grosslgockner01
Goto Top

Fritzbox VPN Wireguard Verbindung zu Beryl Client

Hallo liebe Community,
ich habe mir auf meine Fritzbox 7590 das neue Labor Update draufgespielt da ich mich so über die neue Wireguard VPN Verbindung freue. 😊
Meine beiden Handys mit der Fritzbox per Wireguard zu verbinden hat mit dem QR Cod problemlos und schnell funktioniert. An der Verbindung zu meinem mobilen GL-inet Beryl Router verzweifele ich.
Bei der Fritzbox habe ich folgendes eingegeben:

Entferntes Netzwerk: 192.168.8.0/24
Subnetzmaske: 255.255.255.0

Dann musst ich mir nur die Config Datei erstellen lassen und beim Beryl entsprechend eintragen
[Interface]
PrivateKey = Xxxxxxxxxxxxxxxxxx=
Address = 192.168.8.208/24
DNS = 192.168.10.1

[Peer]
PublicKey = Xxxxxxxxxxxxxxxxxxxx=
PresharedKey = Xxxxxxxxxxxxxxxxx=
AllowedIPs = 192.168.10.0/24
Endpoint = jo9gpzbvk2rb0bja.myfritz.net:51463
PersistentKeepalive = 25.

Leider kommen mit diesen Einstellungen keine Verbindung zustande.
Fehlermeldung: VPN Client failed to connect.

Was mache ich falsch oder was könnte ich sonst noch in den Einstellungen der Fritzbox ändern damit es funktioniert?
Danke für Eure Hilfe!

Content-Key: 2772771796

Url: https://administrator.de/contentid/2772771796

Printed on: June 20, 2024 at 21:06 o'clock

Mitglied: 148523
148523 May 13, 2022 updated at 17:00:51 (UTC)
Goto Top
Leider kommen mit diesen Einstellungen keine Verbindung zustande.
Wie ist das jetzt genau gemeint?
Es kommt schon gar keine VPN Verbindung an sich zustande oder die Verbindung der beiden Endgeräte über den WG VPN Tunnel an sich kommt nicht zustande??
Wie immer:
  • Was sagen die Wireguard Logs?
  • Was sagt ein Ping, Traceroute etc.? Hilfreich dafür sind die HE.NET Tools für Android oder iPhone.

Nebenbei hätte es allen Helfenden hier sehr geholfen du hättest deinen Thread nur einmal Korrektur gelesen, dann wäre zumindestens Insidern klar gewesen das der "Beryl Client" ein GL-iNET Router ist und kein Smartphone von "LG". face-sad
Member: Grosslgockner01
Grosslgockner01 May 14, 2022 at 06:53:48 (UTC)
Goto Top
Vielen Dank für Deine schnelle Antwort und den Hinweis. Hab ich korrigiert.

Ping sagt Zielhost nicht erreichbar.
Wireguard log sagt mir leider nichts. Ich suche weiter.
Member: michi1983
michi1983 May 14, 2022 at 07:34:00 (UTC)
Goto Top
Hallo,

gib doch bei allowed IPs noch die 192.168.8.0/24 ein.

Gruß
Member: aqui
aqui May 14, 2022 at 09:11:21 (UTC)
Goto Top
Wireguard log sagt mir leider nichts.
Oha... Auf dem Beryl rennt doch OpenWRT?! Mit PuTTY eine Telnet oder SSH Session drauf und dann cat /var/log/messages oder syslog. Sollte man bei OpenWRT aber eigentlich wissen... face-wink
Member: Grosslgockner01
Solution Grosslgockner01 May 17, 2022 at 05:54:06 (UTC)
Goto Top
Besten Dank an alle. Problem ist gelöst.
Member: aqui
aqui May 17, 2022 at 06:50:52 (UTC)
Goto Top
Wäre schön wenn du die helfende Community hier an der Lösung teilhaben lassen könntest. Was ja auch der tiefere Sinn eines solchen Forums ist damit andere davon lernen.
Ein paar Worte WAS die Lösung gebracht hat wären sicher auch für andere hilfreich gewesen. Aber nundenn...
Member: Varlor
Varlor Oct 04, 2023 at 18:46:17 (UTC)
Goto Top
Ich klink mich hier nochmal ein. Ich habe exakt das gleiche Problem. Ich versuche eine wireguard vpn verbindung über meinen GL Inet Ax3000 zu meiner Fritzbox herzustellen. Über handy, tablet und laptop kein Problem. ABer der GL inet schafft es irgendwie nicht. Was war denn die Lösung? @grossglockner01 ?
Member: aqui
aqui Oct 05, 2023, updated at Oct 11, 2023 at 16:18:21 (UTC)
Goto Top
über meinen GL Inet Ax3000 zu meiner Fritzbox herzustellen.
Das ist erwartbar, da AVM bzw. die Fritzbox leider eine proprietäre Wireguard Implementation nutzt, die nicht ganz WG Standard konform ist.
Mit etwas "Handarbeit" kann man aber die Fritzbox natürlich auch mit einem klassischen Wireguard Endgerät wie deinem GLinet problemlos verheiraten.

Leider bist du etwas oberflächlich und beschreibst nicht ob deine FritzBox hier als VPN Initiator (Client) oder VPN Server (Responder) arbeitet, was aber für eine zielführende Hilfe wichtig wäre zu wissen, da die Wireguard Konfigs dann entsprechend anders aussehen.
Leider fehlen für eine zielorientierte Hilfestellung ebenso die entsprechenden Wireguard Konfig Dateien die du nutzt. face-sad

So oder so findest du aber für beide Szenarien in diesen beiden folgenden Threads die umfassende Lösung für dein Anliegen:
Fritzbox Wireguard VPN auf klassische Wireguard Endgeräte verbinden
Member: Varlor
Varlor Oct 11, 2023 at 15:40:10 (UTC)
Goto Top
Hallo aqui und sorry für die späte Antwort. Vielen Dank schonmal dass du auf meine Frage eingegangen bist. Ok, eine proprietäre Verbdinung also, die bin der standard wireguard app ( windows, android, ios) funktioniert aber nicht auf dem beryl.

Die Fritzbox dient als Wireguard Server ( Responder) und meine Geräte ( Tablet, Laptop, Handy) als Client. Im Urlaub möchte ich meinen Laptop aber gerne mit meiner Fritzbox als Vpn Server über den Beryl Router verbinden. Über den Dienst Mulvad hat das auch schonmal geklappt, jetzt möchte ich es halt über mein eigenen VPN Server machen.

Ich weiß gar nicht was ich bei der Config Datei schwärzen müsste um die hier posten zu können.

Liebe Grüße
Member: aqui
aqui Oct 11, 2023 at 16:16:57 (UTC)
Goto Top
Nur die ersten 3 Zeichen der Private Keys das man die nicht sieht und ggf. öffentliche IPs. Kannst du auch mit "xxx" maskieren. face-wink
Member: Varlor
Varlor Oct 11, 2023 at 17:18:24 (UTC)
Goto Top
Ok, und was ist mit dem Endpoint? ( Muss der auch geschwärzt werden?). Da steht meine myFritzbox adresse, die man erhalten hat wenn man das in der Fritzbox aktiviert, damit diese dauerhaft erreichbar ist.
Member: Varlor
Varlor Oct 11, 2023 updated at 19:36:11 (UTC)
Goto Top
Naja so sieht es aus:

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.178.204/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.178.0/24,0.0.0.0/0
Endpoint = xxxxxxxxxxxxxx.myfritz.net:53359
PersistentKeepalive = 25

Und hier auch nochmal die Fehlermeldung die Beryll beim verbinden ausspuckt:

Wed Oct 11 21:32:18 2023 daemon.notice netifd: Interface 'wgclient' is setting up now
Wed Oct 11 21:32:19 2023 daemon.notice netifd: wgclient (24558): Error: inet6 prefix is expected rather than "".
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Zone 'wan'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Zone 'guest'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Zone 'wgclient'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Set tcp_ecn to off
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Set tcp_syncookies to on
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Set tcp_window_scaling to on
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Running script '/etc/firewall.nat6'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Running script '/etc/firewall.vpn_server_policy.sh'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Running script '/etc/firewall.swap_wan_in_conn_mark.sh'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Running script '/var/etc/gls2s.include'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): ! Skipping due to path error: No such file or directory
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): * Running script '/usr/bin/gl_block.sh'
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): uci: Entry not found
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory
Wed Oct 11 21:34:08 2023 daemon.notice netifd: wgclient (29184): cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory
Wed Oct 11 21:34:08 2023 daemon.notice netifd: Interface 'wgclient' is now down
Wed Oct 11 21:34:08 2023 daemon.notice netifd: Interface 'wgclient' is setting up now
Wed Oct 11 21:34:08 2023 user.notice mwan3[29284]: Execute ifdown event on interface wgclient (unknown)
Wed Oct 11 21:34:09 2023 user.notice firewall: Reloading firewall due to ifdown of wgclient ()
Wed Oct 11 21:34:10 2023 daemon.notice netifd: wgclient (29285): Error: inet6 prefix is expected rather than "".
Member: aqui
aqui Oct 12, 2023, updated at Mar 10, 2024 at 17:22:04 (UTC)
Goto Top
Der GL.inet Router benötigt keine Tricksereien wie der im Tutorial genannte Mikrotik Router und du kannst mit dem klassischen Konfig Prozedere arbeiten.
Beispielsetup hier:
  • LAN IP Netz GL.inet: 192.168.8.0 /24
  • LAN IP Netz Fritzbox: 192.168.188.0 /24, Fritzbox IP: 192.168.188.1, (FW Ver. 7.57)

back-to-topWireguard Server (Responder) auf der Fritzbox konfigurieren

Im Wireguard Setup die folgende Reihenfolge klicken...

frtzwg2

Mit dem Download Button spuckt die Fritzbox dann die folgende Client Konfig Datei aus für den GL.inet Router:
⚠️ Die Datei sichern, denn diese Daten sind später NICHT mehr einsehbar in der Fritte. Bzw. im Falle eine Verlustes muss bei der Fritzbox das Wireguard VPN gelöscht und komplett neu angelegt werden!
[Interface]
PrivateKey = 6ALY7U6QguTCXWUXYQ/9cqCofUZyZExjxvAWUV34skM=
Address = 192.168.8.1/24
DNS = 192.168.188.1

[Peer]
PublicKey = tN0/7xK8zpJO49NGpwCFxDQix4q8VMpVHF+mky7s2HI=
PresharedKey = lQeNsAaewIw8WGzq1UEhlZGhMp3wq/ME1JvewL0x0jQ=
AllowedIPs = 192.168.188.0/24
Endpoint = abcd.myfritz.net:50221
PersistentKeepalive = 25 
Den Eintrag "DNS = fritz.box" solltest du vor dem Import dieser Konfig in den GL.inet löschen!
Endpoint ist immer die Internet IP bzw. DDNS Hostname der Fritzbox. Der Wert hinter dem ":" ist der verwendete UDP Port für den Tunnel der nicht verändert werden darf da die Fritzbox den dynamisch in ihrer Konfig festlegt.

back-to-topWireguard Client Setup GL.inet Router

Import der o.a. WG Client Konfig Datei in den GL.inet.
gli3

Check der GL.inet Client Konfig:
gli1

Aktivieren des Wireguard VPNs auf dem GL.inet:
gli2
Wie man unschwer erkennen kann kommt der Wireguard Tunnel sofort hoch was die Fritzbox dann entsprechend auch mit einem grünen Punkt quittiert der den aktiven VPN Tunnel signalisiert.
frtzwg

Ein Pingcheck auf die Fritzbox IP und alle Endgeräte im Fritzbox LAN klappt dann erwartungsgemäß auch fehlerlos.

back-to-topFazit

Works as designed!! 👍 😉
Member: Varlor
Varlor Oct 12, 2023 at 14:37:49 (UTC)
Goto Top
Ok krass, ich hab immer Einzelverbindung gedrückt. Das ist schonmal der erste Fehler. Was geb ich hier denn dann an?:

basierend auf meiner ersten config. Also was ist hier in dem Fall das entfernte Netzwerk?

Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.178.204/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.178.0/24,0.0.0.0/0
Endpoint = xxxxxxxxxxxxxx.myfritz.net:53359
PersistentKeepalive = 25
vpntest
Member: Varlor
Varlor Oct 12, 2023 at 15:03:21 (UTC)
Goto Top
Als kleiner Nachtrag. Ich hab bei entferntes Netwerk jetzt einfach mal 192.168.178.0 eingetragen. Und bei Subentzmaske 255.255.255.0. Die anderen sachen hab ich nicht angehakt. Allerdings funktioniert die ausgespruckte config bei mir immer noch nicht. Bekomme die gleichen Fehler.

Außerrdem sieht das bei mir dann in gl inet auch etwas anders aus: Ich sehe kein "Allow access to local network" Bei mir steht IP4 adresse statt IP Adress. Bei mir ist kein Listening Port eingetragen und bei mir ist MTU ( was imemr das ist) ausgefüllt
vpn4
vpn2
vpn5
vpn3
Member: aqui
aqui Oct 12, 2023 updated at 16:40:39 (UTC)
Goto Top
Das ist schonmal der erste Fehler.
Das es das bei einer Router Anbindung der 2 IP Netze per VPN koppelt wohl NICHT sein kann sagt einem aber auch schon der gesunde IT Verstand! 🧐
Was geb ich hier denn dann an?:
Steht doch alles in der dir oben geposteten Anleitung. Lesen und Bilder genau ansehen hilft wirklich! face-wink
Also was ist hier in dem Fall das entfernte Netzwerk?
Das "entfernte" Netzwerk ist logischerweise das IP Netz was am LAN Port des GL.inet konfiguriert ist. Was sollte sonst damit gemeint sein?! (Im obigen Beispiel also 192.168.8.0 /25 (255.255.255.0))
Die o.a. Konfig kann damit also niemals die korrekte Konfig Datei für deinen GL.inet sein die dir die Fritzbox zum Download bereitstellt!! ☹️
Zumindestens nicht wenn man die Konfig in der Fritzbox entsprechend korrekt angibt!!
So sähe das Netzwerk Design aus IP Sicht aus:
wggl

Hier ein dazu korrespondierendes Beispiel wenn das lokale LAN am GL.inet das Netzwerk 192.168.8.0 /24 hat!
fbwg.
Das kannst du ja auch ganz einfach mit der dir oben geposteten Beispieldatei vergleichen!
Ich hab bei entferntes Netwerk jetzt einfach mal 192.168.178.0 eingetragen.
Das wäre ziemlicher Blödsinn, denn dann wäre das LAN IP Netz deiner FB gleich dem IP Netz am GL.inet. Doppelte Netze also und ein NoGo mit Garantie zum Scheitern... 🧐
Das lernt ja schon der Azubi im ersten Lehrjahr das IP Netze im TCP/IP nicht mehrfach vorkommen dürfen. (Siehe dazu auch HIER)
Bei mir ist kein Listening Port eingetragen
Wähle im GL.inet Setup Menü unter der Wireguard Client Konfig immer den Karteireiter "Configuration" und nicht den Manual Input. Dort kannst du ganz einfach die fertige WG Konfig Datei der Fritzbox direkt rein cut and pasten!!
glconf

Empfehlenswert ist zudem den GL.inet über den Upgrade Button immer auf die aktuellste Firmware upzudaten. Ist das geschehen?
Das ist doch nun wahrlich alles kein Hexenwerk und in 10 Minuten erledigt! face-wink
Member: Varlor
Varlor Oct 12, 2023 updated at 16:56:05 (UTC)
Goto Top
Danke für deine ausführliche Erklärung und Geduld! Habe die entfernte Netzwerk Adresse abgeändert. Ich denke dass ich sowohl Fritzbox (7.57) als auch Gl inet (4.4.5) auf der aktuellsten Version habe. Vielleicht liegt das unterschiedliche Menü an dem Gl inet Router ? (AX3000). Ich habe die config immer per copy paste in die configuration gepastet ( auch wenn das hier wie gesasgt acuh schon anders bei mir aussieht):

Die Config sieht dann so aus, und im Item Mode ist weiterhin kein listening port eingetragen:

[Interface]
Address = 192.168.8.1/24
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
DNS = 192.168.178.1

[Peer]
AllowedIPs = 192.168.178.0/24
Endpoint = xxxxxxxxxxxxxxxxxx.myfritz.net:53359
PersistentKeepalive = 25
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Weiterhin die Fehlermeldung:

Thu Oct 12 18:33:04 2023 daemon.notice netifd: wgclient (504): Error: inet6 prefix is expected rather than "".  
Thu Oct 12 18:34:28 2023 daemon.notice netifd: wgclient (4626): cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory  
Thu Oct 12 18:34:29 2023 daemon.notice netifd: Interface 'wgclient' is now down  
Thu Oct 12 18:34:29 2023 user.notice mwan3[4648]: Execute ifdown event on interface wgclient (unknown)
Thu Oct 12 18:34:29 2023 user.notice firewall: Reloading firewall due to ifdown of wgclient ()
Thu Oct 12 18:34:36 2023 daemon.notice netifd: Interface 'wgclient' is setting up now  
Thu Oct 12 18:34:38 2023 daemon.notice netifd: wgclient (5443): Error: inet6 prefix is expected rather than "".  
Thu Oct 12 18:34:51 2023 daemon.notice netifd: wgclient (6274): cat: can't open '/tmp/run/wg_resolved_ip': No such file or directory  
Thu Oct 12 18:34:51 2023 daemon.notice netifd: Interface 'wgclient' is now down  
Thu Oct 12 18:34:52 2023 user.notice mwan3[6296]: Execute ifdown event on interface wgclient (unknown)
Thu Oct 12 18:34:52 2023 user.notice firewall: Reloading firewall due to ifdown of wgclient ()


Was mir im direkten Vergleich mit deinen Bildern aufällt ist, dass in der Firtzbox Endpunkt(Domain) nicht definiert ist. Das ist ja im grunde auch die listening port nummer... Aber warum?
vpn7
vpn8
vpn6
vpn9
Member: aqui
aqui Oct 12, 2023, updated at Oct 13, 2023 at 08:39:29 (UTC)
Goto Top
dass in der Firtzbox Endpunkt(Domain) nicht definiert ist.
Das muss es auch nicht!
Wie der Name schon sagt ist die Fritzbox lediglich "Responder" (Server), sprich sie antwortet also auf eingehende Wireguard Connection Anforderungen wie die deines GL.inet z.B.
Folglich braucht also einzig nur der GL.inet als "Initiator" (Client) die Endpoint Adresse und UDP Port und nicht die Fritzbox. Genau deshalb auch die einleitende, grundsätzliche Frage ob deine FB als Client oder als Server arbeitet. 😉
Für den GL.inet gibt deine Fritzbox deshalb ja ihren UDP Listening Port mit 53359 auch strikt vor für den GL.inet Client!
Das deine lokale GL.inet LAN Netzwerk Adresse 192.168.8.0 /24 bzw. die Router LAN IP die .1 ist hast du geprüft? Das muss mit der Konfig Datei übereinstimmen. (Bei den kleineren GL.inet Routern ist das der Default)

Bedenklicher ist der Fehler: "Error: inet6 prefix is expected rather than ""."
Kann es sein das deine Fritzbox an einem sog. DS-Lite Anschluss hängt und damit keine öffentliche IPv4 Adresse mehr hat??
Dann wäre eine Wireguard VPN Verbindung zumindestens wie oben über IPv4 technisch unmöglich und nur per IPv6 realisierbar.
Was ergibt ein nslookup meineid.myfritz.net in der Eingabeaufforderung und stimmt die damit angezeigte IP mit der WAN IP deiner FB (Übersicht) überein? (Myfritz Beispieldomain hier natürlich mit deiner ersetzen!)
Kannst du diese Fritzbox WAN IP bzw. deinen Domainnamen von extern, z.B. dem Mobilfunknetz, anpingen?
(Hilfreich sind dafür die bekannten Smartphone HE.NET Tools die es in beiden Appstores bei Apple und Google kostenfrei gibt.

Auf DS-Lite Anschlüsse kann man netztechnisch von extern mit IPv4 nicht mehr zugreifen, weil das CGNAT Gateway am Provider dies technisch unmöglich macht.
Prüfe also anhand deiner Vertragsunterlagen ob hier DS-Lite im Spiel ist.
Du kannst das auch an deiner IPv4 Adresse an der Fritzbox sehen. Wenn das eine RFC 1918 IP oder eine RFC 6598 IP ist, dann ist zumindestens der IPv4 VPN Zugriff auf die FB technisch nicht möglich von extern.
Member: Varlor
Varlor Oct 12, 2023 at 21:20:41 (UTC)
Goto Top
Jap sieht nach DS Lite aus: "FRITZ!Box verwendet einen DS-Lite-Tunnel, M-net automatisch
AFTR-Gateway:...."

Wenn ich nslookup abcd.myfritz.net in der cmd ausführe kommt folgendes auf dem Bild:

Die App gibt es leider nicht für aktuelle Android Versionen wie es scheint.

Das heißt im Grunde muss ich mir Dual Stack bei MNet besorgen, damit das überhaupt klappt? Aber warum geht es dann mit den wireguards apps auf tablet, handy und laptop direkt an die fritzbox ohne den glinet router?
vpn10
Member: aqui
aqui Oct 13, 2023 updated at 08:31:42 (UTC)
Goto Top
Das heißt im Grunde muss ich mir Dual Stack bei MNet besorgen, damit das überhaupt klappt?
Ja, zumindestens wenn du mit IPv4 zugreifen willst.
Eine alternative Lösungsmöglichkeit wäre mit einem Wireguard Jumphost zu arbeiten, was aber einen kostenpflichtigen vServer erfordert.

Ab 7.5 supportet die FritzBox ja auch VPNs mit IPv6. Man kann dann den Tunnel mit v6 aufbauen lassen und im Tunnel v4 fahren, das geht. Zumindestens mit "normalem" Wireguard. AVM lässt aber durch seine proprietäre und nicht Standard konforme Wireguard Implementation eine spezifische Konfig nicht zu. face-sad
kommt folgendes auf dem Bild:
Der o.a. nslookup Screenshot ist leider völlig sinnfrei denn so kann niemand sehen ob du eine v4 oder v6 Adresse vom DNS zurückbekommen hast.
Zumindestens das hättest du schreiben können oder nur relevante Teile des Screenshots unsichtbar zu machen. 😡
Außerdem solltest du dir FAQs zu embeddeten Bildern einmal wirklich durchlesen. Dann hättest du gesehen das mit Klick auf "+" der Bilder URL auch im richtigen Kontext innerhalb deines Textes erscheint und nicht sinnfrei, aus dem Zusammenhang gerissen, am Ende des Threads. face-sad
Aber warum geht es dann mit den wireguards apps
Das ist immer eine Einzelverbindung eines singulären Clients die NICHT routen muss. Dein GL.inet routet aber ein ganzes IP Netz hat also ein völlig anderes WG Setup.
Die App gibt es leider nicht für aktuelle Android Versionen
Nope, zumindestens hier auf einem aktuellen Xiaomi nicht der Fall. Aber wer hat schon Androiden Müll...
Member: Varlor
Varlor Oct 16, 2023 at 20:46:07 (UTC)
Goto Top
Hallo, danke nochmal für den gesamten Input und deine Hilfe. Ich habe tatsächlich bei Mnet dann dual stack dazu bestellt. Er hat sich dann auch verbunden allerdings kam ich nicht ins Internet. Ich habe dann wie in diesem Thread hier: Wireguard Fritzbox noch bei allowed ips 0.0.0.0/0 angeben und zack es ging. Danke nochmals!!
Member: aqui
aqui Oct 17, 2023 updated at 09:52:29 (UTC)
Goto Top
"Noch" zusätzlich angeben wäre völliger Unsinn, denn 0.0.0.0/0 inkludiert ja schon alles. Mehr als alle IPs geht ja logischerweise nicht. Es reicht also wenn das allein dort steht!
Der große Nachteil bei Gateway Redirect (0.0.0.0/0) statt Split Tunneling ist das der GL.inet dann sämtlichen Traffic, auch allen deinen lokalen Internet Traffic in den Tunnel schickt und damit die VPN Performance belastet. Siehe dazu auch HIER.
Gut, ggf. willst du genau dieses Verhalten ja auch das aller Traffic wenn du egal wo auf Reisen bist geschützt über den VPN Tunnel und deinen heimischen Anschluss laufen soll. Dann kann man das natürlich auch so belassen.
Member: Varlor
Varlor Oct 17, 2023 at 10:00:24 (UTC)
Goto Top
Hmm ich verstehe..Danke für den Link. Dann Frage ich mich natürlich weiterhin warum die eine IP( in meinem fall 192.168.178.0/24) nicht ausgereicht hat. Muss ich da noch was bei der Fritzbox in Richtung Port forwarding/ Freigabe beachten?
Member: aqui
aqui Oct 17, 2023 at 10:10:21 (UTC)
Goto Top
Nein, muss man nicht, denn die FB hängt ja direkt im Internet als VPN Server (Responder) und muss folglich auch nix forwarden. Wohin auch??
Vermutlich hat deine GL.inet Konfig Datei einen Fehler?!
Member: iDavUz
iDavUz Feb 21, 2024 at 13:25:35 (UTC)
Goto Top
Hallo, Ich hatte gehofft mit deiner Anleitung meine Verbindungsprobleme lösen zu können. Leider bekomme ich es nicht hin.

Setup:
Fritzbox zu Hause: 192.168.178.1
GL.iNet GL-MT300N-V2 "Mango": 192.168.8.1 - dieser soll sich von unterwegs als Client mit meiner Fritzbox verbinden - z.B. für Zugriff auf das Heimnetz aber auch für eine deutsche IP

Nach der Einrichtung an der Fritzbox 1:1 nach deiner Beschreibung gebe ich folgende Config in den Mango in das Konfigurations-Feld ein:
[Interface]
PrivateKey = xxxxxxxxxxxx
Address = 192.168.8.1/24
DNS = 192.168.178.1

[Peer]
PublicKey = xxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxx
AllowedIPs = 192.168.178.0/24
Endpoint = abcdefghij.myfritz.net:54700
PersistentKeepalive = 25

Wähle ich nun "Verbinden" auf dem Mango, dann wird keine Verbindung hergestellt. Der Status bleibt gelb/orange. Auch in der Fritzbox kommt nichts an.

Ich nutze einen Internetanschluss von Deutsche Glasfaser, nach meinem Kenntnisstand kein DS-Lite sondern Dual Stack mit CGNAT (wobei ich hier technisch abgehängt bin). Eine IPv4 wird mir in der Fritzbox angezeigt. Ist es mit diesem Anschluss überhaupt möglich, die Verbindung aufzubauen? Oder habe ich noch einen Fehler drin?
Member: aqui
aqui Feb 21, 2024 updated at 16:35:40 (UTC)
Goto Top
Hier wäre die korrekte Anleitung für einen GL.inet Router!:
Fritzbox VPN Wireguard Verbindung zu Beryl Client

Die "Address = 192.168.8.1/24" In der Setup Datei entspricht der LAN IP des GL.inet.
nach meinem Kenntnisstand kein DS-Lite sondern Dual Stack mit CGNAT
Nein, normalerweise nicht denn bei der DG gibt es nur DS-Lite auf Konsumeranschlüssen.
Wäre auch technischer Unsinn, denn bei einem richtigen Dual Stack Anschluss bekommt man bekanntlich immer sowohl eine öffentliche IPv4 Adresse als auch eine öffentliche IPv6 Adresse! Folglich gibt es bei einem richtigen Dual Stack prinzipbedingt gar kein CGNAT! Muss ja nix geNATet werden wenn man öffentliche und damit routebare IP Adressen hat.
DG ist eigentlich bekannt dafür das es auf Consumer Anschlüssen ausschliesslich nur DS-Lite gibt dann zwangsweise technisch bedingt immer mit CG-NAT. Dual Stack gibt es nur für Business Anschlüsse.
Kannst du im Dashboard deiner Fritzbox auch immer selber sehen ob da eine typische CGNAT RFC1918 IP oder eine RFC6598 IP prangt die nicht routebar sind.
Sowas weiss man aber auch vorher wenn man DS-Lite Anschlussverträge unterschreibt!

CG-NAT ist immer ein sehr sicheres Indiz dafür das es de facto ein DS-Lite Anschluss ist denn nur da muss man es ja nutzen. Damit dann auch der finale Todesstoß für dein VPN Projekt. face-sad Zumindestens für IPv4.
Du kannst das dann nur via IPv6 lösen und darüber IPv4 tunneln, was dann aber immer ein IPv6 Netz für den Client erzwingt. Oder du löst das über einen preiswerten vServer als VPN Jumphost. Außer IPsec ginge das auch mit WG bei der FB.
Andere Optionen von außen per IPv4 auf deinen Router zuzugreifen hast du bei DS-Lite generell nicht!
Member: iDavUz
iDavUz Feb 21, 2024 at 16:58:09 (UTC)
Goto Top
Herzlichen Dank für deine Antwort! Die von dir verlinkte und von dir erstellte Anleitung hatte ich verwendet. Jetzt habe ich aber Gewissheit, das ich hier erstmal keine weitere Zeit investieren sollte.
"Sowas weiß man vorher" - ja, wenn man weiß, was man zukünftig brauchen wird und welche Fragestellungen einen dann beschäftigen werden face-wink Außerdem war ich froh überhaupt geschwindigkeitstechnisch in der Gegenwart anzukommen. Sei es drum. Aktuell hätte ich über einen Partner von DG die Möglichkeit für knapp 12€/M eine feste IPv4 zu bekommen. Mag angemessen sein, aber das ist es mir nicht wert. Deine anderen Ideen werde ich mir sicherlich auch noch ansehen!
Member: GeneralX
GeneralX Mar 07, 2024 at 14:08:48 (UTC)
Goto Top
Danke für die Posts anhand dieser ich mein Problem mit der Fritzbox uznd dem Beryl nachvollziehen konnte.

Bei mir wird sowohl im Beryl als auch in der Fritzbox der "grüne" Verbindungspunkt angezeigt.
Die Verbindung scheint zu funktionieren; allerdings habe ich mit dieser Verbindung kein Internet, wenn ich mich per WLAN über den Beryl einlogge.

Woran könnte das liegen?
1
5
3
2
Member: aqui
aqui Mar 07, 2024 updated at 15:46:20 (UTC)
Goto Top
Was sagt denn ein ipconfig -all auf dem Client zum benutzen DNS Server?
Vermutlich meinst du mit dem laienhaften "kein Internet" das du lediglich keine Hostnamen per DNS auflösen kannst, richtig?
Ob dem so ist kannst du ganz einfach testen wenn du einmal eine nackte IP im Internet pingst wie 8.8.8.8 und danach mal einen ping auf www.heise.de machst.
Klappt der IP Adress Ping dann hast du auch Internet! face-wink
Member: GeneralX
GeneralX Mar 10, 2024 updated at 15:08:26 (UTC)
Goto Top
Ja, laienhaft, sorry, bin nicht in diesem Gebiet ausgebildet.

Leider kein Erfolg. Habe ich doch in der Config irgendwo einen Fehler drin? Ist so gemacht, wie oben.
ping1
ipconfigall2
Member: GeneralX
GeneralX Mar 10, 2024 at 15:40:46 (UTC)
Goto Top
BTW, ich glaube ich habe den Fehler hier drin, weil ich die Werte von oben abgeschrieben habe.
Wie kann ich abfragen was ich eintragen muss?
Leider für den Anfänger hier absolute Katastrophe, ich weiß nicht wie man das userfriendly von AVM bezeichnen kann...
3
Member: GeneralX
GeneralX Mar 10, 2024 updated at 16:01:48 (UTC)
Goto Top
Von AVM ist keine Hilfe zu erwarten, sie wissen nicht mal was unter Endpoint drin stehen sollte und lassen mich im Regen stehen mit dem Problem
4
Member: aqui
aqui Mar 10, 2024 updated at 17:25:54 (UTC)
Goto Top
Wie kann ich abfragen was ich eintragen muss?
Das geht bei der nicht Standard konformen IPsec Implementation von AVM nicht. Du hast nur eine einzige Chance beim Erstellen der Konfiguration die Client Konfig Datei downzuloaden. Wenn du die nicht gesichert hast, dann musst du bei AVM das Setup komplett löschen und neu anlegen. Der Fluch wenn man das auf einer Fritzbox nutzt.
Unter "Endpoint" steht logischerweise die Ziel IP Adresse oder der (DDNS) Hostname des Servers drin. Bei dir dann vermutlich der myFritz Hostname den du ja zwangsweise anlegen musst wenn du Wireguard auf der FB einrichtest.
Wie du ja oben an deinen Ping Tests sehen kannst wird ein Hostname korrekt aufgelöst in seine Ziel IP. Ein DNS Problem kann man also folglich ausschliessen.
Gravierender ist das ein nackter Ping einer IP fehlschlägt, was schon zeigt das generell mit dem Internet Zugang etwas nicht stimmt. Ohne das Setup genau zu kennen ist das aber alles Kristallkugelei.

Das Setup ist auch haarklein und für Laien verständlich in dem GL.inet Tutorial beschrieben und ja nun wahrlich auch kein Hexenwerk:
Fritzbox VPN Wireguard Verbindung zu Beryl Client
Member: GeneralX
GeneralX Mar 10, 2024 at 22:15:36 (UTC)
Goto Top
Danke dir, ich gebe es hiermit auf. Das ist einfach Bullshit von AVM wenn es beworben wird, aber dann nicht funktioniert.

Immerhin funktioniert als das VPN von Keepsolid einwandfrei im Beryl, in ein paar Minuten eingerichtet.
Member: Beatsystem
Beatsystem Mar 23, 2024 at 16:03:08 (UTC)
Goto Top
Hi, habe das gleiche Problem.

Abhilfe hat das hier gebracht:
"AllowedIPs = 0.0.0.0/0"
Damit schickst du alles durch den Tunnel etwas Kontra Produktiv aber funktioniert!

Meld dich mal ob es klappt.
Member: GeneralX
GeneralX Mar 25, 2024 at 08:38:40 (UTC)
Goto Top
Perfekt, das funktioniert jetzt endlich mal.
Vielen vielen Dank!
Member: Varlor
Varlor Mar 29, 2024 at 16:11:54 (UTC)
Goto Top
Korrekt bei mir ebenfalls!