subnet der Fritzbox ist 192.168.178.0/24.
Die Wireguard Verbindung läuft grundsätzlich auch problemfrei.
Ich kann ohne Schwierigkeiten vom Peer 10.8.8.8, die Fritzbox auf der 10.8.8.40 anpingen und auch das Web Interface der FB erreichen. Mein Problem besteht darin, das lokale Subnetz der Fritzbox vom WG Peer aus zu erreichen.
Sagen wir also beispielhaft ich habe einen lokalen Webserver auf 192.168.178.10 laufen, so ist es für mich leider nicht möglich diesen über den WG Peer 10.8.8.8 anzusprechen.
Die Einträge für Allowed IPs sind meiner Meinung nach korrekt gesetzt und bei allen anderen Wireguard Konfigurationen funktionierte dies bisher auch immer ohne Stress.
Daher vermute ich hier eher eine Eigenheit der Fritzbox. (ohne es natürlich genau zu wissen) Zumal die FB auch immer die IP der FB selbst mit als Interface Address für Wireguard mit angibt, selbst wenn ich dies durch das hochladen von eigenen wg.conf Dateien versuche zu unterbinden.
Kann es damit im Zusammenhang stehen oder liegt der Fehler eventuell woanders?
Vielen Dank vorab für die Unterstützung.
ich habe vor Kurzem auf meiner Fritzbox 7590 AX eine Wireguard Verbindung eingerichtet.
Die FritzBox hat dabei die IPv4 10.8.8.40/24 auf dem wireguard interface.
Der Peer zu dem die Fritzbox verbindet hat die Wireguard IP 10.8.8.8/24.
Das lokale Subnet der Fritzbox ist 192.168.178.0/24.
Die Wireguard Verbindung läuft grundsätzlich auch problemfrei.
Ich kann ohne Schwierigkeiten vom Peer 10.8.8.8, die Fritzbox auf der 10.8.8.40 anpingen und auch das Web Interface der FB erreichen. Mein Problem besteht darin, das lokale Subnetz der Fritzbox vom WG Peer aus zu erreichen.
Sagen wir also beispielhaft ich habe einen lokalen Webserver auf 192.168.178.10 laufen, so ist es für mich leider nicht möglich diesen über den WG Peer 10.8.8.8 anzusprechen.
Die Einträge für Allowed IPs sind meiner Meinung nach korrekt gesetzt und bei allen anderen Wireguard Konfigurationen funktionierte dies bisher auch immer ohne Stress.
Daher vermute ich hier eher eine Eigenheit der Fritzbox. (ohne es natürlich genau zu wissen) Zumal die FB auch immer die IP der FB selbst mit als Interface Address für Wireguard mit angibt, selbst wenn ich dies durch das hochladen von eigenen wg.conf Dateien versuche zu unterbinden.
Kann es damit im Zusammenhang stehen oder liegt der Fehler eventuell woanders?
Vielen Dank vorab für die Unterstützung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669086
Url: https://administrator.de/contentid/669086
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
wurde testweise mal "allowed IPs=0.0.0.0/0" gesetzt und klappt es dann?
wurde testweise mal "allowed IPs=0.0.0.0/0" gesetzt und klappt es dann?
Moin.
Hier steht wie's richtig mit der Fritze geht
Gruß catrell
Hier steht wie's richtig mit der Fritze geht
- Wireguard Client und Server simultan auf VPS. Netzwerke verbinden
- S2S-Wireguard: AVM zu Mikrotik
- Merkzettel: VPN Installation mit Wireguard
Gruß catrell
1
0.0.0.0 besser nicht setzen, denn das ist ein Gateway Redirect und frisst nur unnötig Bandbreite und Performance. Split Tunneling ist immer die bessere Wahl. Trage dein Subnetz unter den "AllowedIPs" ein und gut iss!
Siehe dazu Tutorial.
Siehe dazu Tutorial.
Moin,
Die Fritzbox will doch, dass das WG Tunnelnetz gleich ihrem LAN Netz ist oder?
Oder hat AVM hier nachgebessert?
Gruß,
Avoton
Die Fritzbox will doch, dass das WG Tunnelnetz gleich ihrem LAN Netz ist oder?
Oder hat AVM hier nachgebessert?
Gruß,
Avoton
Ich stehe vor dem gleichen Problem und hatte "dozen of errors". Vom meinem aktuellen Stand der Dinge aus gesehen, war alles was ich bis dato zum Thema im Netz gefunden hatte, nur irreführend und von der gleichen Unwissenheit geprägt. Ich möchte sogar sagen Schrott.
Einer meiner Ausbilder sagte uns mal den einprägsamen Satz. "Ihr Jungs! Euch fehlt es ja noch an den Grundlagen!"
Das musste auch ich hier erst einmal akzeptieren.
Ich empfehle also dringend die Lektüre der Links von catrell, respektive den Tutorials von aqui zu folgen. Ich habe eine Menge gelernt was weit über das eigentliche Problem hinaus geht und wird unmittelbar Folgen für unsere firmeninterne Netzwerkstruktur haben wird. (das nur am Rande)
Eines ist Gewiss. Mit schnell mal Abtippen irgendwelcher Einstellungen ist es so, als ob man einen Auspuff mit Panzertape repariert. Geht? Vielleicht? Wenn ja, wie lange?
Meine 5 Cent dazu
Einer meiner Ausbilder sagte uns mal den einprägsamen Satz. "Ihr Jungs! Euch fehlt es ja noch an den Grundlagen!"
Das musste auch ich hier erst einmal akzeptieren.
Ich empfehle also dringend die Lektüre der Links von catrell, respektive den Tutorials von aqui zu folgen. Ich habe eine Menge gelernt was weit über das eigentliche Problem hinaus geht und wird unmittelbar Folgen für unsere firmeninterne Netzwerkstruktur haben wird. (das nur am Rande)
Eines ist Gewiss. Mit schnell mal Abtippen irgendwelcher Einstellungen ist es so, als ob man einen Auspuff mit Panzertape repariert. Geht? Vielleicht? Wenn ja, wie lange?
Meine 5 Cent dazu
1
Zitat von @Avoton:
Moin,
Die Fritzbox will doch, dass das WG Tunnelnetz gleich ihrem LAN Netz ist oder?
Oder hat AVM hier nachgebessert?
Gruß,
Avoton
Moin,
Die Fritzbox will doch, dass das WG Tunnelnetz gleich ihrem LAN Netz ist oder?
Oder hat AVM hier nachgebessert?
Gruß,
Avoton
+1
Die Fritte kann keine VLANs (außer dem Gastnetz), von daher gibt es meines Wissens nach kein Transfernetz.
Oder hat AVM hier nachgebessert?
Nein, das ist weiterhin die nicht Wireguard konforme Konfiguration und muss man immer beachten wenn eine Fritte mit im (WG) Spiel ist. Siehe WG Tutorial oben!
Grüße zusammen,
yes, all meine bisherigen Erfahrungen mit Wireguard haben im Zusammenspiel mit der Fritzbox tatsächlich wenig geholfen. Der Beitrag von aqui brachte aber den entscheidenden Tipp, der mir lezten Endes geholfen hat.
Undzwar musste ich die IPv4 der Fritzbox zwingend in meiner, auf die FB hochgeladenen wg.conf als Interface Address angeben, damit ich von remote Peers aus, auf Geräte im lokalen Subnet der Fritzbox zugreifen konnte.
Dies weicht etwas von meiner bisherigen Gewohnheit ab, in der alle Wireguard Peers immer eine IPv4 in einem eigenen Subnet von mir zugewiesen bekommen haben und Allowed IPs dann den Rest regelte.
Das was mich dabei besonders irritiert hat, war folgendes:
Wenn ich eine wg.conf auf die FB lade, in der ich unter Interface Address bspw die 10.0.0.10/24 setze, sieht die tatsächliche config nach dem Upload folgendermaßen aus:
Die FB ergänzt also die von mir angegebene Adresse um die "link-local" IPv6 aber trägt gleichzeitig auch die FB eigene IPv4 mit unter Addresses ein. Ebenfalls setzt die FB die eigene IP als DNS fest, gleichermaßen die DNS Domain fritz.box.
Darauf habe ich keinerlei Einfluss und dies passiert quasi automatisch.
Auf die Art und Weise funktionierte es aber nicht und ich musste meine wg.conf dahingehend anpassen, das ich lediglich die FB eigene IPv4 (in meinem Fall eben 192.168.178.1) als Interface Address angebe und auf die
Angabe von 10.10.10/24 verzichte.
Damit hat es dann auch funktioniert.
Vielen Dank an alle für die Hilfe.)
yes, all meine bisherigen Erfahrungen mit Wireguard haben im Zusammenspiel mit der Fritzbox tatsächlich wenig geholfen. Der Beitrag von aqui brachte aber den entscheidenden Tipp, der mir lezten Endes geholfen hat.
Undzwar musste ich die IPv4 der Fritzbox zwingend in meiner, auf die FB hochgeladenen wg.conf als Interface Address angeben, damit ich von remote Peers aus, auf Geräte im lokalen Subnet der Fritzbox zugreifen konnte.
Dies weicht etwas von meiner bisherigen Gewohnheit ab, in der alle Wireguard Peers immer eine IPv4 in einem eigenen Subnet von mir zugewiesen bekommen haben und Allowed IPs dann den Rest regelte.
Das was mich dabei besonders irritiert hat, war folgendes:
Wenn ich eine wg.conf auf die FB lade, in der ich unter Interface Address bspw die 10.0.0.10/24 setze, sieht die tatsächliche config nach dem Upload folgendermaßen aus:
[Interface]
PrivateKey = xxxxxxxxx
ListenPort = xxxxx
Address = 192.168.178.1/24,fd3a:dd1d:3c44::b2f2:8ff:fefd:4966/64,10.10.10.10/24
DNS = 192.168.178.1,fd3a:dd1d:3c44::b2f2:8ff:fefd:4966
DNS = fritz.boxDie FB ergänzt also die von mir angegebene Adresse um die "link-local" IPv6 aber trägt gleichzeitig auch die FB eigene IPv4 mit unter Addresses ein. Ebenfalls setzt die FB die eigene IP als DNS fest, gleichermaßen die DNS Domain fritz.box.
Darauf habe ich keinerlei Einfluss und dies passiert quasi automatisch.
Auf die Art und Weise funktionierte es aber nicht und ich musste meine wg.conf dahingehend anpassen, das ich lediglich die FB eigene IPv4 (in meinem Fall eben 192.168.178.1) als Interface Address angebe und auf die
Angabe von 10.10.10/24 verzichte.
Damit hat es dann auch funktioniert.
Vielen Dank an alle für die Hilfe.
)Dies weicht etwas von meiner bisherigen Gewohnheit ab
Das tut es bei allen und liegt nicht am WG Admin sondern an der leider nicht Standard konformen Wireguard Implementation von AVM. 
Warum sie das unbedingt anders machen als der ganze Rest der WG Welt weiss wohl auch nur AVM selber.
Oder man verzichtet ganz auf das Wireguard bei AVM und benutzt stattdessen deren IPsec VPN Option. Zu mindestens die verhält sich Standard konfrom!
Dieses Forentutorial beschreibt eine wasserdichte IPsec Lösung.
Damit hat es dann auch funktioniert.
Glückwunsch! 👏 👍Bitte dann auch nicht vergessen deinen Thread hier als gelöst zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Done. Vielen Dank nochmal. ;)
