Problem: Wireguard - FritzBox 7590 - GL.iNet GL-MT300N-V2

Mitglied: hokaido
Hallo,

ich möchte meine FB mit Wireguard für VPN nutzen. Bisher nutze ich die interne VPN Option der FB, die ist bekanntlich aber nicht sehr performant
Als VPN Server soll jetzt erst mal der GL.iNet GL-MT300N-V2 hinter der FB herhalten.

Folgendes habe ich schon gemacht:
MT300 eingerichtet, hat im FB Netz die IP 192.168.178.254, fest vergeben
FB 7590 hat die 192.168.178.1
Wireguard Server auf dem MT 300 eingerichtet und Konfiguration per QR Code auf Android Handy übertragen.
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)

Netz des GL.iNet GL-MT300N-V2 ist 192.168.8.1
VPN Netz des GL.iNet GL-MT300N-V2 : 10.0.0.1

Statische Route in der FB habe ich eingerichtet:
10.0.0.1
255.255.255.0
192.168.178.254


Problem:
Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen.

Kann jemand weiterhelfen?

Danke & viele Grüße

Stefan

Content-Key: 522720

Url: https://administrator.de/contentid/522720

Ausgedruckt am: 30.07.2021 um 12:07 Uhr

Mitglied: aqui
aqui 06.12.2019, aktualisiert am 12.03.2021 um 22:45:30 Uhr
Goto Top
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.
Unverständlich wieso das an so prominenter Stelle nichtmal dem eigenen Verfasser auffällt. Minimal liest man doch sowas Korrektur bevor man es auf die Allgemeinheit loslässt..aber egal, lassen wir die FritzBox weiter "frieren"...
Zurück zum Thema...
MT300 eingerichtet, hat im FB netz die IP 192.168.178.254, fest vergeben
Richtig !
Auf dem Handy die Ziel IP getauscht durch die DyDNS meiner FB.
Auch richtig !
Portweiterleitung in der FB auf den UDP Port des MT 300 (UDP 51820)
Richtig wenn deinen Wireguard Installation diesen Port nutzt !
https://www.heise.de/select/ct/2019/5/1551091519824850
Statische Route in der FB habe ich eingerichtet:
Das ist sinnfrei und unnötig !
Der GL.inet macht NAT (IP Adresss Translation) am WAN Port. Er setzt also das gesamte 10.0.0.0 /24er Netz auf seine WAN Port IP 192.168.178.254 um. Die FritzBox "rafft" also gar nicht das dort Absender aus dem 10er Netz sind, da diese alle mit der 192.168.178.254er IP in ihrem Netz auftauchen. In sofern weiss sie gar nichts von einem 10er Netz und damit ist die Route dann überflüssig und auch kontraproduktiv.
Hier sind die Details nochmal zum Nachlesen genau beschrieben !!
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Bitte nochmal genau lesen...und verstehen.
Wenn ich mich per WLAN verbinde sehe ich z.B. den PC
WELCHES WLAN denn ??? Das am GL.inet oder an der FritzBox ?? Das ist jetzt verwirrend ?
Nach dem Kontext zu urteilen meinst du das WLAN des GL.inet, richtig ??
Wenn ich es vom Handy über mobile Datenverbindung probiere
Was hat das jetzt mit dem WLAN zu tun ??? Irgendwie ist das alles wirr und man weiss nicht so recht was uns diese kryptischen Sätze nun sagen sollen...??
  • WLAN, ja ist klar, ein verbundenes Gerät taucht da natürlich auf und sollte auch die 10er LAN IP des GL.inet pingen können. Normales Verhalten
  • mobile Datenverbindung. Auch klar, damit bist du im Mobilnetz deines Providers eingebucht aber NICHT im WLAN. Das man über das Mobilfunknetz nicht auf das menü der FB zugreifen kann ist klar, denn das verhindert die Firewall dort. Block von Port TCP 80 und 443 über den WAN/DSL Port.
Oder meinst du jetzt das du erfolgreich die Wireguard Verbindung zum GL.inet aufbauen kannst und nicht via VPN auf die FB zugreifen kannst ?
Das wäre auch normal, denn in der Regel blocken die Firewalls generell RFC 1918 IP Netze (Private IP) am WAN Port. Die Firewall des GL.inet wird also die TCP80 Antwortpakete der FB im Koppelnetz auf die WAN IP des GL.inet (NAT !) blocken. Das kannst du aber mit einem simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) entsprechend customizen. ;-) face-wink

Alle Details zur Wireguard Installation auch hier: Merkzettel: VPN Installation mit Wireguard
Mitglied: Visucius
Visucius 06.12.2019 um 10:42:48 Uhr
Goto Top
Für peinliche Fauxpas' in der Überschrift gibt es hier immer den "Bearbeiten" Button mit dem man sowas nachträglich korrigieren kann.

Was hast Du gegen "Flirtbox" ;-) face-wink
Mitglied: hokaido
hokaido 06.12.2019 um 12:28:15 Uhr
Goto Top
Sorry, ich hatte die korrigierte Version nicht mehr reinkopiert vor dem Senden.

"Wenn ich mich per WLAN zum GL.iNet GL-MT300N-V2 verbinde sehe ich z.B. den PC als verbundenes Gerät im GL.iNet GL-MT300N-V2. Scheint sich also per WLAN verbunden zu haben.
Wenn ich es vom Handy über mobile Datenverbindung probiere, erscheint das Handy nicht unter verbundene Geräte. Ich kann auch nicht auf das Menü meiner FB zugreifen."

Damit meinte ich:
WLAN ist klar.
Mobile Datenverbindung: Ich meine damit, ich habe per Mobilfunk und aktivem Wireguard versucht mich zum dem GLI zu verbinden. Wireguard sagt verbunden, aber: Unter verbundene Geräte im GLI Menü wird das Handy nicht anzeigt, auch nicht das Fritzmenü, welches ich bekommen würde, wenn die VPN Verbindung steht. Außerdem habe ich nach wie vor die IP des Mobilfunkbetreibers. Da sollte ja dann auch eine andere IP stehen, oder?

Und mit einem Simplen Mausklick in den OpenWRT Firewall Settings (Advanced Menü des GL.inet) ist es nix. Ich beschäftige mich nur als Hobby mit dieser Materie:) face-smile. Für Dich mag das simple sein. Daher wäre es klasse, wenn Du mich an Deinem Wissen teilhaben lassen würdest😊

Sorry, aber besser kann ich es nicht beschreiben:) face-smile

Stefan
Mitglied: hokaido
hokaido 08.12.2019 um 14:42:20 Uhr
Goto Top
Funktioniert leider immer noch nicht
Mitglied: aqui
aqui 08.12.2019 um 17:22:31 Uhr
Goto Top
Wie sieht denn dein Design aus ??
Das sollte doch diesem hier vollkommen entsprechen, oder ???
https://administrator.de/forum/2-router-hintereinander-zugriff-erstes-he ...

Die dortigen ToDos gelten ausnahmslos auch für dich und dein Wireguard Setup sofern dein Design identisch ist !!
Mitglied: hokaido
hokaido 09.12.2019 um 08:04:27 Uhr
Goto Top
Exakt so gemacht nur mit Wireguard und die Portweiterleitung eben für dieses. Geht nicht.
Mitglied: aqui
aqui 09.12.2019 aktualisiert um 12:22:46 Uhr
Goto Top
Gehe dann bitte mal strategisch und Schritt für Schritt vor !
  • Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
  • Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
  • und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
  • Jetzt folgende Tests mit den Default Settings...:
  • Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
  • Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
  • Ping FritzBox LAN IP => Sollte klappen
  • Ping 8.8.8.8 => Sollte klappen
  • Ping Hostname wie www.heise.de => Sollte klappen
Kommst du wenigstens so weit ?!
Erst wenn das alles so wasserdicht klappt, dann kannst du mit der Wireguard Konfig weitermachen !!
Mitglied: hokaido
hokaido 09.12.2019 aktualisiert um 14:10:21 Uhr
Goto Top
Hab schon 2x resettet und bis zu dem Punkt klappt auch alles. Ich mache das Ding aber heute Abend nochmal komplett platt. In den Konfig Dateien von Wireguard muss man nix mehr ändern (außer die IP mit dem Dydns Namen tauschen)? Nicht das dort standardmäßig was drin ist, was blockiert.
Mitglied: aqui
aqui 09.12.2019 um 19:03:57 Uhr
Goto Top
OK, dann kann es nur deine Wireguard Konfig sein. Die ist dann falsch oder fehlerhaft !
Tip:
Lad dir PuTTY auf deinen Rechner:
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
Dann kannst du eine SSH Session aufmachen auf den GL.inet und dir die etwas detailierten Logs ansehen dazu !
Mitglied: hokaido
hokaido 09.12.2019 um 22:21:46 Uhr
Goto Top
Stoppe mal alles was mit Wireguard zu tun hat und lösche die Konfig vom GL.inet. Idealerweise resettest du den GL.inet auf die Werkseinstellungen.
=> ok

Dann steckst du den GL.inet mit dem WAN Port ins FB Netz
=> ok

und steckst einen Test Laptop/Rechner in den GL.inet LAN Port
=> ok

Jetzt folgende Tests mit den Default Settings...:
Check im GUI des GL.inet ob du eine gültige IP und DNS aus dem FritzBox Netz bekommen hast.
=> ja, 192.168.178.254, die ich in der FB fest vergeben hatte

Ping LAN IP 192.168.88.1 GL.inet => Sollte klappen
=> ok

Ping FritzBox LAN IP => Sollte klappen
=>ok

Ping 8.8.8.8 => Sollte klappen
=> ok

Ping Hostname wie www.heise.de => Sollte klappen
=>ok, Internetzugriff über Browser geht auch

Kommst du wenigstens so weit ?!
=> ja, alles soweit ok

Wireguard Server neu eingerichtet:
Konfig auf dem Handy bearbeitet, lautet jetzt:

[Interface]
Address = 10.0.0.2/32
PrivateKey = xyz
PublicKey = xyz1
DNS = 1.1.1.1

[Peer]
PublicKey = xyz2
PresharedKey = ist leer
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = my.ddns.example.com:51820

Bis auf den Cloudflare DNS, den Eintrag bei den Allowed IPs und den Eintrag des Dyndns beim Endpoint hab ich nix geändert.

Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Mitglied: aqui
aqui 10.12.2019 um 13:36:16 Uhr
Goto Top
Kommst du wenigstens so weit ?! => ja, alles soweit ok
Bedeutet ja dann das dein physisches Netzwerk Setup absolut OK ist ! 👍
Alles richtig gemacht !
Es kann also dann rein nur an der Wireguard VPN Einrichtung liegen.
Funktioniert nicht vom Handy bei aktiver Mobilfunkverbindung.
Soll heissen du greifst von außen auf den GL.inet Wireguard Server zu ???
Wenn dem so ist musst du natürlich noch ein paar Dinge dazu einrichten, denn du hast ja eine Router Kaskade mit doppeltem NAT !!
Alle deine externen Wireguard Connect Versuche landen ja dann zuerst an deiner FritzBox, denn die hält ja die öffentliche Internet IP die ja die Ziel IP des Wireguard Clients ist !! Folglich muss die FB diesen Traffic auf den GL.inet weiterreichen !
  • Port Forwarding des Wireguard Ports UDP 51820 auf die GL.inet IP .254
  • Die VPN Client Ziel IP ist immer die WAN Port IP der FritzBox ! (oder ddns Hostname der FB)

Ob das Port Forwarding rennt kannst du ganz einfach testen wenn du statt des GL.inet mal einen Wireshark Rechner mit gleicher IP wie der GL.inet ins Netz hängst.
Wenn du jetzt von extern den WireGuard Client startest solltest du sofort eingehende UDP 51820 IP Pakete dort sehen !
Das zeigt dir dann wasserdicht das das Port Forwarding der FritzBox rennt.
Wie bereits gesagt:
Installiere dir das o.a. PuTTY und gehe mit SSH auf den GL.inet. Checke dort im Setup das die WireGuard Konfig Dateien auch richtig angekommen sind und funktionieren.
Über die OpenWRT Package Verwaltung (Advanced GUI) kannst du dir das tcpdump (Sniffer) und auch das nano (Editor) Package dazuinstallieren. So kannst du z.B. direkt auf dem GL.inet sniffern.
Überprüfe auch nochmal die Firewall Settings dort ganz genau das die Firewall eingehend UDP 51820 erlaubt !
Andernfalls blockt die FW des GL.inet dann eingehende WG Requests !
Mit PuTTY kann man den Router so per SSH Terminal wunderbar debuggen.
Mitglied: hokaido
hokaido 10.12.2019 um 22:49:18 Uhr
Goto Top
Erst mal vielen Dank für Deine Geduld und Hilfe.
Ich habe jetzt folgendes probiert.
Habe auf dem Laptop Wireguard für Win installiert. Konfig rein, kurz angepasst.
Als WLAN hat der Laptop das WLAN Tehhering vom Handy bekommen. War also nicht mit meinem Heimnetz verbunden. Wireguard aktiviert. Und siehe da: IP aus dem Heimnetz bekommen. VPN läuft. Wireguard aus: IP vom Handyprovider. Also alles so wie es sein soll.

Liegt also an Wirguard auf dem Android Handy! Nur wo, das muss ich jetzt suchen....
Mitglied: hokaido
hokaido 10.12.2019 um 23:00:01 Uhr
Goto Top
Schneller gelöst als gedacht.
Ich habe Wireguard deinstalliert und in den sicheren Ordner von Android installiert. Alles eingerichtet und zwar genauso wie vorher.
Zack. Verbindung da.

Verstehe wer will.

Nochmals vielen Dank für die Hilfe!
Mitglied: aqui
aqui 11.12.2019 um 12:08:43 Uhr
Goto Top
Zack. Verbindung da.
👏 Glückwunsch !
Case closed...
Heiß diskutierte Beiträge
general
Telekom hat größere Störung gelöst anteNopeVor 1 TagAllgemeinInformationsdienste30 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Absicherung Exchange ServerLKleemannVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 1 TagFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

report
Erfahrungsbericht Vodafone - All your Verträge belong to us!anteNopeVor 1 TagErfahrungsberichtFlatrates12 Kommentare

Hallo zusammen, da the-buccaneer so nett gebeten hat, hier eine weitere Erfahrung mit und von Voodoofone. Es begab sich zur Zeit zu Weihnachten vor 3 ...

info
Happy System Administrator Appreciation Day0xFFFFVor 23 StundenInformationHumor (lol)7 Kommentare

Guten Morgen Byteschubser, ihr seid die superhelden der Wirtschaft! _Danke dass es euch (uns #eigenlob) gibt. Mögen Eure Systeme stets Viren- und Hackerfrei bleiben, eure ...

question
Robocopy - FEHLER 0 (0x00000000)emeriksVor 1 TagFrageBatch & Shell10 Kommentare

Hi, habe ich hier einen täglichen Copy Job, wo Robocopy plötzlich "Fehler 0" meldet, dass es erfolgreich sei, aber nichts kopiert. Festplatte des NAS ist ...

question
Revisionssicher SpeicherschneerunzelVor 1 TagFrageHardware4 Kommentare

Moin zusammen, bei uns in der Organisation läuft aktuell ein Projekt, welches revisionssicher Archiviert werden muss. Das Projekt hat ein definiertes Startdatum und auch ein ...

question
VPN-Verbindung Home Office - was sieht mein Arbeitgeber?kalakkaiVor 10 StundenFrageRouter & Routing16 Kommentare

Hi zusammen, wenn ich von meinem privaten Laptop und von zu Hause aus über eine VPN-Verbindung mit dem Netzwerk meines Arbeitgebers verbunden bin, kann dann ...