nachgefragt
Goto Top

Fritzbox WAN + WireGuard VPN

Hallo Admins,

zu folgendem Szenario habe ich eine Frage:

In einem Bürogebäude teilt man sich zum Teil die Infrastruktur und den Internetzugang, eine Fritzbox 7590AX wurde gerade als Router angeschlossen und stellt ein eigenes Netz (LAN, WLAN).

Internet
Das Internet kommt über den WAN Port, funktioniert.

WireGuard
Es wurde zum Test (Zugriff von außen) WireGuard eingerichtet, Notebook und Smartphone, im internen Netz funktioniert es (IP bekommen, Verbindungsanzeige in der FB auf grün).

Problem
  • Sobald man aus einem externen Netz kommt (Smartphone Hotspot), bekommt man weder einen Ping auf die FB noch Internet.
  • Die Verbindung wird am Notebook und Smartphone zwar aktiv angezeigt, in der FB Verbindungsanzeige sind jedoch die entsprechenden Clients nicht grün angezeigt.

Der Hausanschluss ist wohl über einen Lancom Router geschalten, auf den wir leider keinen direkten Zugriff haben, falls das was wäre.

Frage
Funktioniert die Kombination WAN Port + WireGuard überhaupt?

Vielen Dank für konstruktiven Input.

Content-ID: 7878068027

Url: https://administrator.de/forum/fritzbox-wan-wireguard-vpn-7878068027.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

radiogugu
radiogugu 17.07.2023 aktualisiert um 15:20:21 Uhr
Goto Top
Mahlzeit.

Auf dem vorgeschalteten Router (Lancom) muss der Wireguard Port (UDP) auf die vorhandene Fritzbox weitergeleitet werden. Der Wireguard Standard Port lautet 51820. Welchen FritzOS verwendet kann ich nicht sagen. Ich meine aber der variiert.

Blöde nur, wenn auf dieselbe Idee noch einer kommt, der ebenfalls auf der entsprechenden Internetleitung hängt.

Gruß
Marc
Lochkartenstanzer
Lochkartenstanzer 17.07.2023 aktualisiert um 15:29:06 Uhr
Goto Top
Zitat von @nachgefragt:

Frage
Funktioniert die Kombination WAN Port + WireGuard überhaupt?

Ja.

Moin,

Aus welchem Bereich kommen ddenn ie IP-Adresse der Fritte am WAN-Port. Manche Privider machen Carrier-grade-NAT und die Fritte ist i.d.R.von extern gar nicht erreichbar,sondern nur aus dem Providernetz oder aus dem LAN.

Unser lokaler Glasfaseranbieter nutzt z.B. 100.64.0.0/10 als DHCP-Bereich um die Kunden mit IPv4 zu versorgen, wenn man denen nicht ordentlich gegen das Schienbein tritt und sagt, daß man eine "richtige" v4-Adresse will.

Nachtrag:

In einem Bürogebäude teilt man sich zum Teil die Infrastruktur und den Internetzugang,

das hatte ich übersehen. Wenn der Infrastrukturbetreiber euch keien eigenen routebaren v4-Adressen gibt, scheitert ihrm am NAt des Infrastrukturanbieters. Der muß nämlich für Euch die Pkate aus dem Internet weiterleiten. Und ich glaube nicht, daß ihr da eine extrawurst gebraten bekommt.

Tritt diesem Infrastrukturbetreiber auf die Füße damit der Dir hilft, ein VPN aufzubauen.

Alternativ mietest Du Dir einen root-Server und machst den zum VPN-Jumhost.

lks
aqui
aqui 17.07.2023 aktualisiert um 15:35:30 Uhr
Goto Top
Der Hausanschluss ist wohl über einen Lancom Router geschalten
In einer Router Kaskade??
Dann hat Kollege @radiogugu es oben schon gesagt: Du muss in dem Falle natürlich zwingend am Lancom den von eurem FB Wireguard verwendeten UDP Port (Default ist das UDP 51820) auf die WAN IP der kaskadierten Fritzbox (LAN-1) per Port Forwarding weiterleiten.
Ohne ein Port Forwarding können doch von außen kommende Wireguard Requests logischerweise niemals die Lancom Firewall überwinden und auf die dahinter liegende Fritzbox gelangen! Nachdenken hilft... face-wink
Siehe auch hier.
aqui
aqui 23.07.2023 um 11:20:35 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
nachgefragt
nachgefragt 25.07.2023 um 14:10:05 Uhr
Goto Top
Zitat von @radiogugu:
Auf dem vorgeschalteten Router (Lancom) muss der Wireguard Port (UDP) auf die vorhandene Fritzbox weitergeleitet werden.
Danke für den Hinweis,
das soll wohl auch der Fall sein, jedoch kann ich es selbst nicht prüfen. Leider klappt es nicht.
Lochkartenstanzer
Lochkartenstanzer 25.07.2023 aktualisiert um 14:28:39 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @radiogugu:
Auf dem vorgeschalteten Router (Lancom) muss der Wireguard Port (UDP) auf die vorhandene Fritzbox weitergeleitet werden.

das soll wohl auch der Fall sein, jedoch kann ich es selbst nicht prüfen.
Doch. Indem Du mitsniffst, was auf der Fritte ankommt. Dann weißt Du, ob die Pakete weitergeleitet werden.

firefox_screenshot_2023-07-25t12-24-57.399z

lks
aqui
aqui 25.07.2023 aktualisiert um 15:00:39 Uhr
Goto Top
jedoch kann ich es selbst nicht prüfen. Leider klappt es nicht.
Doch, das kann man sogar sehr einfach selber überprüfen, indem man nämlich statt des kaskadierten Routers einmal testweise einen Wireshark Sniffer mit gleicher IP anschliesst.
Wenn man jetzt den Wireshark auf den geforwardeten UDP Port lauschen lässt und gleichzeitig von extern eine WG Verbindung eröffnet, dann sollten erwartungsgemäß am Wireshark eingehende UDP Pakete zu diesem Port zu sehen sein wenn wirklich ein Port Forwarding eingerichtet wurde.
Alternativ natürlich auch direkt mit der FritzBox wie Kollege @lks oben beschreibt.
Beides ist kinderleicht und in 5 Minuten erledigt und man hat damit auch gleichzeitig einen stichhaltigen Beweis um das dem Lancom Admin unter die Nase zu halten! 😉
aqui
aqui 12.08.2023 um 17:01:54 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!