merlino72
Goto Top

Mit Wireguard VPN auf kaskadierte Fritzbox zugreifen

Hallo zusammen,

ich bin neu hier und hoffe, nicht bereits bei meinem ersten Beitrag gegen eventuelle Forenregeln zu vestoßen. Falls doch freue ich mich über einen höflichen Hinweis.

Mein Anliegen ist folgendes:

Ich möchte über Mobilfunk mit meinem Smartphone auf mein NAS zugreifen, welche in einem eigenen Netzwerk an einer kaskadierten Fritzbox hängt.

Mein Netzwerk zuhause:

- Netcologne DS light Anschluss
- Modem ist eine Fritzbox 7490 mit FW 7.57 ==> Netzwerk 192.168.179.0
- dahinter hängt eine kaskadierte Fritzbox 7590, mit FW 7.57 als Router-Client mit Netzwerk 172.168.178.0 Sie stellt die Internetverbindung über WLAN zur 7490 her ("Internet/Zugangsdaten/Anderer Anbieter/vorhandener Zugang über WLAN")

Im Netz der FB7590 hängt per LAN-Kabel (über einen Switch und ein paar Powerlineadapter) ein QNAP-NAS TS-453B mit Geräte-IP 192.168.178.xxx:PORT

Auf diesen möchte ich von extern über Wireguard zugreifen können. Leider komme ich mit eingerichteter DDNS-Adresse (ipv64.net) auf der 7490 und WG-Verbindung nur bis zur UI-Oberfläche der ersten Fritzbox 7490. DDNS auf 7590 ist keins eingerichtet...ist das der Fehler, was mir mein logisches Verständnis aber verneint?!

Wie muss ich genau vorgehen, um mich weiterleiten zu lassen. Mit Portweiterleitungen habe ich es nicht geschaft....wahrscheinlich weil ich dabei einen oder mehrere Fehler gemacht habe. Ich habe in der FB7490 eine Porteitwerleitung zur FB7590 (IP-Adresse 192.168.179.xxx und für https-Server, den sie als Cient von der 7490 bekommen hat) eingerichtet. Jedoch, wenn ich diese Client-Geräte-IP der 7590 von extern ansteuere, dann passiert genau gar nichts. Selbst der Browser zeigt keinerlei Meldung an, ausser "Zeitüberschreitung" nach einer gefühlten Ewigkeit.

Kann mir jemand von Euch helfen, damit ich wenigstens auf die Oberfläche der 7590 gelangen kann? Insbesondere, welchen Port muss ich eingeben sobald es um den Zugriff auf das NAS geht? Den, den ich bisher auch verwende?...ist nicht der Standard https-Port 443 sondern von mir geändert.

Ach ja, bitte keine Vorschläge, das VPN des NAS zu benutzen und auch nihct die Einrichtung einer DMZ. nsbesodere letztes ist mir zu unsicher.

Falls Ihr weitere Angaben benötigt, lass es mich bitte wissen.
Vielen Dank für Eure Unterstützung.

Content-ID: 7938272514

Url: https://administrator.de/forum/mit-wireguard-vpn-auf-kaskadierte-fritzbox-zugreifen-7938272514.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

Boomercringe
Boomercringe 22.01.2024 um 10:48:48 Uhr
Goto Top
Hallo,

du musst tatsächlich nur den benötigten Port für Wireguard forwarden, gerade wenn du dir um Sicherheit etc. gedanken machst. Ich habe kürzlich ein ähnliches Szenario verwendet, Wireguard zur kaskadierten FB 7590, funktioniert einwandfrei.

Zuerst musst du die Wireguard Einrichtung abschliessen, da mWn. der Port zufällig festgelegt wird, und dann diesen in der 7490 auf die 7590 forwarden, nicht vergessen Wireguard verwendet UDP, nicht TCP.

Viel Erfolg.
kpunkt
kpunkt 22.01.2024 um 10:50:40 Uhr
Goto Top
Hm....du brauchst IMHO die Wireguard-Verbindung zur 7590. Da davor die 7490 steht, brauchst du eine Portweiterleitung für Wireguard auf die 7590.
Für den Login auf dem Smartphone nimmst du als Server die DDNS der 7490 und die Credentials für die 7590.

Anfrage aus dem Netz zur DDNS-Adresse wird per Portforwarding auf die 7590 geleitet und dort hast du das Wireguard-Gedöns im 192.168.178.0/24. Sollte funktionieren. Denke ich.
aqui
aqui 22.01.2024 aktualisiert um 12:29:10 Uhr
Goto Top
Modem ist eine Fritzbox 7490
Eine Fritzbox ist ein Router und kein Modem! Technisch ist da bekanntlich ein Unterschied.
Um es kurz zu machen...
Mit einem DS-Lite Anschluss hast du keinerlei Chance auf einen remoten IPv4 Zugang. Da hilft dir weder die oben fälschlicherweise genannte Portfreigabe noch sonstwas.

Die Ursache liegt im DS-Lite Anschluss selber und daran das du das zentrale NAT Gateway (CG-NAT) auf Providerseite von außen kommend nicht überwinden kannst und so mit Bordmitteln keinerlei Chance hast irgendwie von remote auf dein Netzwerk zuzugreifen. Zumindestens mit IPv4.
Mit Portweiterleitungen habe ich es nicht geschafft....wahrscheinlich weil ich dabei einen oder mehrere Fehler gemacht habe
Nein, du hast keine Fehler gemacht! Es liegt schlicht und einfach am DS-Lite Anschluss, denn es ist technisch unmöglich das Provider interne CG-NAT (IP Adress Translation) für IPv4 bei DS-Lite zu überwinden. (Siehe Funktionsskizze im o.a. Kompendium Artikel!)
Der Grund ist das viele kleine Provider keine IPv4 Kontingente mehr haben und so in ihren Kundennetzen private RFC 1918 IPs oder RFC 6598 Shared Adress Space benutzen der im Internet nicht geroutet wird und dann zentral mit einem IP Adress Translation Gateway auf öffentliche IPv4 Adressen umsetzen.
Das siehst du auch selber wenn du dir im Dashboard deiner Fritzbox deine WAN IPv4 Adressierung ansiehst die bei DS-Lite immer aus diesen genannten Bereichen kommt!
DS-Lite Provider Kunden können diese NAT nicht konfigurieren, also auch keine Ports für eingehenden Verkehr öffnen!

CG-NAT bzw IP Adress Translation an sich funktioniert bekanntlich immer nur in eine Richtung. Die andere Richtung ist ohne zusätzliche Hilfsmittel technisch nicht möglich! Sprich weder VPN noch Port Forwarding usw. funktioniert mit DS-Lite und IPv4. Wenn überhaupt, geht es nur mit IPv6.
Das alles sind aber auch schon lange allgemein bekannte Internet Binsenweisheiten die mittlerweile jeder Laie kennt und die man auf dem Radar haben solle BEVOR man sich an DS-Lite Anschlüsse bindet!
Diese Thematik beantworten wir hier gefühlt 2mal pro Woche! face-wink

Mit IPv6 allerdings klappt das problemlos. Du kannst auch IPv4 innerhalb eines IPv6 VPN Tunnels übertragen aber ohne zusätzliche Hilfe musst du immer sicherstellen das dein WG Client (Initiator) dann eine öffentliche IPv6 Absenderadresse hat.

Wenn du zwingend einen IPv4 basierten VPN Zugang bei DS-Lite benötigst hast du 3 Optionen:
  • Du beantragst einfache eine öffentliche IPv4 WAN Adresse sprich Dual Stack bei deinem Provider
  • Du löst das ganze mit einem preiswerten vServer als VPN Jumphost
  • Du nutzt einen kostenpflichtigen IPv4 Tunnelbroker

Optionen 1 und 2 sind die Gängigsten. 2 brauchst du auch nur wenn es keinerlei Möglichkeit einer öffentlichen IPv4 WAN Adresse bei deinem Provider gibt.
Wie man einen einfachen vServer Jumphost mit Wireguard oder mit den bordeigenen VPN Clients jeglicher Endgeräte realisiert erklärt dir ein hiesiges Foren Tutorial:
Jumphost mit vServer und Fritzbox bei DS-Lite realisieren

Alle weiteren Details in Bezug auf Wireguard erklärt dir das hiesige Wireguard Tutorial im Einzelnen!
Visucius
Visucius 22.01.2024 um 12:23:34 Uhr
Goto Top
Alternativ zu den von aqui genannten Optionen:

zerotier: https://www.youtube.com/results?search_query=qnap+zerotier
tailscale: https://www.youtube.com/results?search_query=qnap+tailscale
cloudflare: https://www.youtube.com/results?search_query=cloudflare+qnap
und Konsorten.

Hat alles seine Vor- und Nachteile face-wink
Merlino72
Merlino72 22.01.2024 um 12:55:07 Uhr
Goto Top
Hallo,

erstmal vielen herzlichen Dank für Eure zahlreichen und Superschnellen antworten.
Ich bin mir nicht ganz sicher, ob ich alles richtig verstehe, was ihr geschrieben habt.

Ist es richtig, dass mein Vorhaben nicht klappt, wegen DSlite, OBWOHL ich per WG-VPN bereits auf meine erste Fritzbox (7490) zugreifen kann?

Falls ja, woran liegt das? Daran, dass ich per ipV6 VPN auf die 7490 zugreifen, aber die Kommunikation zwischen beiden FB als ipV4 läuft?

Kann ich zwischen den beiden FB nicht einen "Tunnel" aufbauen (wie?), der die Anfragen von der 7490 an die 7590 weiterleiten, bzw, laienhaft ausgedrückt...übersetzt?

Die Ports der WG-Verbindung, irgendwas mit 52xxx, weiterzuleiten und dann klappt es, das würde sich mit dem langen Kommentar von @aqui widersprechen, aber ich werde es dennoch heute abend nach der Arbeit oder morgen einfach mal ausprobieren.
aqui
aqui 22.01.2024 aktualisiert um 13:16:51 Uhr
Goto Top
Ist es richtig, dass mein Vorhaben nicht klappt, wegen DSlite
Ja!
OBWOHL ich per WG-VPN bereits auf meine erste Fritzbox (7490) zugreifen kann?
Das liegt daran das deine FB ein VPN Initiator (Client) ist, sprich Diese FB also aktiv die VPN Verbindung aufbaut.
Hier kommt deine FB mit der IP Adresse des Provider NAT Gateways am Ziel "erste" Fritzbox an und hat somit einen gültigen Eintrag in der IP Adresstabelle des Provider NAT Gateways.
Die "erste" Fritzbox arbeitet als VPN Responder und hat mit an Sicherheit grenzender Wahrscheinlichkeit kein DS-Lite und damit eine öffentliche IPv4 Adresse am WAN Port.
Sie antwortet dann auf diesen VPN Request und da aber jetzt eine bestehende Session im Provider CG-NAT Gateway besteht kommt die Rückantwort auch wieder an an deiner Fritzbox. Erwartbares Verhalten also.
Solange sich also der VPN Initiator in einem DS-Lite Netz befindet klappt das. Das ist ja das gleiche Design im beschrieben Jumphost Beispiel. Auch da ist die Fritzbox immer VPN Initiator.

Ist aber wie in deinem o.a. Beispiel die FritzBox Responder hinter dem DS-Lite besteht keine aktive Session im CG-NAT Gateway des Providers und diese blockt dann jeglichen Zugriff von außen da es ohne bestehende Session auch gar keine ansprechbare öffentliche IPv4 Adresse gibt. Einfache NAT Logik! face-wink
Der lange Kommentar von @aqui widerspricht dem also nicht wenn man sich einmal genau und in Ruhe das Verbindungsverhalten vor Augen führt! face-wink

der die Anfragen von der 7490 an die 7590 weiterleiten, bzw, laienhaft ausgedrückt...übersetzt?
Ja das ginge.
Sofern deine "erste" Fritzbox eben diese öffentliche WAN Port IPv4 hat kannst du diese quasi als "Jumphost" für alle mobilen VPN Clients mit IPv4 benutzen und über den bestehenden Fritz zu Fritz VPN Tunnel ganz normal auf die Fritzbox und deren Netz hinter dem DS-Lite Anschluss problemlos zugreifen.
Leider hattest du uns diese Tatsache der 2ten FB verschwiegen im Thread sonst hätte man dir diese Lösung auch aufzeigen können. face-sad

Wie so ein S2S Setup mit mobilen Clients unter Wireguard aussieht zeigt dir dieses Tutorial.
Merlino72
Merlino72 22.01.2024 um 13:48:15 Uhr
Goto Top
Danke für Deine ausführliche Erklärung und dass du dir Zeit dafür genommen hast mir das nochmal zu erklären.

Nur nochmal zur Erinnerung...

Die kaskadierte Box 7590 bezieht ihren Internetzugang von der 7490, die einen DSlite Zugang hat.

Welche Angaben benötigst du noch zur FB7590, also der zweiten Box?

Das Tutorial schaue ich mir nach Dienstende an, da ich momentan auf Arbeit bin und nicht an meinem Rechner.
aqui
aqui 22.01.2024 um 15:26:24 Uhr
Goto Top
Nur um dein Setup zu verstehen: Welchen tieferen Sinn hat es 2 Fritzboxen überflüssigerweise zu kaskadieren? 🤔
Boomercringe
Boomercringe 22.01.2024 um 17:49:24 Uhr
Goto Top
Quote from @Merlino72:

Hallo,

erstmal vielen herzlichen Dank für Eure zahlreichen und Superschnellen antworten.
Ich bin mir nicht ganz sicher, ob ich alles richtig verstehe, was ihr geschrieben habt.

Ist es richtig, dass mein Vorhaben nicht klappt, wegen DSlite, OBWOHL ich per WG-VPN bereits auf meine erste Fritzbox (7490) zugreifen kann?

Und das sehe ich anders, wenn der Zugriff auf die 7490 klappt, wird auch der Zugriff auf die 7590 klappen. Du musst nur folgendes beachten: Bei der Einrichtung des Wireguard Setups auf der 7590 werden auch die client configs generiert und zum download angeboten. Du musst diese bei diesem Setup noch anpassen, da das benötigte MyFritz DynDNS nicht die tatsächliche WAN IP auflöst, sondern nur die interne IP aus dem Netz der 7490. In den Konfigs also die MyFritz Adresse der 7490 eintragen.

Falls ja, woran liegt das? Daran, dass ich per ipV6 VPN auf die 7490 zugreifen, aber die Kommunikation zwischen beiden FB als ipV4 läuft?

Kann ich zwischen den beiden FB nicht einen "Tunnel" aufbauen (wie?), der die Anfragen von der 7490 an die 7590 weiterleiten, bzw, laienhaft ausgedrückt...übersetzt?

mMn. gelöst in dem du einfach einen Tunnel direkt zur 7590 aufbaust

Die Ports der WG-Verbindung, irgendwas mit 52xxx, weiterzuleiten und dann klappt es, das würde sich mit dem langen Kommentar von @aqui widersprechen, aber ich werde es dennoch heute abend nach der Arbeit oder morgen einfach mal ausprobieren.

Ich habe genau dieses Setup erst vor kurzem eingerichtet. Bürogebäude mit einer FritzBox 7530 (nicht meine Idee) welche den vorhandenen Glasfaseranschluss den verschiedenen Mietern zur Verfügung stellt. In dem entsprechendem Büro läuft die 7590, die per Wireguard erreichbar ist, durch oben beschriebenes Portforwarding.
aqui
aqui 22.01.2024 um 18:09:21 Uhr
Goto Top
wenn der Zugriff auf die 7490 klappt, wird auch der Zugriff auf die 7590 klappen.
Bei einem DS-Lite Anschluss dann aber ausschliesslich nur mit IPv6!
Boomercringe
Boomercringe 22.01.2024 um 18:16:18 Uhr
Goto Top
Quote from @aqui:

wenn der Zugriff auf die 7490 klappt, wird auch der Zugriff auf die 7590 klappen.
Bei einem DS-Lite Anschluss dann aber ausschliesslich nur mit IPv6!

Obviously. Aber das war bisher anscheinend kein Problem, sonst würde er nicht auf die Oberfläche der 7490 kommen. Daher vielen Dank für deine Abhandlung zum Thema DS-Lite, hier geht es aber ziemlich sicher um Portforwarding.

Etwas bedenklich finde ich aber doch, dass du über dich und deinen Kommentar in der 3. Person referierst...
aqui
aqui 22.01.2024 aktualisiert um 18:44:20 Uhr
Goto Top
hier geht es aber ziemlich sicher um Portforwarding.
Das ist in der Tat vermutlich richtig. Ein entsprechendes Router Kaskaden Kapitel beschreibt diese PFW Thematik im VPN Umfeld auch etwas genauer.
Kardinalsfrage bleibt aber dennoch warum der TO unnötigerweise 2 FBs kaskadiert und so Performance durch unnötig doppeltes NAT und doppeltes Firewalling verschenkt.
Die etwas längere Ausführung sollte dem TO auch nur die deutlich eingeschränkten Optionen des IPv4 VPN Zugangs aufzeigen mit so einem Anschluss. Das Referieren war eher spaßig gemeint. 😉
Boomercringe
Boomercringe 22.01.2024 um 18:45:09 Uhr
Goto Top
Quote from @aqui:

hier geht es aber ziemlich sicher um Portforwarding.
Das ist in der Tat vermutlich richtig. Es sollte dem TO nur die eingeschränkten Optionen des IPv4 VPN Zugangs aufzeigen mit so einem Anschluss. Das Referieren war eher spaßig gemeint. 😉

Leider ist auch dein Kommentar völlig falsch. Du implizierst, dass die 7490 mit "an Sicherheit grenzender Wahrscheinlichkeit" kein DS-Lite sondern natives IPv4 hat, entgegen der eindeutigen Schilderung des TE...und anstatt dem TE eine Problemlösung auf seine sehr präzise gestellte Frage anzubieten, verrennst du dich und möchtest gleich sein ganzes Setup in Frage stellen.

Ist das hilfreich?
Merlino72
Merlino72 23.01.2024 um 06:23:28 Uhr
Goto Top
Guten Morgen,

Hört auf zu "streiten"...das lohnt saich nicht und kostet nur unnötig Kraft.

Zum Thema:
Leider bin ich gestern Abend nicht mehr wirklich dazu gekommen, mich vor den Rechner zu sezen. Aber Gedanken habe ich mir dennoch gemacht.

1. Fakt: Ich kann über eine DSlite Leitung per WG-VPN auf die, von aussen kommend, erste Fritzbox zugreifen. Das VPN hatte ich vor ein paar Wochen zwischen meinem Smartphone (Galaxy S10plus) und der Fritzbox eingerichtet.
Liegt darin schon der erste Fehler und ich hätte das Wireguard-VPN nicht in der 7490 sondern in der 7590 machen/einrichten sollen/müssen?

2. Wenn meine Frage unter 1) mit "Ja" beantwortet wird, dann sollte ich das erstmal versuchen, bevor ich die Portweiterleitung in der 7490 einrichte. Macht ja sonst keinen Sinn. Wenn Eure Antwort aber "Nein" lautet...kann ich die WG-VPN-Einstellungen nachträglich noch verwenden? Ich suche sie mir dann in der Fritzbox 7490 und nehme von dort den angegbenen Port um ihn als UDP-Weiterleitung von der 7490 an die 7590 einzurichten?

Sorry für meine wirklich "dummen" Fragen. Ich mache das zum ersten mal, also mit VPN und PWL. Bisher war ich aber immer schon am Zugriff auf die, in meinem Fall, 7490 gescheitert...

Noch eine kurze Ergänzung, warum ich die beiden Router kaskadiere:
a) ich möchte nicht, dass Geräte aus dem 7490er Netz auf Geräte im 7590er Netz zugreifen können.
b) Wie a) vermuten lässt, gehört mir die 7490 und die darin befindlichen Geräte nicht und aus baulichen Gegebenheiten ist ein Internetasnschluss per DSL oder Kabel in meiner Wohnung nicht möglich. Mobilfunk- und Satelliteninternet kommen für mich nicht in Frage...aus diversen anderen Gründen, die ich hier nicht näher darlegen möchte.
kpunkt
kpunkt 23.01.2024 um 06:48:24 Uhr
Goto Top
Siehe die ersten zwei Kommentare auf deine Frage.
Boomercringe
Boomercringe 23.01.2024 um 08:33:23 Uhr
Goto Top
Quote from @Merlino72:

Guten Morgen,

Hört auf zu "streiten"...das lohnt saich nicht und kostet nur unnötig Kraft.

Zum Thema:
Leider bin ich gestern Abend nicht mehr wirklich dazu gekommen, mich vor den Rechner zu sezen. Aber Gedanken habe ich mir dennoch gemacht.

1. Fakt: Ich kann über eine DSlite Leitung per WG-VPN auf die, von aussen kommend, erste Fritzbox zugreifen. Das VPN hatte ich vor ein paar Wochen zwischen meinem Smartphone (Galaxy S10plus) und der Fritzbox eingerichtet.
Liegt darin schon der erste Fehler und ich hätte das Wireguard-VPN nicht in der 7490 sondern in der 7590 machen/einrichten sollen/müssen?

2. Wenn meine Frage unter 1) mit "Ja" beantwortet wird, dann sollte ich das erstmal versuchen, bevor ich die Portweiterleitung in der 7490 einrichte. Macht ja sonst keinen Sinn. Wenn Eure Antwort aber "Nein" lautet...kann ich die WG-VPN-Einstellungen nachträglich noch verwenden? Ich suche sie mir dann in der Fritzbox 7490 und nehme von dort den angegbenen Port um ihn als UDP-Weiterleitung von der 7490 an die 7590 einzurichten?

Sorry für meine wirklich "dummen" Fragen. Ich mache das zum ersten mal, also mit VPN und PWL. Bisher war ich aber immer schon am Zugriff auf die, in meinem Fall, 7490 gescheitert...

Noch eine kurze Ergänzung, warum ich die beiden Router kaskadiere:
a) ich möchte nicht, dass Geräte aus dem 7490er Netz auf Geräte im 7590er Netz zugreifen können.
b) Wie a) vermuten lässt, gehört mir die 7490 und die darin befindlichen Geräte nicht und aus baulichen Gegebenheiten ist ein Internetasnschluss per DSL oder Kabel in meiner Wohnung nicht möglich. Mobilfunk- und Satelliteninternet kommen für mich nicht in Frage...aus diversen anderen Gründen, die ich hier nicht näher darlegen möchte.

Guten Morgen, keine Sorge über "dumme" Fragen, dafür gibt es diese Foren, und ich finde du hast deine Frage gut und präzise gestellt, daher lässt sich die auch beantworten. Daher stört es mich auch wenn andere dies nicht tun und stattdessen ob mutwillig oder unbewusst das Gegenteil von Hilfe anbieten...

Wie kpunkt und ich schon erwähnten brauchst du Wireguard zu deiner 7590, und dafür musst du den bei der 7590 Wireguard Einrichtung generierten Port in der 7490 auf die 7590 forwarden. Zusätzlich musst du die Wireguard-Konfigurationsdateien (z.B. auf deinem Smartphone/Laptop) bearbeiten und den Endpunkt mit der Myfritz url der 7490 austauschen, da die Myfritz url der 7590 nur auf die "interne" IP, die sie von der 7490 bekommt, auflösen wird.
aqui
aqui 23.01.2024 aktualisiert um 10:01:41 Uhr
Goto Top
Du implizierst, dass die 7490 mit "an Sicherheit grenzender Wahrscheinlichkeit" kein DS-Lite sondern natives IPv4 hat,
Nope! Ganz sicher nicht! Damit wäre ja auch die komplette Antwort absurd, denn die beschreibt ja genau das Dilemma mit IPv4 an einem DS-Lite Anschluss das dort eben IPv4 Zugriffe von extern technisch unmöglich sind. Schildert also das genaue Gegenteil. Wie gesagt...es geht um IPv4 only!
Mit anderen Worten: DU selber hast den Thread und auch die Antwort falsch oder zumindestens nicht richtig verstanden! face-sad

Fakt ist ja das der TO einen DS-Lite Anschluss hat und generell ist die Lösung mit Port Forwarding in solchen Kaskaden auch absolut richtig und wurde oben keineswegs bezweifelt wenn man die Formulierungen genau liest und versteht.
Dem TO sollte nur bewusst sein das die Funktion ausschliesslich nur für IPv6 gilt. Sprich der Zugriff kann nur mit einem Client funktionieren der auch eine IPv6 Adresse hat.
Mit IPv4 ist ein Client Zugriff von außen durch das Provider CG-NAT technisch generell unmöglich, egal ob PWL oder nicht! Nicht mehr und nicht weniger sollte damit ausgedrückt werden.
Zumindestens ist der Grund der Kaskadierung ja nun mit der DMZ des kleinen Mannes geklärt! 😉
Boomercringe
Boomercringe 23.01.2024 um 10:06:14 Uhr
Goto Top
Quote from @aqui:

Ist es richtig, dass mein Vorhaben nicht klappt, wegen DSlite
Ja!
OBWOHL ich per WG-VPN bereits auf meine erste Fritzbox (7490) zugreifen kann?

Lassen wir das....
aqui
aqui 23.01.2024 aktualisiert um 10:12:09 Uhr
Goto Top
Er kann deshalb zugreifen weil sein Client eben eine IPv6 Adresse hat und die Verbindung v6 basierend ist!
Du hast es immer noch nicht verstanden, aber richtig,...lassen wir das. face-wink
Boomercringe
Boomercringe 23.01.2024 um 10:19:03 Uhr
Goto Top
Quote from @aqui:

Er kann deshalb zugreifen weil sein Client eben eine IPv6 Adresse hat und die Verbindung v6 basierend ist!
Du hast es immer noch nicht verstanden, aber richtig,...lassen wir das. face-wink

Richtig, aber es funktioniert ja nicht, weil sein Internetanschluss DS-Lite verwendet. (lol) Du widersprichst dir komplett selber, hast die offensichtliche Lösung mit der Portweiterleitung nicht verstanden.

Du hast dich blamiert, leb damit.
aqui
aqui 23.01.2024 um 10:33:06 Uhr
Goto Top
Nope, die Blamage liegt ganz auf deiner Seite!
Ein IPv4 Frame von außen würde ja schon niemals an der ersten FB landen weil der ja bekanntlich niemals durch das CG-NAT des Providers kommt. v4 ist also per se völlig raus.
Verbindung klappt bei DS-Lite bekanntlich generell nur mit v6 von außen. Folglich muss die erste FB eingehende v6 Verbindungen dann mit PFW auf die 2te durchreichen. Simpler Klassiker und bestreitet ja auch keiner.
Externer, eingehender v4 Traffic kommt aber generell durch CG-NAT schon gar nicht an der ersten FB an. Für v4 nützt also auch kein PFW.
Aber egal, damit du dich nicht weiter blamierst lassen wir das jetzt besser endgültig.
Mit deinem Tip wird der TO das ja dann auch umfassend lösen können und gut iss. Da muss man sich dann nicht mehr blamieren oder streiten oder was auch immer...
Case closed.
Boomercringe
Boomercringe 23.01.2024 aktualisiert um 10:47:40 Uhr
Goto Top
Dein Hauptproblem, (neben einigen anderen) nennt sich "confirmation bias". Du liest "DS-Lite", und bei dir läuft ein Film ab. Dass der TE problemlos auf die 7490 trotz DS-Lite kommt (da sein mobile ISP offensichtlich IPv6 supported) ignorierst du nicht nur, du leugnest es geradewegs.

Dadurch bist du dann auch nicht in der Lage, das eigentliche Problem zu erkennen und lösen, auch wenn es noch so einfach ist.

Gut dass du kein Pilot bist...
Visucius
Visucius 23.01.2024 um 11:33:00 Uhr
Goto Top
Geht das persönliche, aufeinander einhacken, jetzt in jedem Thread los?!
Boomercringe
Boomercringe 23.01.2024 um 11:40:58 Uhr
Goto Top
Quote from @Visucius:

Geht das persönliche, aufeinander einhacken, jetzt in jedem Thread los?!

Ich bin neu hier, was mir extrem negativ aufgefallen ist dass manche nicht an Problemlösung und Unterstützung interessiert sind, sondern ihr Mitteilungsbedürfnis und Geltungssucht ausleben wollen.

Und damit bekommt man dann Antworten wie von aqui, die Oberlehrerhaft dann auch noch das Thema völlig verfehlen, schlichtweg falsch sind und dann hinterher so tun als hätten sie es doch eh von Anfang an gesagt, aka "Gaslighting".

Dagegen sage ich gerne was. "Be the change you want to see"
colinardo
colinardo 23.01.2024 aktualisiert um 11:55:24 Uhr
Goto Top
Servus @critconsulting
Ich bin neu hier, was mir extrem negativ aufgefallen ist dass manche nicht an Problemlösung und Unterstützung interessiert sind, sondern ihr Mitteilungsbedürfnis und Geltungssucht ausleben wollen.
Unterstelllungen und Beleidigungen sind hier ebenso unerwünscht wie das Starten von Flamewars. Einen Post der vollkommen unter der Gürtellinie war musste ich von dir leider schon löschen, kein schöner Start. Also bitte halte dich an unsere Richtlinien, ansonsten werden weitere vom Thema abschweifende Posts gelöscht und der Post geschlossen.
Persönliche Auseinandersetzungen gehören nicht öffentlich diskutiert. DANKE!

Gruß @colinardo (Mod)
Boomercringe
Boomercringe 23.01.2024 um 11:56:40 Uhr
Goto Top
Quote from @colinardo:

Servus @critconsulting
Ich bin neu hier, was mir extrem negativ aufgefallen ist dass manche nicht an Problemlösung und Unterstützung interessiert sind, sondern ihr Mitteilungsbedürfnis und Geltungssucht ausleben wollen.
Unterstelllungen und Beleidigungen sind hier ebenso unerwünscht wie das Starten von Flamewars. Einen Post der vollkommen unter der Gürtellinie war musste ich von dir leider schon löschen, kein schöner Start. Also bitte halte dich an unsere Richtlinien, ansonsten werden weitere vom Thema abschweifende Posts gelöscht und der Post geschlossen.
Persönliche Auseinandersetzungen gehören nicht öffentlich diskutiert. DANKE!

Gruß @colinardo (Mod)

Servus, akzeptiert! VG
Visucius
Visucius 23.01.2024 um 12:04:40 Uhr
Goto Top
Schade @colinardo, ich wollte schon ne Petition starten, dass wir hier auch Politik als Thema wieder stärker einbinden 😇
colinardo
colinardo 23.01.2024 aktualisiert um 12:10:40 Uhr
Goto Top
Zitat von @Visucius:

Schade @colinardo, ich wollte schon ne Petition starten, dass wir hier auch Politik als Thema wieder stärker einbinden 😇
Neiin, ich hol schon mal den Hammer aäh die Peitsche face-smile
foto2004
foto2004 24.01.2024 um 06:05:48 Uhr
Goto Top
Hallo, und entschuldigt dass ich mich da einmische, aber warum mietest dir nicht einen kleinen "Server" z. B. 1blu für einen 1€ oder bei anderen Anbietern und installiert dir da einen Wireguard mit dem sich ein Wireguard von "innen" darauf verbindet und du gest einfach mit dem Handy, oder was auch immer über den externen WireGuard in dein Netz.
Merlino72
Merlino72 24.01.2024 um 10:34:55 Uhr
Goto Top
Hallo Foto2004,

ohne die genauen Details näher zu kennen wäre das aus technischer Sicht bestimmt eine machbare Lösung.

Jedoch habe ich bereits zwei kleine "Server" in Form von zwei Qnap NAS Zuhause....damals angeschafft, genau aus dem Grund, weder eine Cloud noch einen Mietserver nutzen zu müssen.

Von daher, vielen Dank für Deinen Vorschlag, jedoch möchte ich die Herausforderung mit der Verbindung zu mir nach Hause schaffen.

Meine IT-Philosophie ist es, so wenig wie möglich Verträge, Abos oder sonstige Drittanbieter mit einzubeziehen - nicht nur, weil sie auch Geld kosten, sondern weil mir meine Datensicherheit als auch Privatsphäre sehr am Herzen liegt. Klar, ich kann mich nie zu 100% schützen. Aber ohne sich in diese Richtung bezüglich Eigene Sicherheit zu bemühen, ist das Scheunentor schneller offen als man es reslisieren kann.
Merlino72
Merlino72 25.01.2024 um 10:39:09 Uhr
Goto Top
Liebe Helfer-Helden,

leider funktioniert es bisher noch nicht...was habe ich bisher gemacht?

1. In FB7590 eine WG-VPN Verbindung eingerichtet. Die Configdatei gedownloaded/gespeichert und dann wie folgt bearbeitet: xyxyxyx.myfritz.net der FB7490 als Endpoint eingetragen, dabei aber ":59xxx" als Port stehen gelassen.

2. Die bearbeitete config-Datei gespeichert, und an mein Android Smartphone weitergeleitet.

3. Auf dem Smartphone die WG-App geöffnet und einen neuen Tunnel erstellt. Dabei habe ich die zuvor am PC bearbeitet config-Datei importiert. WG am Smartphone sagte in Bruchteilen einer Sekunde, dass eine neuer Tunnel erfolgreich eingerichtet worden sei, und diese "funktioniert" auch...leuchtet blau in der Android App, jedoch nicht grün in der Fritzbox 7490, obwohl die Verbindung stehen müsste...

4. In der FB7490 unter Internet/Freigaben/Portweiterleitung ein neues Gerät für Freigaben definiert, und zwar die FB7590 mit der ihr zugewiesenen Geräte-IP aus dem 7490er Netz, also 192.168.179.xyz
Die Fritzbox übernmmt automatisch auch auch eine Portfreigabe für die ipV6 der Fritzbox. Beide Freigaben leuchten grün

5. Für dieses Gerät eine neue Portweiterleitung eingerichtet, und zwar als "Andere Anwendung", Protokoll UDP, den aus der Config-Datei hinter dem Endpoit stehende Port angegeben.
Weite runten kannman anklicken:
- PING6 freigeben..da ist nicht aktiviert
- Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen....ist nicht aktiviert
- Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host)....nicht aktiviert

Das sollte eigentlich alles gewesen sein, oder?
Allerdings bin ich mir nihct zu 100% sicher, ob alle Geräte-IPs stimmen. Ich habe nichts verändert, was Wireguard in die config geschriebenhat. Und ich steuere mit aktivierter VPN Verbindung die Geräte IP meiner 7590er FB an...also 192.168.178.1 ....stimmz das so?

Also auf zum Test:

1. WLAN am Smartphone ausgeschaltet (weil ich mich mmentan im Heimnetz befinde)
a) Die WG-VPN Verbindung gestartet und die Geräte-IP der 7590 eingegben, die sie im 7490er Netz bekommt...geht nichts vorwärts und irgend wann kommt "Host Adresse nicht gefunden" oder "Verbindung nicht möglich"
b) Die WG-VPN Verbindung gestartet und die Geräte-IP der 7590 eingegben, die sie im 7590er-Netz hat...geht nichts vorwärts und irgend wann kommt "Host Adresse nicht gefunden" oder "Verbindung nicht möglich"
c) "fritz.box" im Browser ausprobieret...geht nicht
d) Meine DDNS Url "name.vp64.de" ausprobiert...."Adresse nicht gefunden"
e) Die myfritz.net-Adresse ausprobiert...mit und ohne Port dahinter...beides geht auch nicht...Host Adresse nicht gefunden

So...nun seid Ihr Experten gefragt...was habe ich vergesen oder gar falsch gemacht?

Und noch eine Frage...DDNS und my.fritz.net....widerspricht sich das nicht? Ich dachte immer..."entweder oder"! Wen ich die WG-configdatei mit der my.fritz-Adresse "bestücke", dann sollte doch eigentlich die DDNS egal sein, oder?

Zur Erinnerung...
kpunkt
kpunkt 25.01.2024 um 10:59:03 Uhr
Goto Top
Standardport für Wireguard ist UDP 51820
Visucius
Visucius 25.01.2024 um 11:02:52 Uhr
Goto Top
Standardport für Wireguard ist UDP 51820
AVM vergibt aber im Setup einen eigenen Port!
kpunkt
kpunkt 25.01.2024 um 11:09:31 Uhr
Goto Top
Zitat von @Visucius:

Standardport für Wireguard ist UDP 51820
AVM vergibt aber im Setup einen eigenen Port!

Okay, wusste ich jetzt nicht, bzw. war mir nicht so bewusst.

Hm...den Port der 7490 auf den Port der 7590 forwarden. DDNS wird ja explizit auf den Port der 7490 zeigen.
foto2004
foto2004 25.01.2024 um 11:49:15 Uhr
Goto Top
Sehe ich das richtig du nimmst den Wireguard von AVM her? Würde ich nicht machen. Auf dir einen kleinen Router (ich verwende dafür gerne die MangoBox GL-MT300N-V2) und leite die Ports durch die beiden FritzÖfen durch.

Ich arbeite bei mir wir auch mit doppelten NAT teilweise sogar mit 3. Wie gesagt ich bin kein Freund von dem Fritzgedöns weil die immer versuchen was eigenes daraus zu machen und du hast wenn dir die Box abraucht auch das Problem dass du neben dem neuen Router auch noch den VPN neu einrichten musst.

Was ich aber immer noch nicht erlesen habe ist ob du jetzt IP4 oder nur IP6 hast? Und ob, wenn IP6 ob es auch ein vollwertiger Anschluss ist oder nicht.

Übrigens zu den kosten von so "externen" Servern .... die gibt es schon für 1€ und wen die ordentlich konfiguriert sind hast du auch kein Einfallstor.
aqui
aqui 26.01.2024, aktualisiert am 27.01.2024 um 09:14:37 Uhr
Goto Top
Ein Bild sagt (vielleicht) mehr als 1000 Worte...

wireguard

Ein oben erwähnter Kardinalsfehler ist die wenig intelligente Wahl des .179.0/24er Netzwerkes als Koppelnetz der beiden FBs. Dies wird bekanntlich intern von AVM für das FB Gastnetz fest verwendet. Das wird unweigerlich zu Problemen führen.
Sollte das Gastnetzwerk bewusst gewählt wurden sein scheitert die Konfig so oder so, weil AVM/Fritzbox kein Port Forwarding ins Gastnetz supportet!
Merlino72
Merlino72 26.01.2024 um 20:27:27 Uhr
Goto Top
Oh, prima, vielen Dank. Das Bild kenne ich sogar...ist aber schon lange her. Hatte es im Netz gesehen.

Bzgl. Gastnetz der FB...ist das standardmäßig nicht die 192.168.188.x/24?
Also die erscheint bei mir immer wenn ich das GN aktiviere.
Merlino72
Merlino72 27.01.2024 aktualisiert um 08:31:40 Uhr
Goto Top
Noch eine Frage....in dem Schaubild ist das Subnetz /24 angegeben.

Ich habe in der ersten Fritzbox bereits Wireguard aktiviert und eine funktionierende WG VPN Verbindung auf die Oberfläche der ersten Fritzbox, in meinem Fall die 7490, eingerichtet. Die zeigt auf das Subnetz /32

Wenn ich das jetzt richtig verstehe, dann geht das nicht, oder? Also damit FB7490 das VPN auf die FB7590 durchreicht, darf auf FB7490 kein anderes Wireguard eingerichtet sein...richtig?

Die VPN Verbindung, die ich vorgestern auf der FB7590, der zweiten Box, eingerichtet habe, zeigt auf das Subnetz/32....muss ich das abändern auf /24? ...und vorher in der FB7490 entfernen/löschen?
Merlino72
Merlino72 27.01.2024 um 08:44:01 Uhr
Goto Top
So sieht die WG Verbindung in der zweiten Box 7590 aus. Kann es sein, dass es an meinen ipV6 Einstellungen in der 7590 liegt? Was genau muss ich da aktivieren, deaktivieren, einrichten?
screenshot_20240127_083534_firefox

Und so sieht die Portfreigabe in der 7490 aus:
screenshot_20240127_083354_firefox
aqui
aqui 27.01.2024 aktualisiert um 09:38:19 Uhr
Goto Top
ist das standardmäßig nicht die 192.168.188.x/24?
Es gibt ein LAN und WLAN Gastnetzwerk was du vermutlich nicht beachtet hast?! face-sad Außerdem kannst du dir das auch immer selber ansehen wenn du dir die Konfig Backup Datei einmal in einem Text Editor ansiehst:
https://www.ip-phone-forum.de/threads/gästenetz-fest-ips-bzw-welche ...
Ich habe in der ersten Fritzbox bereits Wireguard aktiviert
Dann musst du zwingend 2 unterschiedliche UDP Ports für WG auf den FBs verwenden! Ansonsten kann die erste FB logischerweise den WG Traffic für die 2te FB nicht auseinanderhalten bzw. forwarden weil sie bei UDP Portgleichheit logischerweise "denkt" das ist für sie selber und nicht forwardet! Also einmal z.B. 51820 und einmal 52820 verwenden!
Also damit FB7490 das VPN auf die FB7590 durchreicht, darf auf FB7490 kein anderes Wireguard eingerichtet sein
Wenn 2 unterschiedliche UDP Ports für den Tunnel verwendet werden klappt das.
Die zeigt auf das Subnetz /32
Das ist natürlich totaler Quatsch, denn ein /32 "Netz" ist bekanntlich nur eine einzige Hostadresse aber kein Netzwerk!! Das weiss doch auch ein blutiger Laie. IP Subnetzmasken erste Klasse... face-wink
https://de.wikipedia.org/wiki/Netzmaske
Lesen und verstehen!! 🧐
Und....auch das Wireguard Tutorial wirklich einmal lesen und auch verstehen! Dort ist die ganze Routing und Masken Logik haarklein im Detail erklärt.
Kann es sein, dass es an meinen ipV6 Einstellungen in der 7590 liegt?
Nein. v4 und v6 sind ja identisch außer der etwas längeren Adressen. Allerdings kannst du auf einen DS-Lite Anschluss von außen prinzipbedingt nicht mit IPv4 zugreifen, da das zentrale CG-NAT des Providers das verhindert. Es geht nur mit IPv6 weil die einzioge öffentliche IP Adresse an einem DS-Lite Anschluss die IPv6 Adresse ist.
Das Thema sehen aber einige anders wie du an der vehementen Diskussion von oben gesehen hast und wollen wir hier bitte jetzt NICHT wieder anheizen!!!

Nebenbei: Mit sage und schreibe 34! Portfreigaben ist deine Router Firewall löchrig wie ein Schweizer Käse. Schon bei 2 Portfreigaben würde ein normaler User nicht mehr ruhig schlafen können, weil er ja mit offener Haustür, Kellertür und allen Fenstern (34) ins Bett geht. 🤔 Na ja, muss ja jeder selber wissen...
Merlino72
Merlino72 27.01.2024 um 09:47:31 Uhr
Goto Top
Nein, Öl gieße ich bestimmt nicht ins Feuer...das widerspricht meiner Vorstellung vom Umgang miteinander in IT-Foren.

Also...damit ich nochmal "frisch" anfange. Werde ich gleich, nach dem nächsten Kaffee, erstmal alle VPN Verbindungen und Portfreigaben löschen.

Danach mache ich mich daran auf der 7590er Box eine neue WG Verbindung zu meinem Smartphone mit WG einzurichten, die My.fritz-Adresse der 7490 in die WG config einzupflegen (muss der :Port mit eingepflegt werden oder reicht die myfritz.net Adresse?) und dann die config auf die 7590 einzuspielen. Danach mache ich die UDP-Portfreigabe aus der WG Configdatei in der 7490.
Erst wenn das funktioniert und ich per VPN auf die kaskadierte 7590 zugreifen kann wage ich mich an eine neue VPN Verbindung, die dann "nur" auf die erste Box 7490 zeigt.

Netzwerk Erste Klasse? ...deswegen verstehe ich das nicht. Ich bin noch im Netzwerkkindergarten...face-wink

Auf beiden FB ist bei mir das Gastnetzwerk deaktiviert...wollte ich nur so nebenbei erwähnen, falls das relevant ist.

Frage....Bei den beiden Bildern oben wird eine IP für das "entfernte Netzwerk" angegeben...im Netzwerkkreis der kaskadierte Box 7590....ist das korrekt? Ist das dann die IP, die ich anwählen muss um auf die UI der 7590 zu gelangen wenn die VPN Verbindung steht? Oder wähle ich die 192.168.178.1 (7590er Netz) oder gar die xxx.xxx.179.2 (7590 im 7490er Netz) ?
aqui
aqui 27.01.2024 um 10:01:12 Uhr
Goto Top
muss der :Port mit eingepflegt werden
Was meinst du damit?? den WG UDP Port?? 🤔 Wenn ja, gilt das oben Gesagte.
Auf beiden FB ist bei mir das Gastnetzwerk deaktiviert...
Das spielt keine Rolle, da die Gast IP Netze in der Firmware fest vergeben sind und damit in einem IP Design Tabu sind. Doppelte IP Netze sind ein fundamentales IP NoGo im TCP/IP. Du ahnst es schon: Netzwerkkunde, erste Klasse!! Es wäre also sinnvoll die IP Adressierung deshalb anzupassen.
im Netzwerkkreis der kaskadierte Box 7590....ist das korrekt?
Ja, wenn man die IP Adressierung statisch macht. Etwas einfachere Gemüter lassen sie im DHCP Verfahren laufen was dann aber zu einer dynamischen Adressvergabe führt.
Da die Port Forwardings aber imemr auf eine feste IP zeigen kann bei einer Adressänderung durch die Dynamik von DHCP dies mal ins Leere laufen. Zumindestens sollte man also dann eine feste Reservierung im DHCP klicken oder eben statisch setzen. Einfache Logik für den Admin! face-wink
aqui
aqui 25.02.2024 um 13:07:29 Uhr
Goto Top
Merlino72
Merlino72 29.02.2024 um 14:39:01 Uhr
Goto Top
Hallo und sorry, dass ich mich jetzt erst zurück melde.
Also, Ich habe das erste Netzwerk an der 7490, die von aussen s hauend die erste Box darstellt, die anetzwerk-IP abgeändert, also weg von 192.168.179.0, die ja offensichtlich von AVM als Gastnetzwerks-IP verwendet wird, auch wenn das Gastnetzwerk, wie bei mir, deaktiviert war.
Aber leider funktioniert es trotzdem nicht...Ich komme auf die erste Box, aber trotz Portweiterleitung nicht auf die zweite Box 7590, wo ich von aussen aus zugreifen möcht...auf die beiden NAS, die dort eingebunden sind.
Wenn ich ehrlich bin, so habe ich mich die letzten Tage nicht mehr damit beschäftigt, da ich hier im RL noch ein paar andere wichtige Aufgaben zu erledigen hatte. Aber wenn bei Euch die Hilfsbereitschaft nicht abhanden gekommen ist, so würde ich mich freuen, dieses"Projet" weiter zu verfolgen, und zwar mit Eurer tollen Unterstützung .
Welche Angaben werden von mir noch benötigt, bzw, welche Aufgaben tragt ihr mir auf?

VG, Merlino
aqui
aqui 29.02.2024 aktualisiert um 17:32:29 Uhr
Goto Top
von aussen s hauend die erste Box darstellt
Da geht's aber recht brutal zu bei dir... face-wink
Ich komme auf die erste Box, aber trotz Portweiterleitung nicht auf die zweite Box 7590
OK, die zweite Box ist dann dein Wireguard Server, richtig?
Dann musst du folgende Dinge beachten:
  • Auf der ersten Box darf keinesfalls irgendwas mit Wireguard aktiviert sein! Andernfalls scheitert die Port Weiterleitung auf die 2te Box
  • Stelle sicher das die erste Box DDNS (my.fritz oder anderen DDNS Dienst) aktiv hat und mit nslookup das diese DDNS Domain auf die WAN IPv4 Adresse der ersten FB auflöst. Checke im Fritzbox Dashboard das die öffentliche IPv4 übereinstimmt. Nur zur Erinnerung: An einem DS-Lite Anschluss ist ein VPN Betrieb mit IPv4 technisch generell NICHT möglich. ❗️Überprüfe also VORHER und bevor du dir einen Wolf konfigurierst das du keinen DS-Lite Anschluss mit CG-NAT hast!!
  • Überprüfe den von der 2ten Fritzbox verwendeten Wireguard UDP Port! Dieser Port MUSS mit dem im Port Forwarding der ersten FB konfigurierten Port Weiterleitung zwingend übereinstimmen. (Grundlagen zu Port Weiterleitung in einer Kaskade beachten!)
  • Sofern die 2te, kaskadierte Fritzbox ihre WAN IP von der ersten per DHCP bezieht stelle sicher das diese immer fest ist. (Mac Adress Reservierung) Andernfalls kann es passieren das durch die Dynamik von DHCP der Port Forwarding Eintrag ins Nirwana zeigt sollte die IP sich einmal ändern.

Wenn du all das genau beachtest und du kein DS-Lite Opfer bist kommt das alles auch sofort zum Fliegen! face-wink
Merlino72
Merlino72 29.02.2024 um 17:45:12 Uhr
Goto Top
Danke...eine sehr strukturierte Anleitung, die ich Punkt für Punkt abarbeiten kann und werde....wie ich vorhin bereits erwähnte habe ich momentan andere wichtige Dinge zu erledigen. Zum Beispiel bin ich gerade dabei an meinem Auto den elektrischen Fensterheber hinten links zu reparieren, damit die Scheibe oben bleibt und es nicht beim Nächsten Regen zur Überschwemmung kommt. Fanach, wahrscheinlich in den nächsten beiden Tagen, greife ich Wireguard und Weiterleitung nochmal an...Danke vorerst Ich melde mich sibald ich damit durch bin.

ach ja, also DS Lite habe ich von Net-Cologe...das steht fest. Aber was heißt "mit CG-NAT"? Wie kann ich das rausfinden? Wusste nicht, dass es unterschiedliche
DS LITE - Anschlüsse gibt. 😳🙈
aqui
aqui 29.02.2024 aktualisiert um 18:00:36 Uhr
Goto Top
Aber was heißt "mit CG-NAT"?
Den dir oben geposteten Link zu dem Thema hast du sicher NICHT gelesen, oder? 😡
"Carrier Grade NAT" also Provider zentriertes IP Adress Translation. Steht auch im o.a. Kompendium Artikel und ist dort explizit erklärt!! DS-Lite Provider benutzen auf Kundenseite im Internet nicht routebare IPv4 Adressen! Unterschiedliches DS-Lite gibt es auch NICHT.
DS Lite habe ich von Net-Cologe...das steht fest.
Dann vergiss alle deine VPN Ambitionen!! Zumindestens für IPv4 ist das an so einem Anschluss technisch NICHT ohne Mehraufwand möglich!
Merlino72
Merlino72 29.02.2024 aktualisiert um 19:37:14 Uhr
Goto Top
Danke Dir für die Erklärung. Dann muss ich das VPN Projekt wohl leider begraben.
Ich verstehe dennoch nicht, warum ich mit WG VPN bis zur 7490 komme, aber nicht weiter auf die 7590
aqui
aqui 01.03.2024 aktualisiert um 08:56:28 Uhr
Goto Top
Dann muss ich das VPN Projekt wohl leider begraben.
Zumindestens für den IPv4 Zugriff musst du es begraben. IPv6 ginge ja weiterhin.
Es sei denn du bezahltst 5€ für die Miete eines vServers monatlich, dann kannst du den o.a. Jumphost realisieren und damit deinen VPN Zugang.
Möglicherweise kann dich dein Provider auch auf einen Business Account umstellen ohne DS-Lite und einen "richtigen" Dual Stack Anschluß, der aber natürlich auch kostenpflichtig ist?!
Normalerweise überlegt man sich sowas immer VORHER, bevor man solche Verträge unterschreibt!!

Wenn es das denn nun wirklich war:
Wie kann ich einen Beitrag als gelöst markieren?
GroovyMan
GroovyMan 15.03.2024 aktualisiert um 20:02:34 Uhr
Goto Top
Herzlichen Dank für Deine ausführliche Darlegung des Problems und der sauberen Ausarbeitung des Lösung.
Dein Beitrag hat heute Abend des sonst lausigen Tag zum positiven verkehrt.

Ich kann mich nun optimal von überall in mein kaskadiertes Firmennetz einwählen.

Mann, 1000 Dank!
GroovyMan
GroovyMan 18.03.2024 um 21:54:04 Uhr
Goto Top
Jetzt hätte ich aber doch noch ein Problem.
Ich kann zwar problemlos immer ein VPN Profil einen Zugang zu einem kaskadierten Netz herstellen,
allerdings geht der Zugriff über Mitternacht flöten. Danach funktioniert der Zugang gar nicht mehr.

Ich vermute einmal, dass hängt mit dem nächtlichen reset der DSL Verbindung zusamen.

Hat jemand eine Idee, wie ich das Problem besser eingrenzen kann, bzw. aus dem Weg schaffen kann?
kpunkt
kpunkt 19.03.2024 um 07:01:51 Uhr
Goto Top
Merlino72
Merlino72 19.03.2024 um 08:22:12 Uhr
Goto Top
Für mich hört sich das nach einer Zwangstrennung durch seinen Internetprovider an. Da dürfte DDNS nicht helfen, wenn der ISP die Verbindung für wenige Sekunden kappt.

Ich würde eher dort ansetzen, warum die VPN Verbindung, die er eingerichtet hat, nicht mehr funktioniert, sobald seine Datenleitung durch den ISP unterbrochen wird. Aber mangels Erfahrung kann ich da leider nicht mit Ideen oder gar Tipps helfen.
GroovyMan
GroovyMan 19.03.2024 aktualisiert um 08:49:51 Uhr
Goto Top
Hallo Zusammen,

danke für die Hinweise. Also an DDNS liegt es bestimmt nicht, denn das Problem haben nicht die Clients, die im Netz der Fritzbox liegen, sondern der Zugriff von Außen und zwar durch die erste Fritzbox, die am DSL hängt, die dann per UDP Forwarding (IP4 und IP6) die Wirecard Pakete zum 4040 Router weiter schickt. ( also kaskadiertes Netz) , auf der wiederum das Wireguard eingerichtet ist.

Ich vermute, es liegt eher an der sich ändernden IP des DSL-Routers (auch Fritzbox) und der erzeugten VPN Datei, die ggf nicht davon ausgehet, dass die IP Adresse des DSL Routers (der das UDP Forwarding macht) ) sich geändert hat.

Ach ja, zur Info:
- Wireguard auf der Fritzbox, die für DSL zuständig ist, funktioniert.
- die Portnummern beider Wireguard's sind unterschiedlich

____
so tief ist wireguard bei mir gesunken, ich will nicht wissen, wie häufig ich schon versehentlich wirecard geschrieben habe face-wink
kpunkt
kpunkt 19.03.2024 um 09:00:02 Uhr
Goto Top
GroovyMan
GroovyMan 19.03.2024 aktualisiert um 09:48:06 Uhr
Goto Top
Hallo kpunkt,

was willst Du mir mir dem Link eigentlich mitteilen ?
In den erzeugten wg-Dateien aus der Fritzbox stehen
unter Peer->Endpoint ja keine feste IP Adressen sondern
vermutlich dyn-DNS Namen, die dann je nach neuer IP
Adresse dann geladen werden.

Wenn also die DSL-FB die DSL-Verbindung neu aufbaut,
wird diese eine push-Mail mit der neuen IP dann zum
Resolver senden, der die neue Zuordnung dann abfragen kann.

Ich unterstelle der Fritzbox und AVM, dass die das hinkriegn.

Gruß
aqui
aqui 19.03.2024 aktualisiert um 10:52:44 Uhr
Goto Top
Richte ein Keepalive im Wireguard bei den Clients (Initiator) ein, dann wird der Tunnel immer wieder neu aufgebaut nach einer Trennung! Idealerweise mit einem 25 Sek. Intervall (UDP Timeout). PersistentkeepAlive = 25
Merkzettel: VPN Installation mit Wireguard
GroovyMan
GroovyMan 19.03.2024 um 11:06:35 Uhr
Goto Top
Hallo

ich dieser Hinweis hat nichts mit dem Problem zu tun. Das keepalive soll etwa bei einer Firewall die Infrastruktur aktiv halten, selbst wenn keine Daten gesendet werden.

Ich wiederhole mich:
Ein gestern eingerichtete VPN Verbindung via Wireguard wurde gestern erfolgreich getestet.
Am heutigen Tag wird versucht, die Verbindung wieder aufzubauen, und es klappt nicht.
Zwischen gestern und Heute gibt es keine durchgehende geöffnete VPN Verbindung.
Die beteiligte Client (ein Notebook) war sogar ausgeschaltet.
aqui
aqui 19.03.2024 aktualisiert um 11:28:42 Uhr
Goto Top
und es klappt nicht.
Grund dafür ist die xDSL Zwangstrennung die dir eine neue WAN IP Adresse am VPN Responder (Serverseite) beschert. Mit einem DDNS Zugang hat man dann zusätzlich immer ein gewisses Delta bis die neue WAN Port IP auf den DDNS Hostnamen gebunden ist. Sofort auf Schlag passiert das also nicht wenn man an einem Server (Responder) Anschluss mit dynamischen IPs arbeitet. Und schon gar nicht versendet der DDNS Prozess irgendwelche "Push Mails"...aber egal.
Zwischen gestern und Heute gibt es keine durchgehende geöffnete VPN Verbindung.
In dem Falle baut Wireguard bekanntlich den Tunnel nach einer gewissen Timeout Zeit ab wa sman mit wg show auch immer selber sehen kann.
Dies Verhalten ist bei den meisten VPN Protokollen so wenn man mit Split Tunneling im VPN Setup arbeitet und kein Tunnel relevanter Traffic von den Endgeräten kommt der den Tunnel neu triggert. Da Wireguard UDP nutzt timed dann nach spätestens 30-40 Sekunden auch diese Session in der Firewall und NAT aus. Übliches Verhalten also und genau deshalb gibt es den Keepalive auf Client Seite. face-wink
Solange du nur rumrätst und mutmasst was der Fehler sein könnte ohne Troubleshooting Infos drehen wir uns hier im Kreis... face-sad
kpunkt
kpunkt 19.03.2024 um 11:42:14 Uhr
Goto Top
Zitat von @GroovyMan:

Hallo kpunkt,

was willst Du mir mir dem Link eigentlich mitteilen ?
Einfach mal durchlesen. Skript erstellen und gut.
wireguard-resolve-dns
GroovyMan
GroovyMan 19.03.2024 um 13:31:30 Uhr
Goto Top
Vielen Dank vorab

und es klappt nicht.
Grund dafür ist die xDSL Zwangstrennung die dir eine neue WAN IP Adresse am VPN Responder (Serverseite) beschert. Mit einem DDNS Zugang hat man dann zusätzlich immer ein gewisses Delta bis die neue WAN Port IP auf den DDNS Hostnamen gebunden ist. Sofort auf Schlag passiert das also nicht wenn man an einem Server (Responder)

Genau richtig, und damit habe ich eigentlich kein Problem, da die Unterbrechung bis 03:00 in der Nacht stattfindet. Dank myFritz hat man ja dann auch DDNS.

> Zwischen gestern und Heute gibt es keine durchgehende geöffnete VPN Verbindung.
Bestimmt Misverständnis, da ich das Keepalive für bereits bestehende Sitzungen misinterpretiert hatte.

Da Wireguard UDP nutzt timed dann nach spätestens 30-40 Sekunden auch diese Session in der Firewall und NAT aus. Übliches Verhalten also und genau deshalb gibt es den Keepalive auf Client Seite. face-wink

Überzeugt, ich probiere es direkt aus!!
GroovyMan
GroovyMan 19.03.2024 um 13:38:10 Uhr
Goto Top
In der generierten Wireguard Datei steht der Parameter bereits auf 25:

PersistentKeepalive = 25
GroovyMan
GroovyMan 19.03.2024 um 13:39:47 Uhr
Goto Top
Korrigiere mich, aber das Script benötige ich doch nicht, da dank myFritz bereit die Zugänge über einen DDNS Eintrag stattfindet,
kpunkt
kpunkt 19.03.2024 um 13:41:45 Uhr
Goto Top
Ich gebs auf.
Viel Spaß noch beim Basteln.
aqui
aqui 19.03.2024 aktualisiert um 13:56:23 Uhr
Goto Top
Ich gebs auf.
Er hat in sofern Recht das ihm die Scripts bei einer FritzBox als Initiator (Clientseite) nix nützen.
Da hilft dann die Schaltuhr die morgens um 3 Uhr die Fritte einmal aus und wieder anschaltet um sie die DDNS Namen neu einlesen zu lassen. face-wink
Intelligente Tasmota WLAN Steckdose machst natürlich auch.
GroovyMan
GroovyMan 19.03.2024 um 14:49:13 Uhr
Goto Top
Hallo Zusammen,

aus Eurer Darlegung habe ich entnommen, dass ein DNS Cache invalidiert oder neu geladen werden muss.
Dem Initiator (hier ein Linux Notebook) bekommt die Auflösung wohl via DHCP zugewiesen, also er ist es auch nicht.

Es kann sich also nur um einen DNS Eintrag handeln, der dem DSL-Router als IP vom 1&1 Provider zugewiesen wurde
und dem myFritz DDNS Namen, richtig ?
Und neu starten möchtest Du wohl die 4040 Fritzbox, die als Router ein Subnetz aufspannt und darin einen Wireguard Knoten einrichtet. Das würde ja Sinn machen.
GroovyMan
GroovyMan 19.03.2024 um 16:18:28 Uhr
Goto Top
Hallo Aqui,
Hallo kpunkt,

lasst uns doch bitte nochmals die letzten Gedankengänge revue passieren. Sollte es ein Cache-Problem geben, so kann dieses Problem doch -wie von mir beschrieben- nur die 4040 betreffen, die von dem erzwungenen IP Wechseln auf der DSL Fritzbox nichts erfahren hat.

Immerhin funktioniert auf der DSL-Fritzbox die "eigene" Namensauflösung auch mit dem dort eingerichteten Wiregard Zugang ohne Probleme. Folglich wäre man wohl am Besten bedient, wenn dann die nachgeschaltete 4040 mit dem eigenen Subnetz direkt sich auf den (d)DNS der vorgelagerten DSL-Fritzbox verlassen würde.

So wäre es doch eine Idee, DNS Abfragen gleich auf die vorgelagerte Fritzbox verweisen und diese als lokaler DNS Server hinterlegen. (siehe https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-4040/165_Andere-DN ..) Soweit die vorgelagerte Fritzbox vom Privider ein DSL Reconnect aufgebrummt bekommt, muss diese wohl doch wenige Stunden später dann auf die richtige DDNS Auflösung vorweisen können.
GroovyMan
GroovyMan 19.03.2024 um 23:06:53 Uhr
Goto Top
Hallo kpunkt,

ich habe den Artikel gelese. Nett dass Du mir eine Lösung für eine Linux/Unix System vorgestellt
hast, das bekomme ich aber nicht auf der Fritz.Box so zum Laufen.
Wir reden hier von einer Firtzbox 4040, die als Router für eine Kaskade her hält und für das Subnetz
einen Zugang via Wireguard bereitstellen soll.

Und das macht offenbar Probleme, da nach der Installation der DSL-Router im WAN der 4040 nun
eine andere IP bekommt und das Wireguard davon nichts mitbekommt.
So wie ich Aqui verstanden habe, bekommt der 4040 zusammen mit dem Wireguard Eintrag davon nichts
mit.
aqui
aqui 20.03.2024 um 10:08:29 Uhr
Goto Top
das bekomme ich aber nicht auf der Fritz.Box so zum Laufen.
Wurde oben ja schon mehrfach gesagt und die einfache Lösung mt der Schaltuhr oder Tasmota WLAN Steckdose ist ja kinderleicht. face-wink
Knackpunkt ist das WG nur ein einziges Mal beim Booten der FB die DDNS IP für den Responder auflöst dann nie mehr bis zum nächsten Reboot.
Lösung also: Zeitschaltuhr oder aufs etablierte IPsec migrieren.
GroovyMan
GroovyMan 20.03.2024 um 10:34:40 Uhr
Goto Top
Hallo

erst einmal danke. Wenn ich Dich richtig verstehe würde ein Löschen des DNS Cache nichts bringen.
Ich probiere das über einen Restart via Web-Zugriff aus und würde danach auf die WLAN Steckdose
ausweichen müssen.

Knackpunkt ist das WG nur ein einziges Mal beim Booten der FB die DDNS IP für den Responder auflöst dann nie mehr bis zum nächsten Reboot.

Ist jetz angekommen, Danke nochmal!
aqui
aqui 20.03.2024 um 10:44:37 Uhr
Goto Top
würde ein Löschen des DNS Cache nichts bringen.
Mal abgesehen davon das eine FB das nicht supportet, nein. Denn das bewirkt ja nicht das der Wireguard Daemon den DDNS Namen neu auflöst. Das macht er, wie bereits gesagt, nur ein einziges Mal wenn er gestartet wird. Bei der FB dann wenn diese eingeschaltet oder Rebootet wird.
Fazit: Zeitschaltuhr oder aufs etablierte IPsec migrieren.
GroovyMan
GroovyMan 14.07.2024 um 15:08:22 Uhr
Goto Top
Salut aqui,

der Jubel von gestern ist verflogen, seit dem letzen Update der Fritzboxen die Version 7.59
funktioniert der hier so glanzvoll beschriebene Weg gar nicht mehr ;-(
Das Durchstarten meine 4040, auf der im Subnetz der Wireguard Zugang lief hat eine Zeit lang prächtig funktioniert, jetzt ist tote Hose.

Ich kann auf der vorgelagerten Fritzbox noch direkt einen WireGuard ansprechen, aber ein Forwading geht nicht mehr, bzw kommt auf dem 4040 Router nicht mehr an.
aqui
aqui 14.07.2024 um 15:45:31 Uhr
Goto Top
Fragt sich was AVM verändert hat?! Hast du die Release Notes zu der Version einmal gelesen?
GroovyMan
GroovyMan 15.07.2024 um 22:22:34 Uhr
Goto Top
Hallo Aqui,

danke für die Nachfrage!

Ja, soweit ich das inhaltlich kapiert habe, gilt als eine Vorbedingung für WireGuard, dass auf die Firtzbox bei MyFritz sich unter einem Konto registriert hat. Das habe ich natürlich getan, leider aber habe ich feststellen müssen, dass die Box sich zwar registriert hat, aber die kaskadierte 4040-Router hat sich noch nicht anmelden können, denn die Checkbox unter Internet->MyFritz-Konto-> [ ] "Ihre FRITZ!Box ist bei MyFritz angemeldet" ist weiterhin grau.

Der kontaktierte AVM Support ("nette Leute!!") meinte dass der 4040 wohl notwendige Vorrausetzungen fehlen.

Ich kläre das gerade mal ab. Offenbar wird versucht für die kaskadierte 4040 auch eine statische IP6 Adresse bereitzustellen, nur klappt es da nicht mit dem Austausch zwischen 4040 und MyFritz.

Zwischenzeitlich hatte ich mal einen weiteren Thread aufgemacht (siehe Seit dem Update FritzBox 7.59 funktioniert kaskadiertes Wireguard nicht mehr) auf der ein IP6 Fachkundiger mir die Frage stellte, warum ich überhaupt einen Forward einrichte. Ganz offenbar habe ich in Sachen IP6 da ein Defizit, wenn ich das Antwortschreiben von AVM auch langsam versuche zu verstehen.
aqui
aqui 16.07.2024 aktualisiert um 08:38:01 Uhr
Goto Top
Port Forwarding gibt es bei IPv6 (zum Glück) nicht mehr weil es ja auch keine Adressknappheit mehr gibt. Der Grund eine IP Adress Translation machen zu müssen existiert also nicht mehr und damit fällt das NAT weg was die ganze Sache ja auch deutlich vereinfacht für v6.
Wenn deine kaskadierte 4040 also ein VPN Responder ist (Server) dann gibst du in der davor kaskadierten FB lediglich den von dir verwendeten UDP Wireguard Port frei so das eingehender v6 Wireguard Traffic dort die dahinter liegende 4040 erreichen kann und fertisch. Einfache Sache... face-wink