14
Problem: Wireguard - FritzBox 7590 - GL.iNet GL-MT300N-V2
Hallo,
ich möchte meine FB mit Wireguard für VPN nutzen. Bisher nutze ich die interne VPN Option der FB, die ist bekanntlich aber nicht sehr performant
Als VPN Server soll jetzt erst mal der GL.iNet GL-MT300N-V2 hinter der FB herhalten.
Folgendes habe ich schon gemacht:
MT300 eingerichtet, hat im FB Netz die IP 192.168.178.254, fest vergeben
FB 7590 hat die 192.168.178.1
Wireguard Server auf dem MT 300 eingerichtet und Konfiguration per QR Code auf Android Handy übertragen.
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)
Netz des GL.iNet GL-MT300N-V2 ist 192.168.8.1
VPN Netz des GL.iNet GL-MT300N-V2 : 10.0.0.1
Statische Route in der FB habe ich eingerichtet:
10.0.0.1
255.255.255.0
192.168.178.254
Problem:
Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen.
Kann jemand weiterhelfen?
Danke & viele Grüße
Stefan
ich möchte meine FB mit Wireguard für VPN nutzen. Bisher nutze ich die interne VPN Option der FB, die ist bekanntlich aber nicht sehr performant
Als VPN Server soll jetzt erst mal der GL.iNet GL-MT300N-V2 hinter der FB herhalten.
Folgendes habe ich schon gemacht:
MT300 eingerichtet, hat im FB Netz die IP 192.168.178.254, fest vergeben
FB 7590 hat die 192.168.178.1
Wireguard Server auf dem MT 300 eingerichtet und Konfiguration per QR Code auf Android Handy übertragen.
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)
Netz des GL.iNet GL-MT300N-V2 ist 192.168.8.1
VPN Netz des GL.iNet GL-MT300N-V2 : 10.0.0.1
Statische Route in der FB habe ich eingerichtet:
10.0.0.1
255.255.255.0
192.168.178.254
Problem:
Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen.
Kann jemand weiterhelfen?
Danke & viele Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 522720
Url: https://administrator.de/contentid/522720
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
14 Kommentare
Neuester Kommentar
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.
Unverständlich wieso das an so prominenter Stelle nichtmal dem eigenen Verfasser auffällt. Minimal liest man doch sowas Korrektur bevor man es auf die Allgemeinheit loslässt..aber egal, lassen wir die FritzBox weiter "frieren"...
Zurück zum Thema...
https://www.heise.de/select/ct/2019/5/1551091519824850
Der GL.inet macht NAT (IP Adresss Translation) am WAN Port. Er setzt also das gesamte 10.0.0.0 /24er Netz auf seine WAN Port IP 192.168.178.254 um. Die FritzBox "rafft" also gar nicht das dort Absender aus dem 10er Netz sind, da diese alle mit der 192.168.178.254er IP in ihrem Netz auftauchen. In sofern weiss sie gar nichts von einem 10er Netz und damit ist die Route dann überflüssig und auch kontraproduktiv.
Hier sind die Details nochmal zum Nachlesen genau beschrieben !!
Kopplung von 2 Routern am DSL Port
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bitte nochmal genau lesen...und verstehen.
Nach dem Kontext zu urteilen meinst du das WLAN des GL.inet, richtig ??
Das wäre auch normal, denn in der Regel blocken die Firewalls generell RFC 1918 IP Netze (Private IP) am WAN Port. Die Firewall des GL.inet wird also die TCP80 Antwortpakete der FB im Koppelnetz auf die WAN IP des GL.inet (NAT !) blocken. Das kannst du aber mit einem simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) entsprechend customizen.
Alle Details zur Wireguard Installation auch hier: Merkzettel: VPN Installation mit Wireguard
Unverständlich wieso das an so prominenter Stelle nichtmal dem eigenen Verfasser auffällt. Minimal liest man doch sowas Korrektur bevor man es auf die Allgemeinheit loslässt..aber egal, lassen wir die FritzBox weiter "frieren"...
Zurück zum Thema...
MT300 eingerichtet, hat im FB netz die IP 192.168.178.254, fest vergeben
Richtig !Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Auch richtig !Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)
Richtig wenn deinen Wireguard Installation diesen Port nutzt !https://www.heise.de/select/ct/2019/5/1551091519824850
Statische Route in der FB habe ich eingerichtet:
Das ist sinnfrei und unnötig !Der GL.inet macht NAT (IP Adresss Translation) am WAN Port. Er setzt also das gesamte 10.0.0.0 /24er Netz auf seine WAN Port IP 192.168.178.254 um. Die FritzBox "rafft" also gar nicht das dort Absender aus dem 10er Netz sind, da diese alle mit der 192.168.178.254er IP in ihrem Netz auftauchen. In sofern weiss sie gar nichts von einem 10er Netz und damit ist die Route dann überflüssig und auch kontraproduktiv.
Hier sind die Details nochmal zum Nachlesen genau beschrieben !!
Kopplung von 2 Routern am DSL Port
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bitte nochmal genau lesen...und verstehen.
Wenn ich mich per WLAN verbinde sehe ich z.B. den PC
WELCHES WLAN denn ??? Das am GL.inet oder an der FritzBox ?? Das ist jetzt verwirrend ?Nach dem Kontext zu urteilen meinst du das WLAN des GL.inet, richtig ??
Wenn ich es vom Handy über mobile Datenverbindung probiere
Was hat das jetzt mit dem WLAN zu tun ??? Irgendwie ist das alles wirr und man weiss nicht so recht was uns diese kryptischen Sätze nun sagen sollen...??- WLAN, ja ist klar, ein verbundenes Gerät taucht da natürlich auf und sollte auch die 10er LAN IP des GL.inet pingen können. Normales Verhalten
- mobile Datenverbindung. Auch klar, damit bist du im Mobilnetz deines Providers eingebucht aber NICHT im WLAN. Das man über das Mobilfunknetz nicht auf das menü der FB zugreifen kann ist klar, denn das verhindert die Firewall dort. Block von Port TCP 80 und 443 über den WAN/DSL Port.
Das wäre auch normal, denn in der Regel blocken die Firewalls generell RFC 1918 IP Netze (Private IP) am WAN Port. Die Firewall des GL.inet wird also die TCP80 Antwortpakete der FB im Koppelnetz auf die WAN IP des GL.inet (NAT !) blocken. Das kannst du aber mit einem simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) entsprechend customizen.
Alle Details zur Wireguard Installation auch hier: Merkzettel: VPN Installation mit Wireguard
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.
Was hast Du gegen "Flirtbox"
Sorry, ich hatte die korrigierte Version nicht mehr reinkopiert vor dem Senden.
"Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen."
Damit meinte ich:
WLAN ist klar.
Mobile Datenverbindung: Ich meine damit, ich habe per Mobilfunk und aktivem Wireguard versucht mich zum dem GLI zu verbinden. Wireguard sagt verbunden, aber: Unter verbundene Geräte im GLI Menü wird das Handy nicht anzeigt, auch nicht das Fritzmenü, welches ich bekommen würde, wenn die VPN Verbindung steht. Außerdem habe ich nach wie vor die IP des Mobilfunkbetreibers. Da sollte ja dann auch eine andere IP stehen, oder?
Und mit einem Simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) ist es nix. Ich beschäftige mich nur als Hobby mit dieser Materie
. Für Dich mag das simple sein. Daher wäre es klasse, wenn Du mich an Deinem Wissen teilhaben lassen würdest😊
Sorry, aber besser kann ich es nicht beschreiben
Stefan
"Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen."
Damit meinte ich:
WLAN ist klar.
Mobile Datenverbindung: Ich meine damit, ich habe per Mobilfunk und aktivem Wireguard versucht mich zum dem GLI zu verbinden. Wireguard sagt verbunden, aber: Unter verbundene Geräte im GLI Menü wird das Handy nicht anzeigt, auch nicht das Fritzmenü, welches ich bekommen würde, wenn die VPN Verbindung steht. Außerdem habe ich nach wie vor die IP des Mobilfunkbetreibers. Da sollte ja dann auch eine andere IP stehen, oder?
Und mit einem Simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) ist es nix. Ich beschäftige mich nur als Hobby mit dieser Materie
. Für Dich mag das simple sein. Daher wäre es klasse, wenn Du mich an Deinem Wissen teilhaben lassen würdest😊Sorry, aber besser kann ich es nicht beschreiben
Stefan
Funktioniert leider immer noch nicht
Wie sieht denn dein Design aus ??
Das sollte doch diesem hier vollkommen entsprechen, oder ???
2 Router hintereinander - Zugriff auf erstes Heimnetzwerk
Die dortigen ToDos gelten ausnahmslos auch für dich und dein Wireguard Setup sofern dein Design identisch ist !!
Das sollte doch diesem hier vollkommen entsprechen, oder ???
2 Router hintereinander - Zugriff auf erstes Heimnetzwerk
Die dortigen ToDos gelten ausnahmslos auch für dich und dein Wireguard Setup sofern dein Design identisch ist !!
Exakt so gemacht nur mit Wireguard und die Portweiterleitung eben für dieses. Geht nicht.
Gehe dann bitte mal strategisch und Schritt für Schritt vor !
Erst wenn das alles so wasserdicht klappt, dann kannst du mit der Wireguard Konfig weitermachen !!
- Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
- Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
- und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
- Jetzt folgende Tests mit den Default Settings...:
- Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
- Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
- Ping FritzBox LAN IP => Sollte klappen
- Ping 8.8.8.8 => Sollte klappen
- Ping Hostname wie www.heise.de => Sollte klappen
Erst wenn das alles so wasserdicht klappt, dann kannst du mit der Wireguard Konfig weitermachen !!
Hab schon 2x resettet und bis zu dem Punkt klappt auch alles. Ich mache das Ding aber heute Abend nochmal komplett platt. In den Konfig Dateien von Wireguard muss man nix mehr ändern (außer die IP mit dem Dydns Namen tauschen)? Nicht das dort standardmäßig was drin ist, was blockiert.
OK, dann kann es nur deine Wireguard Konfig sein. Die ist dann falsch oder fehlerhaft !
Tip:
Lad dir PuTTY auf deinen Rechner:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
Dann kannst du eine SSH Session aufmachen auf den GL.inet und dir die etwas detailierten Logs ansehen dazu !
Tip:
Lad dir PuTTY auf deinen Rechner:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
Dann kannst du eine SSH Session aufmachen auf den GL.inet und dir die etwas detailierten Logs ansehen dazu !
Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
=> ok
Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
=> ok
und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
=> ok
Jetzt folgende Tests mit den Default Settings...:
Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
=> ja, 192.168.178.254, die ich in der FB fest vergeben hatte
Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
=> ok
Ping FritzBox LAN IP => Sollte klappen
=>ok
Ping 8.8.8.8 => Sollte klappen
=> ok
Ping Hostname wie www.heise.de => Sollte klappen
=>ok, Internetzugriff über Browser geht auch
Kommst du wenigstens so weit ?!
=> ja, alles soweit ok
Wireguard Server neu eingerichtet:
Konfig auf dem Handy bearbeitet, lautet jetzt:
[Interface]
Address = 10.0.0.2/32
PrivateKey = xyz
PublicKey = xyz1
DNS = 1.1.1.1
[Peer]
PublicKey = xyz2
PresharedKey = ist leer
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = my.ddns.example.com:51820
Bis auf den Cloudflare DNS, den Eintrag bei den Allowed IPs und den Eintrag des Dyndns beim Endpoint hab ich nix geändert.
Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
=> ok
Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
=> ok
und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
=> ok
Jetzt folgende Tests mit den Default Settings...:
Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
=> ja, 192.168.178.254, die ich in der FB fest vergeben hatte
Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
=> ok
Ping FritzBox LAN IP => Sollte klappen
=>ok
Ping 8.8.8.8 => Sollte klappen
=> ok
Ping Hostname wie www.heise.de => Sollte klappen
=>ok, Internetzugriff über Browser geht auch
Kommst du wenigstens so weit ?!
=> ja, alles soweit ok
Wireguard Server neu eingerichtet:
Konfig auf dem Handy bearbeitet, lautet jetzt:
[Interface]
Address = 10.0.0.2/32
PrivateKey = xyz
PublicKey = xyz1
DNS = 1.1.1.1
[Peer]
PublicKey = xyz2
PresharedKey = ist leer
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = my.ddns.example.com:51820
Bis auf den Cloudflare DNS, den Eintrag bei den Allowed IPs und den Eintrag des Dyndns beim Endpoint hab ich nix geändert.
Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Kommst du wenigstens so weit ?! => ja, alles soweit ok
Bedeutet ja dann das dein physisches Netzwerk Setup absolut OK ist ! 👍Alles richtig gemacht !
Es kann also dann rein nur an der Wireguard VPN Einrichtung liegen.
Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Soll heissen du greifst von außen auf den GL.inet Wireguard Server zu ???Wenn dem so ist musst du natürlich noch ein paar Dinge dazu einrichten, denn du hast ja eine Router Kaskade mit doppeltem NAT !!
Alle deine externen Wireguard Connect Versuche landen ja dann zuerst an deiner FritzBox, denn die hält ja die öffentliche Internet IP die ja die Ziel IP des Wireguard Clients ist !! Folglich muss die FB diesen Traffic auf den GL.inet weiterreichen !
- Port Forwarding des Wireguard Ports UDP 51820 auf die GL.inet IP .254
- Die VPN Client Ziel IP ist immer die WAN Port IP der FritzBox ! (oder ddns Hostname der FB)
Ob das Port Forwarding rennt kannst du ganz einfach testen wenn du statt des GL.inet mal einen Wireshark Rechner mit gleicher IP wie der GL.inet ins Netz hängst.
Wenn du jetzt von extern den WireGuard Client startest solltest du sofort eingehende UDP 51820 IP Pakete dort sehen !
Das zeigt dir dann wasserdicht das das Port Forwarding der FritzBox rennt.
Wie bereits gesagt:
Installiere dir das o.a. PuTTY und gehe mit SSH auf den GL.inet. Checke dort im Setup das die WireGuard Konfig Dateien auch richtig angekommen sind und funktionieren.
Über die OpenWRT Package Verwaltung (Advanced GUI) kannst du dir das tcpdump (Sniffer) und auch das nano (Editor) Package dazuinstallieren. So kannst du z.B. direkt auf dem GL.inet sniffern.
Überprüfe auch nochmal die Firewall Settings dort ganz genau das die Firewall eingehend UDP 51820 erlaubt !
Andernfalls blockt die FW des GL.inet dann eingehende WG Requests !
Mit PuTTY kann man den Router so per SSH Terminal wunderbar debuggen.
Erst mal vielen Dank für Deine Geduld und Hilfe.
Ich habe jetzt folgendes probiert.
Habe auf dem Laptop Wireguard für Win installiert. Konfig rein, kurz angepasst.
Als WLAN hat der Laptop das WLAN Tehhering vom Handy bekommen. War also nicht mit meinem Heimnetz verbunden. Wireguard aktiviert. Und siehe da: IP aus dem Heimnetz bekommen. VPN läuft. Wireguard aus: IP vom Handyprovider. Also alles so wie es sein soll.
Liegt also an Wirguard auf dem Android Handy! Nur wo, das muss ich jetzt suchen....
Ich habe jetzt folgendes probiert.
Habe auf dem Laptop Wireguard für Win installiert. Konfig rein, kurz angepasst.
Als WLAN hat der Laptop das WLAN Tehhering vom Handy bekommen. War also nicht mit meinem Heimnetz verbunden. Wireguard aktiviert. Und siehe da: IP aus dem Heimnetz bekommen. VPN läuft. Wireguard aus: IP vom Handyprovider. Also alles so wie es sein soll.
Liegt also an Wirguard auf dem Android Handy! Nur wo, das muss ich jetzt suchen....
Schneller gelöst als gedacht.
Ich habe Wireguard deinstalliert und in den sicheren Ordner von Android installiert. Alles eingerichtet und zwar genauso wie vorher.
Zack. Verbindung da.
Verstehe wer will.
Nochmals vielen Dank für die Hilfe!
Ich habe Wireguard deinstalliert und in den sicheren Ordner von Android installiert. Alles eingerichtet und zwar genauso wie vorher.
Zack. Verbindung da.
Verstehe wer will.
Nochmals vielen Dank für die Hilfe!
Zack. Verbindung da.
👏 Glückwunsch !Case closed...
