Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem: Wireguard - FritzBox 7590 - GL.iNet GL-MT300N-V2

Mitglied: hokaido

hokaido (Level 1) - Jetzt verbinden

06.12.2019, aktualisiert 12:17 Uhr, 711 Aufrufe, 14 Kommentare

Hallo,

ich möchte meine FB mit Wireguard für VPN nutzen. Bisher nutze ich die interne VPN Option der FB, die ist bekanntlich aber nicht sehr performant
Als VPN Server soll jetzt erst mal der GL.iNet GL-MT300N-V2 hinter der FB herhalten.

Folgendes habe ich schon gemacht:
MT300 eingerichtet, hat im FB Netz die IP 192.168.178.254, fest vergeben
FB 7590 hat die 192.168.178.1
Wireguard Server auf dem MT 300 eingerichtet und Konfiguration per QR Code auf Android Handy übertragen.
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)

Netz des GL.iNet GL-MT300N-V2 ist 192.168.8.1
VPN Netz des GL.iNet GL-MT300N-V2 : 10.0.0.1

Statische Route in der FB habe ich eingerichtet:
10.0.0.1
255.255.255.0
192.168.178.254


Problem:
Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen.

Kann jemand weiterhelfen?

Danke & viele Grüße

Stefan
Mitglied: aqui
06.12.2019, aktualisiert um 10:14 Uhr
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.
Unverständlich wieso das an so prominenter Stelle nichtmal dem eigenen Verfasser auffällt. Minimal liest man doch sowas Korrektur bevor man es auf die Allgemeinheit loslässt..aber egal, lassen wir die FritzBox weiter "frieren"...
Zurück zum Thema...
MT300 eingerichtet, hat im FB netz die IP 192.168.178.254, fest vergeben
Richtig !
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Auch richtig !
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)
Richtig wenn deinen Wireguard Installation diesen Port nutzt !
https://www.heise.de/select/ct/2019/5/1551091519824850
Statische Route in der FB habe ich eingerichtet:
Das ist sinnfrei und unnötig !
Der GL.inet macht NAT (IP Adresss Translation) am WAN Port. Er setzt also das gesamte 10.0.0.0 /24er Netz auf seine WAN Port IP 192.168.178.254 um. Die FritzBox "rafft" also gar nicht das dort Absender aus dem 10er Netz sind, da diese alle mit der 192.168.178.254er IP in ihrem Netz auftauchen. In sofern weiss sie gar nichts von einem 10er Netz und damit ist die Route dann überflüssig und auch kontraproduktiv.
Hier sind die Details nochmal zum Nachlesen genau beschrieben !!
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Bitte nochmal genau lesen...und verstehen.
Wenn ich mich per WLAN verbinde sehe ich z.B. den PC
WELCHES WLAN denn ??? Das am GL.inet oder an der FritzBox ?? Das ist jetzt verwirrend ?
Nach dem Kontext zu urteilen meinst du das WLAN des GL.inet, richtig ??
Wenn ich es vom Handy über mobile Datenverbindung probiere
Was hat das jetzt mit dem WLAN zu tun ??? Irgendwie ist das alles wirr und man weiss nicht so recht was uns diese kryptischen Sätze nun sagen sollen...??
  • WLAN, ja ist klar, ein verbundenes Gerät taucht da natürlich auf und sollte auch die 10er LAN IP des GL.inet pingen können. Normales Verhalten
  • mobile Datenverbindung. Auch klar, damit bist du im Mobilnetz deines Providers eingebucht aber NICHT im WLAN. Das man über das Mobilfunknetz nicht auf das menü der FB zugreifen kann ist klar, denn das verhindert die Firewall dort. Block von Port TCP 80 und 443 über den WAN/DSL Port.
Oder meinst du jetzt das du erfolgreich die Wireguard Verbindung zum GL.inet aufbauen kannst und nicht via VPN auf die FB zugreifen kannst ?
Das wäre auch normal, denn in der Regel blocken die Firewalls generell RFC 1918 IP Netze (Private IP) am WAN Port. Die Firewall des GL.inet wird also die TCP80 Antwortpakete der FB im Koppelnetz auf die WAN IP des GL.inet (NAT !) blocken. Das kannst du aber mit einem simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) entsprechend customizen.
Bitte warten ..
Mitglied: Visucius
06.12.2019 um 10:42 Uhr
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.

Was hast Du gegen "Flirtbox"
Bitte warten ..
Mitglied: hokaido
06.12.2019 um 12:28 Uhr
Sorry, ich hatte die korrigierte Version nicht mehr reinkopiert vor dem Senden.

"Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen."

Damit meinte ich:
WLAN ist klar.
Mobile Datenverbindung: Ich meine damit, ich habe per Mobilfunk und aktivem Wireguard versucht mich zum dem GLI zu verbinden. Wireguard sagt verbunden, aber: Unter verbundene Geräte im GLI Menü wird das Handy nicht anzeigt, auch nicht das Fritzmenü, welches ich bekommen würde, wenn die VPN Verbindung steht. Außerdem habe ich nach wie vor die IP des Mobilfunkbetreibers. Da sollte ja dann auch eine andere IP stehen, oder?

Und mit einem Simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) ist es nix. Ich beschäftige mich nur als Hobby mit dieser Materie. Für Dich mag das simple sein. Daher wäre es klasse, wenn Du mich an Deinem Wissen teilhaben lassen würdest😊

Sorry, aber besser kann ich es nicht beschreiben

Stefan
Bitte warten ..
Mitglied: hokaido
08.12.2019 um 14:42 Uhr
Funktioniert leider immer noch nicht
Bitte warten ..
Mitglied: aqui
08.12.2019 um 17:22 Uhr
Wie sieht denn dein Design aus ??
Das sollte doch diesem hier vollkommen entsprechen, oder ???
https://administrator.de/forum/2-router-hintereinander-zugriff-erstes-he ...

Die dortigen ToDos gelten ausnahmslos auch für dich und dein Wireguard Setup sofern dein Design identisch ist !!
Bitte warten ..
Mitglied: hokaido
09.12.2019 um 08:04 Uhr
Exakt so gemacht nur mit Wireguard und die Portweiterleitung eben für dieses. Geht nicht.
Bitte warten ..
Mitglied: aqui
09.12.2019, aktualisiert um 12:22 Uhr
Gehe dann bitte mal strategisch und Schritt für Schritt vor !
  • Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
  • Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
  • und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
  • Jetzt folgende Tests mit den Default Settings...:
  • Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
  • Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
  • Ping FritzBox LAN IP => Sollte klappen
  • Ping 8.8.8.8 => Sollte klappen
  • Ping Hostname wie www.heise.de => Sollte klappen
Kommst du wenigstens so weit ?!
Erst wenn das alles so wasserdicht klappt, dann kannst du mit der Wireguard Konfig weitermachen !!
Bitte warten ..
Mitglied: hokaido
09.12.2019, aktualisiert um 14:10 Uhr
Hab schon 2x resettet und bis zu dem Punkt klappt auch alles. Ich mache das Ding aber heute Abend nochmal komplett platt. In den Konfig Dateien von Wireguard muss man nix mehr ändern (außer die IP mit dem Dydns Namen tauschen)? Nicht das dort standardmäßig was drin ist, was blockiert.
Bitte warten ..
Mitglied: aqui
09.12.2019 um 19:03 Uhr
OK, dann kann es nur deine Wireguard Konfig sein. Die ist dann falsch oder fehlerhaft !
Tip:
Lad dir PuTTY auf deinen Rechner:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
Dann kannst du eine SSH Session aufmachen auf den GL.inet und dir die etwas detailierten Logs ansehen dazu !
Bitte warten ..
Mitglied: hokaido
09.12.2019 um 22:21 Uhr
Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
=> ok

Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
=> ok

und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
=> ok

Jetzt folgende Tests mit den Default Settings...:
Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
=> ja, 192.168.178.254, die ich in der FB fest vergeben hatte

Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
=> ok

Ping FritzBox LAN IP => Sollte klappen
=>ok

Ping 8.8.8.8 => Sollte klappen
=> ok

Ping Hostname wie www.heise.de => Sollte klappen
=>ok, Internetzugriff über Browser geht auch

Kommst du wenigstens so weit ?!
=> ja, alles soweit ok

Wireguard Server neu eingerichtet:
Konfig auf dem Handy bearbeitet, lautet jetzt:

[Interface]
Address = 10.0.0.2/32
PrivateKey = xyz
PublicKey = xyz1
DNS = 1.1.1.1

[Peer]
PublicKey = xyz2
PresharedKey = ist leer
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = my.ddns.example.com:51820

Bis auf den Cloudflare DNS, den Eintrag bei den Allowed IPs und den Eintrag des Dyndns beim Endpoint hab ich nix geändert.

Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Bitte warten ..
Mitglied: aqui
10.12.2019 um 13:36 Uhr
Kommst du wenigstens so weit ?! => ja, alles soweit ok
Bedeutet ja dann das dein physisches Netzwerk Setup absolut OK ist ! 👍
Alles richtig gemacht !
Es kann also dann rein nur an der Wireguard VPN Einrichtung liegen.
Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Soll heissen du greifst von außen auf den GL.inet Wireguard Server zu ???
Wenn dem so ist musst du natürlich noch ein paar Dinge dazu einrichten, denn du hast ja eine Router Kaskade mit doppeltem NAT !!
Alle deine externen Wireguard Connect Versuche landen ja dann zuerst an deiner FritzBox, denn die hält ja die öffentliche Internet IP die ja die Ziel IP des Wireguard Clients ist !! Folglich muss die FB diesen Traffic auf den GL.inet weiterreichen !
  • Port Forwarding des Wireguard Ports UDP 51820 auf die GL.inet IP .254
  • Die VPN Client Ziel IP ist immer die WAN Port IP der FritzBox ! (oder ddns Hostname der FB)

Ob das Port Forwarding rennt kannst du ganz einfach testen wenn du statt des GL.inet mal einen Wireshark Rechner mit gleicher IP wie der GL.inet ins Netz hängst.
Wenn du jetzt von extern den WireGuard Client startest solltest du sofort eingehende UDP 51820 IP Pakete dort sehen !
Das zeigt dir dann wasserdicht das das Port Forwarding der FritzBox rennt.
Wie bereits gesagt:
Installiere dir das o.a. PuTTY und gehe mit SSH auf den GL.inet. Checke dort im Setup das die WireGuard Konfig Dateien auch richtig angekommen sind und funktionieren.
Über die OpenWRT Package Verwaltung (Advanced GUI) kannst du dir das tcpdump (Sniffer) und auch das nano (Editor) Package dazuinstallieren. So kannst du z.B. direkt auf dem GL.inet sniffern.
Überprüfe auch nochmal die Firewall Settings dort ganz genau das die Firewall eingehend UDP 51820 erlaubt !
Andernfalls blockt die FW des GL.inet dann eingehende WG Requests !
Mit PuTTY kann man den Router so per SSH Terminal wunderbar debuggen.
Bitte warten ..
Mitglied: hokaido
10.12.2019 um 22:49 Uhr
Erst mal vielen Dank für Deine Geduld und Hilfe.
Ich habe jetzt folgendes probiert.
Habe auf dem Laptop Wireguard für Win installiert. Konfig rein, kurz angepasst.
Als WLAN hat der Laptop das WLAN Tehhering vom Handy bekommen. War also nicht mit meinem Heimnetz verbunden. Wireguard aktiviert. Und siehe da: IP aus dem Heimnetz bekommen. VPN läuft. Wireguard aus: IP vom Handyprovider. Also alles so wie es sein soll.

Liegt also an Wirguard auf dem Android Handy! Nur wo, das muss ich jetzt suchen....
Bitte warten ..
Mitglied: hokaido
10.12.2019 um 23:00 Uhr
Schneller gelöst als gedacht.
Ich habe Wireguard deinstalliert und in den sicheren Ordner von Android installiert. Alles eingerichtet und zwar genauso wie vorher.
Zack. Verbindung da.

Verstehe wer will.

Nochmals vielen Dank für die Hilfe!
Bitte warten ..
Mitglied: aqui
11.12.2019 um 12:08 Uhr
Zack. Verbindung da.
👏 Glückwunsch !
Case closed...
Bitte warten ..
Ähnliche Inhalte
Netzwerke
PiVPN Profil auf GL.iNet GL-MT300N-V2
Frage von CometcolaNetzwerke1 Kommentar

Hallo zusammen, folgende Ausgangsstellung: habe den oben genannten Router und würde damit gerne mein heimisches VPN ansteuern, scheitere aber ...

DSL, VDSL
Fritzbox 7590 vor Zywall 5 anbinden
Frage von thomasjayDSL, VDSL5 Kommentare

Hallo zusammen, ich benötige mal wieder fachmännische Hilfe bzgl. der Anbindung einer Fritzbox 7590 vor einer Zywall 5! Also ...

Netzwerke

Fritzbox 7590 VPN-Zugang über Bürogemeinschaft, Bürocenter

gelöst Frage von decehakanNetzwerke52 Kommentare

Hallo Zusammen, seit letzter Zeit versuche ich ein VPN-Verbindung zum Firmenrouter Fritz 7590 aufzubauen, aber leider scheitere ich daran. ...

Router & Routing

Fritzbox 7590 - Statische WAN IP - Portweiterleitung Problem

gelöst Frage von K-ist-KRouter & Routing18 Kommentare

Hallo, ich hab bei mir zuhause einen Raspberry Pi im Netzwerk, der Internet hat Und wo SSH aktiviert ist. ...

Neue Wissensbeiträge
Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 20 StundenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 1 TagMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 3 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 8 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Heiß diskutierte Inhalte
Batch & Shell
Verschlüsselung von Dateien über .bat
gelöst Frage von ShadowmindBatch & Shell19 Kommentare

Guten tag miteinander! Ich arbeite zurzeit an einem Decoder/Coder in der Batch syntax, um verschiedene Dateien zu verschlüsseln. Leider ...

Windows 10
"System" verwendet Hosts-Datei
Frage von ankauf71Windows 1011 Kommentare

Hallo zusammen! Nachdem ich heute erfolglos versucht habe die Hosts-Datei zu ändern stellte ich fest das diese von einem ...

Batch & Shell
Codieren von Texten mit der Vigenere Chiffre in .bat
Frage von ShadowmindBatch & Shell6 Kommentare

Hallo miteinander! da ich unter meiner letzten frage einen kommentar hinsichtlich der sicherheit gelesen habe, möchte ich nun einen ...

Windows 10
Windows 10: Kennwort funktioniert plötzlich nicht mehr
Frage von Stefan007Windows 106 Kommentare

Hi zusammen, ich habe bei einem Bekannten folgendes Problem vorgefunden: Win10 Home, lok. User (kein Microsoft Konto). Das System ...