WG - Zusätzliches Subnetz bei Allowed IPs

Entscheidend wäre noch die Information ob die Fritte als VPN Responder (Server) oder VPN Client (Initiator) arbeitet?
Zu mindestens die aktuellste 7.60er Firmware hält sich noch an die Wireguard üblichen Konfig Kommandos. Andernfalls gibt es einen Fehler beim Einspielen der Konfig Datei. Damit funktioniert die o.a. Erweiterung, wie schon gesagt, problemlos. Siehe dazu auch hier.

Die korrekte Schreibweise ist wie folgt:


Habe ich hier so mal importiert und funktioniert.
Nicht mit einen ; abschließen und keine "".

Wozu postet du dann eine IPsec Konfig?! Fisch und Fahrrad... 🤔
Das was AVM in der Konfig speichert hat NICHTS mit der Wireguard Syntax der WG Konfig Datei zu tun. Das sind 2 Paar Schuhe. Die WG Datei muss syntaktisch konform sein!
Richtig! War oben auch schon mehrfach angemerkt!! Wenn AVM die Syntax geändert hätte oder auch noch proprietär gemacht hätte wäre das noch schlimmer...
Wireguard Tutorial lesen hilft! Insbesondere das Kapitel über die nicht Standard konforme AVM Implementation!

Ich nutze die Fritzbox nur als Peer. Die Konfig sieht wie folgt aus:


Die Fritzbox ist eine 7590.

Achso, die Syntax habe ich überigens aus dem Export von der OPNsense und nicht von der Fritte selbst.
Wenn ich das mit einem anderen Tool generiere sieht es aber genau so aus. Auch mit der selben frischen notation.

Wo er Recht :D ist mir in dem Moment nicht aufgefallen.

OK bedeutet dann du betreibst die Fritte als Responder (Server). Ist das korrekt?!
Es reicht die Keepalives auf 25 zu setzen.

Ne, die Fritte ist Client und die OPNsense die Server Seite.
Was mich erstaunt hat, der Port auf Seiten der Fritzbox ist egal und darf von dieser selbst gewählt werden.
Theoretisch könnte ich hier aber noch einen FQDN eintragen.
Sorry, habe mich falsch ausgedrückt. Aber eigentlich ist das nicht mal falsch da alle Teilnehmer Peers sind. Völlig unabhängig davon, ob sie irgendwie eine öffentlich erreichbare Adresse in der Konfig haben.

Also spielst du diese Konfig in die Fritte ein die dann WG Client (Initiator) ist? Richtig?
Nein, der ist natürlich nicht egal und die Fritte wählt den auch nicht selber. Wie kommst du auf sowas??
Mit Endpoint = FQDN:11111 gibst du doch den Port strikt vor nämlich UDP 11111 ! Das muss auch so sein, denn der Server (Responder) hat ja einen festen "Listen Port" definiert auf dem er hört. Die Fritte darf also keinesfalls selber wählen. Es sei denn du meinst den Absenderport. Der ist aber wie bei allen anderen Verbindungen auch immer Random. Oder gibst du den auch an wenn du einen Webserver besuchst?!
Der Begriff "Peers" ist leider ziemlich irreführend, den der sagt nicht wirklich klar wer nun Initiator und wer Responder ist. Der Server hat den "Peer" zur Fritte ja auch eingetragen. Das verwirrt mehr als das es hilft. Besser klar sagen welche Seite welche Rolle im VPN hat.
Wenn du das VPN nur intern betreibst brauchst du keine öffentliche Adresse, das ist richtig. Soll der Server aber übers Internet erreichbar sein benötigst du zwingend eine öffentliche IP, Egal ob v4 oder v6.
Mit anderen Worten: Ein Client (Initiator) benötigt immer eine öffentliche Adresse nämlich die des Responders (Server). Der Server muss ja, wie der Name schon sagt, einzig nur auf eingehende Client Verbindungen "antworten". Außer den internen WG Peer Adressen und dem Public Key benötigt der als reiner "Lauscher" sonst nix.
Alle Details dazu erklärt der obige WG Merkzettel.

Das stimmt, auf Responder Seite muss dieser fest definiert sein. Aber ich könnte durchaus beide Seiten zum Responder machen. Dann muss ich auf beiden Seiten den Port mitgeben.
Das war alles nur hypothetisch. Laufen tut es wie in meinem Konfig-Snippet als Beispiel gezeigt.

Eigentlich ist der Begriff "Peer" schon korrekt. Denn das ganze Konstrukt lässt ziemlich abgefahrene Konfigs zu.
Ich habe selbst aber nur Setups mit max drei Peers am laufen. Das Thema ist aber, das jede Seite quasi alles wissen muss.

Das was ich hier gepostet habe ist genau das, was in der Datei zum Import in die FB drin stehen muss.
Nicht mehr und nicht weniger.

Ich spreche von dem Teil, den du beim Anlegen einfach im Wizard importieren kannst.
Ich weiß gerade nicht wie ich die FB-Konfig entschlüsseln könnte.

Was meinst du genau damit?? IP Adressen? Keys?
Für die IP Adressierung stimmt das, für die Keys natürlich nicht.
Ja, aber das sollte immer über die angepasste WG Konfig Datei mit klassischer WG Syntax geschehen die man einspielt. Ob das auch über eine Manipulation der allgemeinen FB Konfig Datei klappt ist fraglich. Wenn, dann auch nur wenn man den VPN Abschnitt wie üblich separat einspielt.
Der Wireguard Teil sieht aber das Hochladen der VPN Teilkonfig nach AVM Syntax gar nicht vor wie er im IPsec Teil üblich ist.
Wozu auch wenn man das über die klassische WG Konfig Datei mit WG Syntax machen kann und auch muss?!
Die globale FB Konfig zu ändern führt zu einem Fehler weil die Checksummen gesichert ist.
Wie Kollege @Spirit-of-Eli schon richtig sagt muss hier sehr genau unterschieden werden WELCHE Konfig Datei du meinst.
Die WG Anpassung klappt nur über das Customizing der reinen WG Konfig Datei mit originalen WG Kommandos und de facto NICHT über die die Fritzbox System Konfig Datei (.export) oder deren VPN Auszug (IPsec).

Die ist gar nicht verschlüsselt. Die .export Datei kannst du mit jedem einfachen Text Editor wie z.B. Notepad++ lesen. Die VPN spezifischen Einstellungen befinden sich in dem Abschnitt der mit "vpncfg" gelabelt ist. Das ist der Teil der bei customizten IPsec Konfigs eingespielt wird. Und auch nur da, weil das bei Wireguard NICHT möglich ist.
Der Wireguard Import will, wie oben schon richtig gesagt, ausschliesslich immer nur die Konfig Datei in der klassischen Wireguard Syntax "sehen". Eine Konfig Datei mit der Syntax der Fritzbox Systemsicherung scheitert demzufolge sofort! Einfache Logik!