groovyman
Goto Top

Seit dem Update FritzBox 7.59 funktioniert kaskadiertes Wireguard nicht mehr

Hallo Zusammen,

hier geht es um Probleme mit der Inbetriebnahme eines Wiregard Zuganges auf einen antiquierten aber funktionisfähigen Fritzbox 4040, die als Router ein eigenes Netz mit Servern und einer Arbeitsumgebung wunderbar bedient.
Diese Fritzbox ist via IP an einer 7520 angeschlossen und bezieht daher ihren Internetzugang, die 7520 hängt noch via DSL dann am Internet.

Das Thema wurde wunderbar in dieser Fragerunde bereits diskutiert: Mit Wireguard VPN auf kaskadierte Fritzbox zugreifen und die Lösung dort hat auch wunderbar auf meinem Netz funktioniert.

Seit dem Update auf 7.59 geht ein kaskadiertes Wireguard leider nicht mehr, ein unmittelbar auf der 7520 eingerichtetes aber schon. Ich habe darauf geachtet, dass

  • die Portnummer in der Weiterleitung auf der 7520 zum Router 4040 sich von dem lokalen Wireguard auf der 7520 unterschiedlich ist
  • die Weiterleitung nutzt UDP und mach eine Weiterleitung via IP4 und IP6 auf die statische IP des 4040
  • und in der erzeugten wg_config.conf habe ich den Peer.Endpoint die IP6-Adresse aus dem MyFritz der 7520
  • ach ja und sollte es dennoch klappen, sorgt eine Zeitschaltuhr, dass die 4040 jeden Morgen neu gestartet wird.

Wie gesagt, direktes Wireguard funktioniert, das bedeutet dass der Endpoint erreicht werden sollte.

Ich habe keine Ahnung, was man noch machen könnten und würde mich über Tips freuen.

Content-ID: 42809884176

Url: https://administrator.de/forum/seit-dem-update-fritzbox-7-59-funktioniert-kaskadiertes-wireguard-nicht-mehr-42809884176.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

GroovyMan
GroovyMan 14.07.2024 um 16:32:19 Uhr
Goto Top
Kleiner Nachschlag, via
nc -6 -vz -u  <ip6-addr> <portnummer> 
konnte ich erfolgreich prüfen, dass der Endpunkt der Portweiterleitung vermutlich existiert. Laut Ausgabe, konnten Pakete gesendet werden.

Ich stelle das Tool nichts in Frage, aber frage mich selber, wie man das bei einem verbindungslosen Protokoll sicherstellten kann, aber egal ;-=)
13676056485
13676056485 14.07.2024 aktualisiert um 16:37:50 Uhr
Goto Top
Moin.
und in der erzeugten wg_config.conf habe ich den Peer.Endpoint die IP6-Adresse aus dem MyFritz der 7520
Wieso überhaupt noch ne Portweiterleitung bei IPv6?? Mit IPv6 brauchst du das nicht mehr.
Einfach der nachgelagerten Fritte per Prefix Delegation eine globale IPv6 verpassen dort per MyFritz den DDNS aktualisieren lassen, und auf der vorgelagerten Fritte den Port in der Firewall fur die nachgelagerte Fritte freischalten, die DDNS myfritz Adresse der nachgelagerten Fritte in die WG Config hinterlegen, fertig ist die Soße und das überflüssige Performance fressende NAT über die 7520 ist Geschichte .

Gruß wrk.
Lochkartenstanzer
Lochkartenstanzer 14.07.2024 aktualisiert um 18:53:18 Uhr
Goto Top
MOin,

Hastr Du mal auf der 4040 gesnifft, ob dort pakete ankommen und beantwortet werden?

Was steh in deren Log?

lks
GroovyMan
GroovyMan 15.07.2024 um 21:51:35 Uhr
Goto Top
Hallo L-Stanzer,

vielen lieben Dank für Deinen Hinweis. Ich bin gerade 600km weg von der Anlage und muss gestehen, dass ich am vergangenen WE nicht unter System->Ereignisse (das meintest Du mit sniffen?) nachgeschaut habe.
Das hole ich nächste WE nach und schreibe dann was.

Was ich aber mal versucht habe, ich hatte aus dem privaten Netz versucht, eine Wireguard Verbindung auf die 4040 zu schalten, was leider auch nicht erfolgreich war.

Wenn ich mal einer Vermutung loswerden darf: Seit dem 7.59 upgrade scheint das MyFritz-Konto eine wichtige Rolle auch bei dem Anlegen eines Wireguard Endpoints zu spielen. Und hier scheint meine 4040 ein Problem zu haben. Ich habe zwar die 4040 dort angemeldet, aber auf der FB-Adminseite ist unter Internet->MyFritz!-Konto die grüne Checkbox (bzw Checkball) zu "Ihre Fritz!Box ist bei MyFritz angemeldet" nicht grün!
Ich vermute einmal, dass hier ein Fehlerquelle vorliegt (neben mir persönlich, wenn ich das Posting von WolleRoseKauf richtig verstehe.
GroovyMan
GroovyMan 15.07.2024 um 22:08:54 Uhr
Goto Top
Hallo WolleRoseKaufe,

erst einmal auch Danke für Deinen Hinweis. Ich schicke einmal vorweg, dass ich garantiert weniger Wissen über IP6 habe als Du, ich bitte daher um Nachsicht.

In meinem alten Netz verwendete ich noch einen alten NetGear Router, um daheim in einem (fast) privaten Hausnetz ein kleines Firmennetz hochzuziehen und es von dem umgebenen privaten Netz abzuschirmen.
Als dann richtig umgebaut wurde fing ich an, das private Netz mit einer 4040 auszubauen (Mesh-Client) und stellte fest, dass die 4040 noch mehr kann.
Auf diese Weise kam eine weitere 4040 in Haus und ersetze den NetGear Router und ich begann ein VPN aufzusetzen. An IP6 hatte ich da noch gar nicht gedacht!

Die Portweiterleitung habe ich aus der Diskussion aus der Diskussion Mit Wireguard VPN auf kaskadierte Fritzbox zugreifen entnommen. Es klang für mich plausibel, dass ich mit einer Port-Weiterleitung die DSL-Fritzbox als "Jumphost" verwenden und mit einer Port-Freigabe/Weiterleitung die Wireguard Zugriffe dann auf die Router-4040 weiterleite, es hat ja auch funktioniert.

So, und nun behauptest Du, das sei überflüssig, da IP6 so etwas kann? Ich glaube das gerne und probiere es sogleich aus, wenn Du mir mit wenigen Worten oder einem Link kurz auf die Sprünge hilfst.
13676056485
Lösung 13676056485 15.07.2024 aktualisiert um 23:11:24 Uhr
Goto Top
Auf der vorgelagerten Fritzbox in den erweiterten IPv6 Einstellungen folgende Einstellung vornehmen

1000004095

Dann an der nachgelagerten Fritzbox IPv6 aktivieren und per DHCPv6 eine IPv6 beziehen lassen.

In der Übersicht nachsehen ob diese eine globale IPv6 von der vorgelagerten Fritte bezogen hat.
War das erfolgreich, als nächstes MyFritz auf der 4040 aktivieren, diese sollte erkennen das die Box eine öffentliche IPv6 bezogen hat und diese im öffentlichen DNS von myfritz.net registrieren.
Das sollte man sich per DNS abfrage selbst bestätigen mittels Abfrage der eigenen MyFritz Adresse
nslookup xxxxxxxxxxx.myfritz.net
Als Ergebnis sollte ein AAAA Record mit der globalen IPv6 der 4040 zurückgegeben werden.

Ist das der Fall als nächstes die Firewall Freigabe auf der vorgelagerten Fritte erstellen und zwar ausschließlich für IPv6, dann wird es nämlich eine reine Firewall-Freigabe und kein DSTNAT!

1000004097

Dabei wählt man als Gerät die 4040 aus, und als Typ eine "Portfreigabe" (keine MyFRITZ Freigabe!) dabei sollte die bezogene IPv6 der 4040 in der GUI für das Gerät ebenfalls ersichtlich sein.

Nun sollte einem Wireguard-Connect auf die 4040 mit dem entsprechend freigegebenen Port und der myfritz Adresse der 4040 nichts mehr im Wege stehen sofern der Wireguard Client über eine IPv6 Internet-Anbindung verfügt.

Good luck. 🖖
GroovyMan
GroovyMan 15.07.2024 um 23:09:08 Uhr
Goto Top
Vielen Dank, probiere ich am WE aus!
Lochkartenstanzer
Lochkartenstanzer 16.07.2024 um 11:11:58 Uhr
Goto Top
Zitat von @GroovyMan:

Hallo L-Stanzer,

vielen lieben Dank für Deinen Hinweis. Ich bin gerade 600km weg von der Anlage und muss gestehen, dass ich am vergangenen WE nicht unter System->Ereignisse (das meintest Du mit sniffen?) nachgeschaut habe.
Das hole ich nächste WE nach und schreibe dann was.

Mit sniffen meine ich, daß Du die Capture-Funktion dr Fritte anwirfst und die IP-Pakete mitschneiden läßßt. Diese kannst Du dann hinterher mit Wireshar oder einem anderen Tool analysieren.

In den Ereignissen soltlest Du auf jeden Fall schauen, ob da was passendes drinsteht.


Was ich aber mal versucht habe, ich hatte aus dem privaten Netz versucht, eine Wireguard Verbindung auf die 4040 zu schalten, was leider auch nicht erfolgreich war.

Wenn ich mal einer Vermutung loswerden darf: Seit dem 7.59 upgrade scheint das MyFritz-Konto eine wichtige Rolle auch bei dem Anlegen eines Wireguard Endpoints zu spielen. Und hier scheint meine 4040 ein Problem zu haben. Ich habe zwar die 4040 dort angemeldet, aber auf der FB-Adminseite ist unter Internet->MyFritz!-Konto die grüne Checkbox (bzw Checkball) zu "Ihre Fritz!Box ist bei MyFritz angemeldet" nicht grün!
Ich vermute einmal, dass hier ein Fehlerquelle vorliegt (neben mir persönlich, wenn ich das Posting von WolleRoseKauf richtig verstehe.

Das Myfritz-Konto spielt nur insofern eine Rolle, weil damit ein dyndns gemacht wird. d.h. dir Fritte meldet ihre v4- und v6-Adresse an den Server und der löst dann bei einer Anfrage den Namen irgendwaswildes.myfritz.net auf diese IP-Adressen auf.

Das Problem dabei: Die namen Werden immer auf die Adresse aufgelöst, die die Fritte selbst hat. In dem fall, daß Du halt kaskadierst, auf die privaten Adressen hinter dem Border Router (d.h. vordere Fritte). Nun erstelle die Fritten-GUI die Wireguard-Config so, daß die my-fritz-Namen drinstehen. Damit hast Du das Problem, daß wenn Du die weiterleitung benutzt, Du private Adressen als gegenstelle hast und damit gar nicht auf die Internet-Zugangsfritte kommst, die die Weiterleitung macht.

Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.

Das Ganze kann man dadurch umgehen, indem man, wie @13676056485 schon sagte, ipv6 nutzt und statt Weiterleitung die direkte verbindung zuläßt. Du solltest daher in der ersten Fritte die 4040 als exposed v6-Host einrichten, damit Du per v6 draufkommst.

Dann sollte das mit wireshark und der myfritz-v6-Adresse der 4040 dann funktionieren.

lks
GroovyMan
GroovyMan 20.07.2024 um 19:24:59 Uhr
Goto Top
Hallo Lochkartenstanzer,

Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.

Die IP Weiterleitung funktioniert leider nicht mehr. Die Ersetzung des Hostnamen in der erzeugten wg-config.conf durch den Namen der DSL-Fritte geht leider nicht mehr seit dem Update (hatte ich ja beschrieben) Das IP Forwarding scheint die Pakete anzunehmen, nur die 4040 scheint diese zu ignorieren.
Lochkartenstanzer
Lochkartenstanzer 20.07.2024 aktualisiert um 22:23:26 Uhr
Goto Top
Zitat von @GroovyMan:

Hallo Lochkartenstanzer,

Sofern Du also Weiterleitung nutzen wilst, muß du zwingend die myfritz-Adresse der 4040 durch die Myfritz-Adresse der Fritte, die den Internzugang herstelt ersetzen., weil da ja die Pakete landen müssen.

Die IP Weiterleitung funktioniert leider nicht mehr. Die Ersetzung des Hostnamen in der erzeugten wg-config.conf durch den Namen der DSL-Fritte geht leider nicht mehr seit dem Update (hatte ich ja beschrieben) Das IP Forwarding scheint die Pakete anzunehmen, nur die 4040 scheint diese zu ignorieren.

Deswegen an due Fritten sniffen, was da überhaupt für Pakete durchkommen und im Log schauen, ob da was dazu steht.

Oder gleich IPv6 nutzen

lks
GroovyMan
GroovyMan 21.07.2024 aktualisiert um 01:45:04 Uhr
Goto Top
Hy,

gut, über den Zugriff via fritz.box/html/capture.html habe ich nun versucht, etwas mehr in Erfahrung zu bringen. Es werden 2 Internet Verbindung angegeben, aktiv scheint nur die erste zu sein. Wenn ich nun mir einen Mitschnitt erstelle, dann sollte ich in der Lage sein, nach UDP Paketen gefiltert im Wireshark Zugriffe mit auf die Portnummer des Wireguard zu sehen, oder ?

Gruß
GroovyMan
GroovyMan 21.07.2024 um 01:51:59 Uhr
Goto Top
Ich bin bis zu dem Test gekommen und scheiterte am Versuch, die Abfrage des Namensdienst

nslookup xxxxxxxxxxx.myfritz.net

erfolgreich abzusetzen. Wie gehabt ist auch die 4040 mal wieder nicht im MyFritz angemeldet, obgleich die URL's schon angelegt seind.
GroovyMan
GroovyMan 21.07.2024 aktualisiert um 19:20:53 Uhr
Goto Top
Salut Lochkartenstanzer,

Zuerst hatte ich erst einmal sichergestellt, dass das IP6 im DSL-Router funktioniert, da gab es wohl das ein oder andere Problem.

(1) Nun habe ich mal gesnifft und mit dem Wireshark mir die Ergebnisse angeschaut. Im Wireshark kann man deutliche erkennen, wie die Packtete auf der DSL-Fritzbox(7520) ankommen und über das erwartete eth1 (also LAN-2) an das einzig dort angeschlossene Geräte (eben die 4040 Router) durch gestellt werden. Wireshark erkennt dankbarerweise die Packete und ordnet diese dem passenden Kontext zu, also nicht nach UDP suchen, sondern nach WireGuard.

(2) Ebenso konnte ich auf der 4040 den Emfpang der WireGuard Packete erkennen, nur blöderweise scheint das dem dort eingerichteten Wireguard wohl total schnuppe zu sein, der springt erst gar nicht an. Man sieht dort die Abfolge von
  • >Initiation
*<Response
*>Keepalive
*>Transport Data (5 mal)
*<Transport Data

und hoppla ... nun klappt es, das sagt mit der Log aus System-Ereignisse und die Anzeige in der Fritzbox 4040. Kein Spaß, davor wollte er nicht.

Funktionieren tut es, wenn man anstelle des MyFritzDNS Namen die IP6 Adresse direkt angibt. Den Effekte hatte ich zuvor schon einmal. Dabei muss die Route von der DSL-Fritzbox zu der 4040 mit der Portnumer des vergebenen Wireguard bestückt sein.

Ander als zuvor vor dem Update (und das kapiere ich nur bedingt) muss ich die IP6 der vergebenen IP6 Adresse sein, die durch die MyFritz-Anmeldung angelegt wird, aber bei der es nie zu einer Anmeldung kommt (Kopfweh).

Zusammenfassung:

(1) So wie ich das nun kapiert habe, hilft mir bei der Angabe der zugeordneten IP6 Adresse wohl ein Routing-Feature des IP6, das dem Protokoll sagt, "erst Du meine DSL-Firstbox" und dann geht es irgendwie weiter.

(2) Die 4040 ist übrigens nicht exposed, sondern hängt weiterhin brav hinter der DSL Fritzbox

(3) Nimmt man die IP6 Portfreigabe und Weiterleitung an die 4040 aus dem DSL-Router weg, funktioniert -wie damals- Wireguard nicht, also greift hier die eingerichtete IP4/IP6 Weiterleitung.

Die Vorgehensweise gleich (mit Ausnahme der Verwendung des MyFritz DNS Names) so der Vorgehensweise dem gelöschten Account des 13676056485. Der kriegt den Bobbel.
Nebenher werde ich noch klären müssen, wie ich das Problem mit der MyFritz-Konto und der Anmeldung der 4040 noch hinbekommen.
Lochkartenstanzer
Lochkartenstanzer 23.07.2024 um 16:23:16 Uhr
Goto Top
Zitat von @GroovyMan:

Salut Lochkartenstanzer,

Moin,

... und hoppla ... nun klappt es, das sagt mit der Log aus System-Ereignisse und die Anzeige in der Fritzbox 4040. Kein Spaß, davor wollte er nicht.

Wahrscheinlich hast Du beim testen irgendeine Klainigkeit andersgemacht, die Dir so nicht aufgefallen ist. Passiert manchmal. Selbst ich habe Fälle erlebt wo ich auch dachte ich habe nichts anders gemacht als die dutzende Male vorher als es plötzlich doch ging.


Funktionieren tut es, wenn man anstelle des MyFritzDNS Namen die IP6 Adresse direkt angibt. Den Effekte hatte ich zuvor schon einmal. Dabei muss die Route von der DSL-Fritzbox zu der 4040 mit der Portnumer des vergebenen Wireguard bestückt sein.

Werlche v6-Adresse? Die der 4040 oder die andere Fritte?

Ander als zuvor vor dem Update (und das kapiere ich nur bedingt) muss ich die IP6 der vergebenen IP6 Adresse sein, die durch die MyFritz-Anmeldung angelegt wird, aber bei der es nie zu einer Anmeldung kommt (Kopfweh).

Dann solltest Du vielleicht einfach mal die 4040 auf Werkseinstellunge setzen und die myfritz-Anmeldung frisch machen, um sicherzugehen, daß die Anmeldung funktioniert

Für mich liest sich das ganz, als ob die 4040 nicht bei myfritz authentifiziert wäre.

lks
GroovyMan
GroovyMan 23.07.2024 aktualisiert um 17:02:35 Uhr
Goto Top
Funktionieren tut es, wenn man anstelle des MyFritzDNS Namen die IP6 Adresse direkt angibt. Den Effekte hatte ich zuvor schon einmal. Dabei muss die Route von der DSL-Fritzbox zu der 4040 mit der Portnumer des vergebenen Wireguard bestückt sein.

Werlche v6-Adresse? Die der 4040 oder die andere Fritte?

Weder noch, ich habe die IP6 Adresse verwendet, im MYFritt!Net bei der Registrierung der kaskadierenden 4040Fritbox hinterlegt wurde. Aus dem Sniffer der DSL-Fritzbox habe ich herausgefunden, dass diese den richtigen Weg zu der 4040-Router-Fritzbox nimmt und dort auch ankommt und den Wireguard dann aufbaut.
Ich tausche in der erzeugten wg_config.conf den erstellten DNS Name aus dem MyFritznet für meine 4040 gegen die IP6 Adresse!

Für mich liest sich das ganz, als ob die 4040 nicht bei myfritz authentifiziert wäre.
Das Irre ist, dass die 4040 sich im MyFritz anmledet und einen Eintrag dort entstehen lässt (incl. IP6 Adresse). Die Registrierung schließe ich dann ab.
Im Nachhinein schafft es die 4040 sich dann nicht anzumelden und unter Ereignis sehe ich ich den verdächtigen Eintrag:

  • IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: [Netzadresse]
  • Internetverbindung IPv6: AFTR konnte nicht bezogen werden: Grund 7 (got no aftr)
Lochkartenstanzer
Lochkartenstanzer 23.07.2024 um 17:07:19 Uhr
Goto Top
Zitat von @GroovyMan:

Werlche v6-Adresse? Die der 4040 oder die andere Fritte?

Weder noch, ich habe die IP6 Adresse verwendet, im MYFritt!Net bei der Registrierung der kaskadierenden 4040Fritbox hinterlegt wurde. Aus dem Sniffer der DSL-Fritzbox habe ich herausgefunden, dass diese den richtigen Weg zu der 4040-Router-Fritzbox nimmt und dort auch ankommt und den Wireguard dann aufbaut.
Ich tausche in der erzeugten wg_config.conf den erstellten DNS Name aus dem MyFritznet für meine 4040 gegen die IP6 Adresse!


Dann solte es auch mit dem Namen klappen. Wenn Du willst und mir den myfritznamen per PM schreibst, schau ich mal von hier drauf auf welche v4 und v6-Adresse der Name sich auflöst. Dann sieht man ja, ob das eine andere ist.

lks