145971
14.04.2022, aktualisiert um 12:37:08 Uhr
18204
37
0
Fritzbox Wireguard VPN + DNS Server
Moin!
ich hatte vor kurzem ein ähnliches Thema eröffnet, allerdings mit einem anderen Hintergrund.
Meiner Fritzbox 6660 Cable hat gestern die aktuelle Labor Version erhalten.
Wichtig hierbei ist mir das Wireguard VPN, welches mir allerdings Probleme macht.
Nun möchte ich wissen, ob das Problem durch die Fritzbox entsteht (weil Labor Version) oder durch einen Config Fehler meinerseits.
IST Siutation:
Wenn ich es so lasse, klappt es tadellos.
Allerdings möchte ich ja nur meinen DNS Server, als DNS Server angeben - damit auch alles durch Adguard läuft.
Wenn ich dann die DNS Zeile wie folgt anpasse:
funktioniert es zu Beginn noch, aber irgendwann kann der Client keine Webseiten mehr aufrufen und der Client lässt sich nicht mehr anpingen.
Wenn ich die VPN Verbindung trenne und wiederherstelle, klappt es wieder für X Minuten.
Habt Ihr noch eine Idee?
Oder Analysierungsvorschläge ?
ich hatte vor kurzem ein ähnliches Thema eröffnet, allerdings mit einem anderen Hintergrund.
Meiner Fritzbox 6660 Cable hat gestern die aktuelle Labor Version erhalten.
Wichtig hierbei ist mir das Wireguard VPN, welches mir allerdings Probleme macht.
Nun möchte ich wissen, ob das Problem durch die Fritzbox entsteht (weil Labor Version) oder durch einen Config Fehler meinerseits.
IST Siutation:
- In der Fritzbox habe ich unter Internet > Zugangsdaten > DNS Server > meinen eigenen DNS Server eingetragen (AdGuard)
- Dann habe ich über die Fritzbox eine Wireguard VPN Config für mein Macbook erstellt und etwas angepasst.
[Interface]
PrivateKey = XXX
Address = 192.168.108.201/32
DNS = 192.168.108.1, 192.168.108.250, fritz.box // .250 ist mein DNS Server
[Peer]
PublicKey = XXX
PresharedKey = xxx
AllowedIPs = 0.0.0.0/0, ::/0 // hiermit lasse ich ALLES über den Tunnel laufen
Endpoint = vpn.meinedomain.de:PORTNUMMER
PersistentKeepalive = 25Wenn ich es so lasse, klappt es tadellos.
Allerdings möchte ich ja nur meinen DNS Server, als DNS Server angeben - damit auch alles durch Adguard läuft.
Wenn ich dann die DNS Zeile wie folgt anpasse:
DNS = 192.168.108.250funktioniert es zu Beginn noch, aber irgendwann kann der Client keine Webseiten mehr aufrufen und der Client lässt sich nicht mehr anpingen.
Wenn ich die VPN Verbindung trenne und wiederherstelle, klappt es wieder für X Minuten.
Habt Ihr noch eine Idee?
Oder Analysierungsvorschläge ?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2499907791
Url: https://administrator.de/forum/fritzbox-wireguard-vpn-dns-server-2499907791.html
Ausgedruckt am: 21.04.2025 um 08:04 Uhr
37 Kommentare
Neuester Kommentar
Moin,
Welche DNS fragt denn der AdGuard an? Vielleicht liegt das Problem hier...
P.S.: Kennt der AdGuard das VPN Netz?
Gruß Looser
Welche DNS fragt denn der AdGuard an? Vielleicht liegt das Problem hier...
P.S.: Kennt der AdGuard das VPN Netz?
Gruß Looser
Upstream Server sind bei mir:
Mein clients im LAN, welche nicht via VPN verbunden sind, nutzen ebenfalls Adguard als DNS Server.
Hier klappt es tadellos
1.1.1.1
9.9.9.10Mein clients im LAN, welche nicht via VPN verbunden sind, nutzen ebenfalls Adguard als DNS Server.
Hier klappt es tadellos
Da es funktioniert, wenn Du die Fritte einträgst, liegt die Vermutung nahe, dass es ein Problem mit der AdGuard Konfig ist.
P.S.: Gib dem AdGuard mal die DNS des Providers.
P.S.: Gib dem AdGuard mal die DNS des Providers.
Und was genau könnte das Problem sein?
Wie kann ich dies analysieren ?
Wie kann ich dies analysieren ?
Schau mal in die Logs vom AdGuard, sobald nichts mehr geht. Da muss was drin stehen.
P.S.: Nochmal: kennt der AdGuard das VPN?
P.S.: Nochmal: kennt der AdGuard das VPN?
Wie darf ich die Frage verstehen?
Was meinst du mit, ob er das VPN kennt?
Welche IP Adresse bekommt der Client über VPN? Hast Du das entsprechende Netz im AdGuard eingetragen?
der bekommt eine IP aus dem 192.168.108.0 Netz.
Im o.g. Fall die .201
Im o.g. Fall die .201
Was sagen die Logs?
Hast Du als Basis mal die Anleitubg für Wireguard probiert?
https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesse ...
https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesse ...
Die VPN Verbindung klappt ja ;)
Da kann man ja nichts "falsch" einstellen - der assistent regelt das quasi.
Was meinst du mit Adguard Logs? Anfragenprotokoll?
oder wo kann ich die Logs sehen?
Da kann man ja nichts "falsch" einstellen - der assistent regelt das quasi.
Was meinst du mit Adguard Logs? Anfragenprotokoll?
oder wo kann ich die Logs sehen?
AllowedIPs = 0.0.0.0/0, ::/0
Böser Fehler, du setzt die IPv6 Default Route auf den Tunnel obwohl du dort keine IPv6 Adresse gesetzt hast, das kann ja nur schief gehen zumal IPv6 ja von Windows bevorzugt genutzt werden will.
okay! könnte natürlich eine Möglichkeit sein!
Wie kann ich das fixen?
Mit ipv6 hatte ich bislang wenig Berührungspunkte
Wie kann ich das fixen?
Mit ipv6 hatte ich bislang wenig Berührungspunkte
IPv6 Eintrag entfernen, sofern Du das nicht nutzt.
Jepp das ::/0 entfernen, aber Achtung, sofern dein DNS ein FQDN auf eine IPv6 Adresse auflöst und der Rechner anderweitig noch eine globale IPv6 Adresse besitzt läuft dieser Traffic dann nicht mehr durch den Tunnel sondern per IPv6 über die globale Adresse, da IPv6 Traffic von Windows per Default bevorzugt wird wenn man nicht geschraubt hat!
Okay, das habe ich gemacht!
Problem bleibt aber bestehen.
ABER, was mir nun aufgefallen ist.
Habe mit meinem Client die VPN Verbindung herstellt (nur ADguard DNS Server).
Dann nichts mehr mit dem Client gemacht. auf Fritzbox Webinterface ist dann nach ein paar Minunten zu sehen, das angeblich keine VPN Verbindung mehr besteht. Client zeigt aber an, dass die VPN Verbindung steht.
Wenn ich als DNS Server die Fritzbox lasse, sehe ich auf dem Webinterface der Fritzbox keine Trennung der VPN Verbindung - immer konstant.
Auch kann man sehen, dass der letzte Handshake 5 Minuten her ist. Fritzbox als DNS Server ist der letzte Handshake max. 2 minuten her.
Problem bleibt aber bestehen.
ABER, was mir nun aufgefallen ist.
Habe mit meinem Client die VPN Verbindung herstellt (nur ADguard DNS Server).
Dann nichts mehr mit dem Client gemacht. auf Fritzbox Webinterface ist dann nach ein paar Minunten zu sehen, das angeblich keine VPN Verbindung mehr besteht. Client zeigt aber an, dass die VPN Verbindung steht.
Wenn ich als DNS Server die Fritzbox lasse, sehe ich auf dem Webinterface der Fritzbox keine Trennung der VPN Verbindung - immer konstant.
Auch kann man sehen, dass der letzte Handshake 5 Minuten her ist. Fritzbox als DNS Server ist der letzte Handshake max. 2 minuten her.
AVM ist ja noch ziemliches Beta Gemüse was Wireguard anbelangt.
Problem bleibt aber bestehen.
Deine Client Adressierung stimmt nicht. Oder wenn sie stimmen sollte, stimmt deine DNS Adressierung dazu nicht !- Die "Address" unter dem [Interface] Statement bestimmt die Client IP Adresse im lokalen, internen WG VPN IP Netz. Das diese eine /32er Hostmaske hat ist schon ungewöhnlich und nicht normal. Bedeutet das du dann max. nur einen einzugen WG Client bedienen kannst und keine weiteren. Das ist schon ein Fehler !
- Wenn das 192.168.108.0er Netz dein internes WG Netz ist kann der Adguard DNS Server der doch ganz sicher im lokalen LAN der FB liegt doch niemals diese IP haben.
Mit anderen Worten deine IP Adressierung ist völlig wirr.
Lies dir das hiesige Wireguard Tutorial einmal genau und in aller Ruhe durch ! Besonders das Kapitel über die Server und Client IP Adressierung, dann wird dir das schnell klar und du siehst den Fehler zu deiner Konfig sofort.
Deine Konfig mit WG internem 192.168.108.0/25 IP Netz und lokalem 192.168.178.0/24 IP LAN Netz müsste z.B. so aussehen:
Server:
[Interface]
Address = 192.168.108.1/25
PrivateKey = xyz
ListenPort = 51820
[Peer]
PublicKey = zyx
AllowedIPs = 192.168.108.101/32
[Peer]
PublicKey = grz
AllowedIPs = 192.168.108.102/32
.101 und .102 sind z.B. 2 WG Clients
Client 1:
[Interface]
Address = 192.168.108.101/25
PrivateKey = abcd
DNS = 192.168.178.250
[Peer]
PublicKey = dfr
Endpoint = <frizBox_wan_adresse>:51820
AllowedIPs = 0.0.0.0/0
PersistentkeepAlive = 25
Client 2:
[Interface]
Address = 192.168.108.102/25
PrivateKey = dfgt
DNS = 192.168.178.250
[Peer]
PublicKey = blah
Endpoint = <frizBox_wan_adresse>:51820
AllowedIPs = 0.0.0.0/0
PersistentkeepAlive = 25
Das diese eine /32er Hostmaske hat ist schon ungewöhnlich und nicht normal.
Im Gegenteil das ist bei Wireguard normal und die Regel bei simplem Client to Site 😉
Aber doch nur wenn man einen einzigen Client hat und nicht 10 oder 100, oder ?!
Nö. Das ist Cryptokey Routing 😉. Von wo der Traffic des Clients kommen darf bestimmt der Server mit den AllowedIPs, ob am Client jetzt /24 oder /32 an der Address steht ist so gesehen wurscht, Hauptsache der Client sendet mit einer der am Server hinterlegten IPs für den Peer
Richtig, gilt aber doch nur für die Peer Definition wo man das Routing mit den entsprechenden Masken steuert:
https://www.wireguard.com/#cryptokey-routing
Aber doch weniger für die eigentliche IP Netz Definition des internen WG IP Netzes.
Dieses interne IP Netz definiert man ja in der Größe ähnlich wie OpenVPN ala ip address add dev wg0 192.168.2.1/24 (hier die Serverseite) und nicht mit /32er Hostmasken wie beim Routing sondern je nach Größe wie man es intern gestallten will, sprich welche max. Client Anzahl es bedienen muss.
Der Quickstart Guide der ofiziellen Doku ist da ja relativ eindeutig:
https://www.wireguard.com/quickstart/
https://www.wireguard.com/#cryptokey-routing
Aber doch weniger für die eigentliche IP Netz Definition des internen WG IP Netzes.
Dieses interne IP Netz definiert man ja in der Größe ähnlich wie OpenVPN ala ip address add dev wg0 192.168.2.1/24 (hier die Serverseite) und nicht mit /32er Hostmasken wie beim Routing sondern je nach Größe wie man es intern gestallten will, sprich welche max. Client Anzahl es bedienen muss.
Der Quickstart Guide der ofiziellen Doku ist da ja relativ eindeutig:
https://www.wireguard.com/quickstart/
Nur zur Info.
Meine Fritzbox hat die 192.168.108.1
AdGuard ist die 192.168.108.250
Da hat ein Netz mit 192.168.178.0 in meiner Situation nichts zu suchen ;)
Meine Fritzbox hat die 192.168.108.1
AdGuard ist die 192.168.108.250
Da hat ein Netz mit 192.168.178.0 in meiner Situation nichts zu suchen ;)
Bei einfachen Client-Configs ist das Schnuppe ob odrt 32 oder 24 steht, was in den Tunnel geroutet wird bestimmen ja die AllowedIPs in der Client-Config, wie der Wireguard Server dann weiter Routet bestimmt er selbst. Broadcast-Traffic gibt's hier ja nicht.
VPN Netz und LAN Netz müssen hier nicht unterschiedlich sein?
Der TO hat nämlich beides gleich...
Der TO hat nämlich beides gleich...
Das war auch meine Intention weil es auch laut offizieller Doku so sein sollte.
AVM frickelt das aber wohl mit /32er Hostrouting im gleichen IP Netz hin wie das LAN.
Der schlimme Verdacht liegt nahe das die wieder IP Adressen oberhalb von .200 in der lokalen LAN Range dafür nutzen und der DNS Server mit der .250 des TOs sich damit überschneidet.
Dafür spricht die Tatsache das der DNS Server immer weg ist wenn WireGuard aktiv ist. Das er x Minuten noch rennt ist der klassische DNS Cache Timer im Client.
Vermutlich löst sich das Problem wenn der DNS mal auf .199 gesetzt wird. Das ist die Crux bei der AVM Frickellösung mit WG.
AVM frickelt das aber wohl mit /32er Hostrouting im gleichen IP Netz hin wie das LAN.
Der schlimme Verdacht liegt nahe das die wieder IP Adressen oberhalb von .200 in der lokalen LAN Range dafür nutzen und der DNS Server mit der .250 des TOs sich damit überschneidet.
Dafür spricht die Tatsache das der DNS Server immer weg ist wenn WireGuard aktiv ist. Das er x Minuten noch rennt ist der klassische DNS Cache Timer im Client.
Vermutlich löst sich das Problem wenn der DNS mal auf .199 gesetzt wird. Das ist die Crux bei der AVM Frickellösung mit WG.
Nein, ist kein muss.
Solang es kein IP Konflikt gibt, ist alles i.O.
Die IPs der Clients suche ich mir ja nicht aus.
Die wird durch die Config der Fritzbox vorgegeben.
die .250 ist nicht nur nur Adguard, sondern auch meine Synology (wo Adguard als Docker läufter) und andere Systeme. Müsste die Synology inkl. aller Systeme nicht dann auch Probleme machen, wenn es wirklich daran liegt, das die Synology (inkl. Adguard) die .250 hat?
Solang es kein IP Konflikt gibt, ist alles i.O.
Die IPs der Clients suche ich mir ja nicht aus.
Die wird durch die Config der Fritzbox vorgegeben.
die .250 ist nicht nur nur Adguard, sondern auch meine Synology (wo Adguard als Docker läufter) und andere Systeme. Müsste die Synology inkl. aller Systeme nicht dann auch Probleme machen, wenn es wirklich daran liegt, das die Synology (inkl. Adguard) die .250 hat?
Wenn es so wäre das die IPs über .200 dann bei aktivem WG Tunnel deaktiviert sind dürftest du auch die Synology generell mit ihren Diensten über den WG Tunnel nicht mehr erreichen z.B. mit SMB/CIFS, FTP etc. sofern das aktiv ist.
aber das klappt problemlos
OK, dann kannst du das schonmal auschliessen.
Wenn du den DNS ganz weglässt was sagen dann nslookup oder dig auf FQDNs auch lokal wenn der Tunnel aktiv ist ?
Bei einem Winblows Client auch interessant ist ein ipconfig -all bei aktivem Tunnel wer denn dann DNS ist.
Wenn du den DNS ganz weglässt was sagen dann nslookup oder dig auf FQDNs auch lokal wenn der Tunnel aktiv ist ?
Bei einem Winblows Client auch interessant ist ein ipconfig -all bei aktivem Tunnel wer denn dann DNS ist.
Du meinst, in der Client konfig keinen DNS angeben?
Dann bekomm ich keinen DNS aufgelöst
nslookup google.de liefert kein Ergebnis
Dann bekomm ich keinen DNS aufgelöst
nslookup google.de liefert kein Ergebnis
Und wenn du dort nur die FB als DNS definierst ?
Die FB sollte dann eine DNS Weiterleitung fest auf die .250 haben.
Die FB sollte dann eine DNS Weiterleitung fest auf die .250 haben.
Dann ist das Ergebnis:
nslookup google.de
Server: 192.168.108.1
Address: 192.168.108.1#53
Non-authoritative answer:
Name: google.de
Address: 172.217.18.99
Und nu? 
Das Problem ist ja, das wenn die Clients die Fritzbox als DNS haben und diese wiederrum Adguard als Upstream DNS Server, sehe ich in den Logs immer nur, das die Fritzbox die Anfragen gestellt hat - nicht welcher Client
Das Problem ist ja, das wenn die Clients die Fritzbox als DNS haben und diese wiederrum Adguard als Upstream DNS Server, sehe ich in den Logs immer nur, das die Fritzbox die Anfragen gestellt hat - nicht welcher Client
Warten bis die FW nicht mehr Beta-Status hat oder bis dahin einen vernünftigen Wireguard-Server z.B. auf nem Raspi aufsetzen dann klappt's auch mit dem Nachbarn.
Was AVM da geritten hat das im Normalfall separate Wireguard Subnetz zu killen und die Clients auf verquere Methoden ins FB Netz zu mappen .. das kann ja auf dauer nur schief gehen und zu Inkompatibilitäten führen.
Naja ist ja eh nur Consumer Plaste-Gemüse und nur was zum spielen ...
Was AVM da geritten hat das im Normalfall separate Wireguard Subnetz zu killen und die Clients auf verquere Methoden ins FB Netz zu mappen .. das kann ja auf dauer nur schief gehen und zu Inkompatibilitäten führen.
Naja ist ja eh nur Consumer Plaste-Gemüse und nur was zum spielen ...
1
also meinst du, es liegt wirklich an der Beta?
Jepp da liegt noch einiges im Argen, nimm dir nen Raspi oder nen MIkrotik da kommt das alles sofort zum fliegen.
Nicht umsonst heißt das Beta Version, ergo nix für den Produktivbetrieb.
Nicht umsonst heißt das Beta Version, ergo nix für den Produktivbetrieb.
2
