Seit dem Update FritzBox 7.59 funktioniert kaskadiertes Wireguard nicht mehr
Hallo Zusammen,
hier geht es um Probleme mit der Inbetriebnahme eines Wiregard Zuganges auf einen antiquierten aber funktionisfähigen Fritzbox 4040, die als Router ein eigenes Netz mit Servern und einer Arbeitsumgebung wunderbar bedient.
Diese Fritzbox ist via IP an einer 7520 angeschlossen und bezieht daher ihren Internetzugang, die 7520 hängt noch via DSL dann am Internet.
Das Thema wurde wunderbar in dieser Fragerunde bereits diskutiert: Mit Wireguard VPN auf kaskadierte Fritzbox zugreifen und die Lösung dort hat auch wunderbar auf meinem Netz funktioniert.
Seit dem Update auf 7.59 geht ein kaskadiertes Wireguard leider nicht mehr, ein unmittelbar auf der 7520 eingerichtetes aber schon. Ich habe darauf geachtet, dass
Wie gesagt, direktes Wireguard funktioniert, das bedeutet dass der Endpoint erreicht werden sollte.
Ich habe keine Ahnung, was man noch machen könnten und würde mich über Tips freuen.
hier geht es um Probleme mit der Inbetriebnahme eines Wiregard Zuganges auf einen antiquierten aber funktionisfähigen Fritzbox 4040, die als Router ein eigenes Netz mit Servern und einer Arbeitsumgebung wunderbar bedient.
Diese Fritzbox ist via IP an einer 7520 angeschlossen und bezieht daher ihren Internetzugang, die 7520 hängt noch via DSL dann am Internet.
Das Thema wurde wunderbar in dieser Fragerunde bereits diskutiert: Mit Wireguard VPN auf kaskadierte Fritzbox zugreifen und die Lösung dort hat auch wunderbar auf meinem Netz funktioniert.
Seit dem Update auf 7.59 geht ein kaskadiertes Wireguard leider nicht mehr, ein unmittelbar auf der 7520 eingerichtetes aber schon. Ich habe darauf geachtet, dass
- die Portnummer in der Weiterleitung auf der 7520 zum Router 4040 sich von dem lokalen Wireguard auf der 7520 unterschiedlich ist
- die Weiterleitung nutzt UDP und mach eine Weiterleitung via IP4 und IP6 auf die statische IP des 4040
- und in der erzeugten wg_config.conf habe ich den Peer.Endpoint die IP6-Adresse aus dem MyFritz der 7520
- ach ja und sollte es dennoch klappen, sorgt eine Zeitschaltuhr, dass die 4040 jeden Morgen neu gestartet wird.
Wie gesagt, direktes Wireguard funktioniert, das bedeutet dass der Endpoint erreicht werden sollte.
Ich habe keine Ahnung, was man noch machen könnten und würde mich über Tips freuen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42809884176
Url: https://administrator.de/forum/seit-dem-update-fritzbox-7-59-funktioniert-kaskadiertes-wireguard-nicht-mehr-42809884176.html
Ausgedruckt am: 30.12.2024 um 17:12 Uhr
16 Kommentare
Neuester Kommentar
Moin.
Einfach der nachgelagerten Fritte per Prefix Delegation eine globale IPv6 verpassen dort per MyFritz den DDNS aktualisieren lassen, und auf der vorgelagerten Fritte den Port in der Firewall fur die nachgelagerte Fritte freischalten, die DDNS myfritz Adresse der nachgelagerten Fritte in die WG Config hinterlegen, fertig ist die Soße und das überflüssige Performance fressende NAT über die 7520 ist Geschichte .
Gruß wrk.
und in der erzeugten wg_config.conf habe ich den Peer.Endpoint die IP6-Adresse aus dem MyFritz der 7520
Wieso überhaupt noch ne Portweiterleitung bei IPv6?? Mit IPv6 brauchst du das nicht mehr.Einfach der nachgelagerten Fritte per Prefix Delegation eine globale IPv6 verpassen dort per MyFritz den DDNS aktualisieren lassen, und auf der vorgelagerten Fritte den Port in der Firewall fur die nachgelagerte Fritte freischalten, die DDNS myfritz Adresse der nachgelagerten Fritte in die WG Config hinterlegen, fertig ist die Soße und das überflüssige Performance fressende NAT über die 7520 ist Geschichte .
Gruß wrk.
MOin,
Hastr Du mal auf der 4040 gesnifft, ob dort pakete ankommen und beantwortet werden?
Was steh in deren Log?
lks
Hastr Du mal auf der 4040 gesnifft, ob dort pakete ankommen und beantwortet werden?
Was steh in deren Log?
lks
Auf der vorgelagerten Fritzbox in den erweiterten IPv6 Einstellungen folgende Einstellung vornehmen
Dann an der nachgelagerten Fritzbox IPv6 aktivieren und per DHCPv6 eine IPv6 beziehen lassen.
In der Übersicht nachsehen ob diese eine globale IPv6 von der vorgelagerten Fritte bezogen hat.
War das erfolgreich, als nächstes MyFritz auf der 4040 aktivieren, diese sollte erkennen das die Box eine öffentliche IPv6 bezogen hat und diese im öffentlichen DNS von myfritz.net registrieren.
Das sollte man sich per DNS abfrage selbst bestätigen mittels Abfrage der eigenen MyFritz Adresse
Als Ergebnis sollte ein AAAA Record mit der globalen IPv6 der 4040 zurückgegeben werden.
Ist das der Fall als nächstes die Firewall Freigabe auf der vorgelagerten Fritte erstellen und zwar ausschließlich für IPv6, dann wird es nämlich eine reine Firewall-Freigabe und kein DSTNAT!
Dabei wählt man als Gerät die 4040 aus, und als Typ eine "Portfreigabe" (keine MyFRITZ Freigabe!) dabei sollte die bezogene IPv6 der 4040 in der GUI für das Gerät ebenfalls ersichtlich sein.
Nun sollte einem Wireguard-Connect auf die 4040 mit dem entsprechend freigegebenen Port und der myfritz Adresse der 4040 nichts mehr im Wege stehen sofern der Wireguard Client über eine IPv6 Internet-Anbindung verfügt.
Good luck. 🖖
Dann an der nachgelagerten Fritzbox IPv6 aktivieren und per DHCPv6 eine IPv6 beziehen lassen.
In der Übersicht nachsehen ob diese eine globale IPv6 von der vorgelagerten Fritte bezogen hat.
War das erfolgreich, als nächstes MyFritz auf der 4040 aktivieren, diese sollte erkennen das die Box eine öffentliche IPv6 bezogen hat und diese im öffentlichen DNS von myfritz.net registrieren.
Das sollte man sich per DNS abfrage selbst bestätigen mittels Abfrage der eigenen MyFritz Adresse
nslookup xxxxxxxxxxx.myfritz.net
Ist das der Fall als nächstes die Firewall Freigabe auf der vorgelagerten Fritte erstellen und zwar ausschließlich für IPv6, dann wird es nämlich eine reine Firewall-Freigabe und kein DSTNAT!
Dabei wählt man als Gerät die 4040 aus, und als Typ eine "Portfreigabe" (keine MyFRITZ Freigabe!) dabei sollte die bezogene IPv6 der 4040 in der GUI für das Gerät ebenfalls ersichtlich sein.
Nun sollte einem Wireguard-Connect auf die 4040 mit dem entsprechend freigegebenen Port und der myfritz Adresse der 4040 nichts mehr im Wege stehen sofern der Wireguard Client über eine IPv6 Internet-Anbindung verfügt.
Good luck. 🖖
Zitat von @GroovyMan:
Hallo L-Stanzer,
vielen lieben Dank für Deinen Hinweis. Ich bin gerade 600km weg von der Anlage und muss gestehen, dass ich am vergangenen WE nicht unter System->Ereignisse (das meintest Du mit sniffen?) nachgeschaut habe.
Das hole ich nächste WE nach und schreibe dann was.
Hallo L-Stanzer,
vielen lieben Dank für Deinen Hinweis. Ich bin gerade 600km weg von der Anlage und muss gestehen, dass ich am vergangenen WE nicht unter System->Ereignisse (das meintest Du mit sniffen?) nachgeschaut habe.
Das hole ich nächste WE nach und schreibe dann was.
Mit sniffen meine ich, daß Du die Capture-Funktion dr Fritte anwirfst und die IP-Pakete mitschneiden läßßt. Diese kannst Du dann hinterher mit Wireshar oder einem anderen Tool analysieren.
In den Ereignissen soltlest Du auf jeden Fall schauen, ob da was passendes drinsteht.
Was ich aber mal versucht habe, ich hatte aus dem privaten Netz versucht, eine Wireguard Verbindung auf die 4040 zu schalten, was leider auch nicht erfolgreich war.
Wenn ich mal einer Vermutung loswerden darf: Seit dem 7.59 upgrade scheint das MyFritz-Konto eine wichtige Rolle auch bei dem Anlegen eines Wireguard Endpoints zu spielen. Und hier scheint meine 4040 ein Problem zu haben. Ich habe zwar die 4040 dort angemeldet, aber auf der FB-Adminseite ist unter Internet->MyFritz!-Konto die grüne Checkbox (bzw Checkball) zu "Ihre Fritz!Box ist bei MyFritz angemeldet" nicht grün!
Ich vermute einmal, dass hier ein Fehlerquelle vorliegt (neben mir persönlich, wenn ich das Posting von WolleRoseKauf richtig verstehe.
Das Myfritz-Konto spielt nur insofern eine Rolle, weil damit ein dyndns gemacht wird. d.h. dir Fritte meldet ihre v4- und v6-Adresse an den Server und der löst dann bei einer Anfrage den Namen irgendwaswildes.myfritz.net auf diese IP-Adressen auf.
Das Problem dabei: Die namen Werden immer auf die Adresse aufgelöst, die die Fritte selbst hat. In dem fall, daß Du halt kaskadierst, auf die privaten Adressen hinter dem Border Router (d.h. vordere Fritte). Nun erstelle die Fritten-GUI die Wireguard-Config so, daß die my-fritz-Namen drinstehen. Damit hast Du das Problem, daß wenn Du die weiterleitung benutzt, Du private Adressen als gegenstelle hast und damit gar nicht auf die Internet-Zugangsfritte kommst, die die Weiterleitung macht.
Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.
Das Ganze kann man dadurch umgehen, indem man, wie @13676056485 schon sagte, ipv6 nutzt und statt Weiterleitung die direkte verbindung zuläßt. Du solltest daher in der ersten Fritte die 4040 als exposed v6-Host einrichten, damit Du per v6 draufkommst.
Dann sollte das mit wireshark und der myfritz-v6-Adresse der 4040 dann funktionieren.
lks
Zitat von @GroovyMan:
Hallo Lochkartenstanzer,
Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.
Die IP Weiterleitung funktioniert leider nicht mehr. Die Ersetzung des Hostnamen in der erzeugten wg-config.conf durch den Namen der DSL-Fritte geht leider nicht mehr seit dem Update (hatte ich ja beschrieben) Das IP Forwarding scheint die Pakete anzunehmen, nur die 4040 scheint diese zu ignorieren.
Hallo Lochkartenstanzer,
Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.
Die IP Weiterleitung funktioniert leider nicht mehr. Die Ersetzung des Hostnamen in der erzeugten wg-config.conf durch den Namen der DSL-Fritte geht leider nicht mehr seit dem Update (hatte ich ja beschrieben) Das IP Forwarding scheint die Pakete anzunehmen, nur die 4040 scheint diese zu ignorieren.
Deswegen an due Fritten sniffen, was da überhaupt für Pakete durchkommen und im Log schauen, ob da was dazu steht.
Oder gleich IPv6 nutzen
lks
Moin,
... und hoppla ... nun klappt es, das sagt mit der Log aus System-Ereignisse und die Anzeige in der Fritzbox 4040. Kein Spaß, davor wollte er nicht.
Wahrscheinlich hast Du beim testen irgendeine Klainigkeit andersgemacht, die Dir so nicht aufgefallen ist. Passiert manchmal. Selbst ich habe Fälle erlebt wo ich auch dachte ich habe nichts anders gemacht als die dutzende Male vorher als es plötzlich doch ging.
Funktionieren tut es, wenn man anstelle des MyFritzDNS Namen die IP6 Adresse direkt angibt. Den Effekte hatte ich zuvor schon einmal. Dabei muss die Route von der DSL-Fritzbox zu der 4040 mit der Portnumer des vergebenen Wireguard bestückt sein.
Werlche v6-Adresse? Die der 4040 oder die andere Fritte?
Ander als zuvor vor dem Update (und das kapiere ich nur bedingt) muss ich die IP6 der vergebenen IP6 Adresse sein, die durch die MyFritz-Anmeldung angelegt wird, aber bei der es nie zu einer Anmeldung kommt (Kopfweh).
Dann solltest Du vielleicht einfach mal die 4040 auf Werkseinstellunge setzen und die myfritz-Anmeldung frisch machen, um sicherzugehen, daß die Anmeldung funktioniert
Für mich liest sich das ganz, als ob die 4040 nicht bei myfritz authentifiziert wäre.
lks
Zitat von @GroovyMan:
Weder noch, ich habe die IP6 Adresse verwendet, im MYFritt!Net bei der Registrierung der kaskadierenden 4040Fritbox hinterlegt wurde. Aus dem Sniffer der DSL-Fritzbox habe ich herausgefunden, dass diese den richtigen Weg zu der 4040-Router-Fritzbox nimmt und dort auch ankommt und den Wireguard dann aufbaut.
Ich tausche in der erzeugten wg_config.conf den erstellten DNS Name aus dem MyFritznet für meine 4040 gegen die IP6 Adresse!
Werlche v6-Adresse? Die der 4040 oder die andere Fritte?
Weder noch, ich habe die IP6 Adresse verwendet, im MYFritt!Net bei der Registrierung der kaskadierenden 4040Fritbox hinterlegt wurde. Aus dem Sniffer der DSL-Fritzbox habe ich herausgefunden, dass diese den richtigen Weg zu der 4040-Router-Fritzbox nimmt und dort auch ankommt und den Wireguard dann aufbaut.
Ich tausche in der erzeugten wg_config.conf den erstellten DNS Name aus dem MyFritznet für meine 4040 gegen die IP6 Adresse!
Dann solte es auch mit dem Namen klappen. Wenn Du willst und mir den myfritznamen per PM schreibst, schau ich mal von hier drauf auf welche v4 und v6-Adresse der Name sich auflöst. Dann sieht man ja, ob das eine andere ist.
lks