Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Wireguard - OpenWRT auf Fritzbox 4040 stellt keine Verbindung her

Mitglied: incisor2k

incisor2k (Level 1) - Jetzt verbinden

12.05.2019 um 09:24 Uhr, 2075 Aufrufe, 9 Kommentare

Guten Morgen,
Es geht um eine VPN Konfiguration (Wireguard) zwischen Router (Fritzbox 4040 + OpenWRT) und einem Wireguard-Server im Internet mit fester IP.
Derzeit gibt es folgende Konfigurationen, welche, bis auf eine, auch funktionieren.

Wireguard Server: Im Netz mit fester IP erreichbar.
Client 1: Smartphone (im Mobilfunknetz) - funktioniert.
Laptop, verbunden mit einem X86 - OpenWrt Image als Router, Wireguard konfiguriert - Verbindung zum Server steht.
Der X86 OpenWRT-Router hängt an einem LTE-Router, welcher als Internetzugangspunkt dient.
Konfiguration zu Hause:
Fritzbox 7490 (Router + DSL Zugang), Fritzbox 4040 (OpenWRT, DHCP,...) --> Keine Verbindung zum Server möglich.
Alle anderen Clients in diesem Netzwerk (Smartphone, Laptop), welche eine direkte Verbindung zum Server herstellen, funktionieren jedoch, stellen also eine Verbindung zum Server her.
Konfiguriert ist die 4040 identisch (mit Ausnahme der IP Adresse) wie das X86-OpenWRT Image, welches funktioniert.

Hat zufällig jemand eine Idee oder weis, woran es liegen könnte? Falls weitere Daten notwendig sind, füge ich die gern hinzu.
Mitglied: aqui
12.05.2019, aktualisiert um 11:50 Uhr
Fritzbox 7490 (Router + DSL Zugang), Fritzbox 4040 (OpenWRT, DHCP,...) --> Keine Verbindung zum Server möglich.
Du setzt mit dem OpenWRT Router vermutlich eine sog. Router Kaskade ein:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
oder hast den OpenWRT "one armed" im lokalen Netzwerk wie ein Client, richtig ?
Da gibt es mehrere Dinge die eine Server Verbindung verhindern:
  • Dein Provider Anschluss an der FritzBox ist ein DS-Lite_Anschluss. Dann sind alle weiteren Versuche sinnlos, mit DS-Lite bekommt man das technisch nicht hin durch das CGN Problem.
  • Hast du keinen DS-Lite und eine öffentliche IP hast du vermutlich vergessen den von dir im VPN Server konfigurierten Wireguard Port im Port Forwarding der davor kaskadierten FritzBox freizugeben ! Siehe Kaskaden Tutorial oben !
  • Ist der Wireguard "one armed" angeschlossen im lokalen LAN benötigst du noch eine statische Route auf der FB um das interne VPN Netz erreichen zu können. Das OpenVPN_Tutorial erklärt es im Kaskaden Kapitel im letzten Bild !

Auch solltest du klären ob du im LTE Netzwerk vom Provider private RFC 1918 IP Adressen bekommst:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Viele LTE Provider machen das bei billigen nur Surf Accounts. Auch dann kannst du das Thema VPN gleich vergessen, denn dann macht der Provider wie bei DS-Lite CGN und dann hast du keine Chance dessen NAT Firewall zu überwinden !
DS-Lite und RFC 1918 IP Adressen im LTE wären dann das sofortige Aus für dein VPN.
Welche Adressen du am LTE Router im Mobilfunknetz bekommen hast kannst du in dessen Interface Status Übersicht sehen und auch am Smartphone in den dort vergebenen Mobilfunk IP Adressen.

Eins dieser 3 Fehler oder alle 3 hast du irgendwo verbockt ! Oder... den falschen LTE Provider.
Bitte warten ..
Mitglied: incisor2k
12.05.2019 um 12:47 Uhr
Danke für deine Antwort. Bin leider eben mobil unterwegs, deshalb hoffe ich, die kurze Antwort wird ausreichen.
Meine Problem-OpenwrtBox ist Teil des Heimnetzes. Diese hängt hinter einer anderen FritzBox (Gateway), und dient also Router für das Netzwerk, DHCP, DNS etc.
Geräte, welche sich ebenfalls in diesem Netzwerk befinden, z.B. Smartphones, verbinden sich ohne Probleme zum Wireguard-Server.
Es handelt sich hier auch um einen normalen DSL Anschluss, nicht DSL light.
Die X86-OpenWrt befindet sich an einem anderen Internet-Anschluss (LTE-Anschluss) - hier funktioniert alles reibungslos, die Verbindung zum Wireguardserver steht.
Bitte warten ..
Mitglied: aqui
13.05.2019, aktualisiert um 13:18 Uhr
Eine simple und klassische Kaskaden Konfig also !?!
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Eine kleine Skizze wie dein Netzwerk genau aussieht würde hier sicher immens helfen für das Verständnis deines Designs.
So ist recht unklar was an der FritzBox und was am LTE mit welchen IP Netzen und Gateway Adressen hängt
Bitte warten ..
Mitglied: incisor2k
14.05.2019 um 07:22 Uhr
Völlig korrekt, das macht Sinn. Hoffe damit ist was anzufangen.
Zur Erklärung. Der DSL Standort (Lokation1) und der LTE Standort (Lokation2) sind unabhängig voneinander.
Beide Router (DSL-Router / LTE-Router) stellen den Gateway ins Internet, Firewall ist auf beiden aktiviert.
Die OpenWRT-Router (auf Firtzbox 4040 / X86-Software) stellen DHCP und DNS und stellen das Standardgateway für das Netzwerk. Firewalls sind auf beiden Geräten deaktiviert.
Lokation 2: X86-OpenWRT-Router hat einen Peer zu dem Wireguard Server im Internet. Alle Clients in diesem Netz, können diese Verbindung direkt nutzen, auch ohne Wireguard Software auf den Clients.
Lokation 1: Dieser OpenWRT-Router hat ebenfalls einen Peer zum WG-Server, stellt aber keine Verbindung her. Clients (z.B. PC, Smartphone) welche direkt mit dem Router verbunden sind (LAN/WLAN), und Wireguard-Software nutzen, stellen hingegen problemlos eine Verbindung her.
Ich habe (Lokation1) mal den Netzverkehr am WAN-Port / Routing-Port mitgeschnitten. Man erkennt, dass der OpenWRT-Router einen Handshake versucht, aber keine Antwort vom WG-Server erhält.
Meine Vermutung ist, dass u.U. der Provider dies blockt (ist sowas denkbar?!). Dagegen spricht aber, dass alle Clients direkt an dem Router problemlos eine Verbindung aufbauen können.
Andere VPN-Dienste (z.B. OpenVPN) funtkionieren an dem Anschluss übrigens problemlos, in beide Richtungen.
wg-prob - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.05.2019 um 08:49 Uhr
OK, das bringt etwas Klarheit in die Angelegenheit.
Zwei wichtige Frage bleibt noch die du noch klären müsstest bevor wir ins Eingemachte gehen:
  • Der Wireguard Server, liegt der direkt im Internet mit einer öffentlichen IP Adresse oder auch hinter einem NAT Router ?
  • Die kaskadierten OpenWRT Router arbeiten die als reine Router ohne NAT so wie HIER beschrieben, also mit zusätzlicher statischer Router auf FB und LTE Router. Oder haben die NAT (Adress Translation) aktiviert am Koppelport zum davorliegenden Router ?

Generell ist das ein einfaches und klassisches VPN Szenario, nix besonderes und sollte problemlos laufen. Die Lokation 2 an der alles funktioniert zeigt das ja auch. Bzw. die funktionierenden Einzelclients in Lokation 1.
Das es mit den Clients in Lok.1 klappt zeigt ganz klar das mit der Konfig des VPN Servers alles richtig ist. Da die Verbindung zusatnde kommt und die Wireguard Pakete dann damit auch logischerweise auch von dort via Provider zum Server gehen beweist ja dann eindeutig auch das der Provider diese Pakete NICHT filtert.
Das kann er ja auch gar nicht, denn Wireguard benutzt SSL. Sprich du kannst sogar den Port selber bestimmen.
Hier wäre nochmal interessant welchen Port du benutzt ??

Fazit: Es kann also nur am OpenWRT Router in Lok.1 selber liegen.
Entweder stimmen hier so banale Dinge wie User und Passwort nicht was die Einwahl verhindert oder z.B. auch die Uhrzeit und Datum nicht was für die von Wireguard verwendeten Schlüsselverfahren wichtig ist. Auf allen beteiligten VPN Komponenten sollte also ein NTP_Server aktiviert sein.
Es wäre ziemlich unverständlich warum Wireguard VPN Pakete von den Lok.1 Clients problemlos zum Server gelangen und einen Tunnel aufbauen, die des Routers davor aber nicht.
Hier sind dann nochmal Infos wichtig:
  • Welche Absender IP nutzen die VPN Pakete vom OpenWRT
  • Ggf. Filter dafür aktiv in der davor kaskadierten FW
  • Ist OpenWRT mit NAT aktiv oder routet der Router transparent zur FB ?
Bitte warten ..
Mitglied: incisor2k
14.05.2019, aktualisiert um 09:08 Uhr
Guten Morgen, danke für deine Antwort. Hatte jetzt schon fast gedacht, es würde sich tatsächlich nur um das banale Problem Zeit handeln, das war es aber leider dann doch nicht - hier passt alles.
Zu deinen Fragen:
1) Der WG-Server hat ne öffentliche IP, keine NAT Router.
2) Absender IP-Pakete ist die öffentliche IP des Anschlusses
3) OpenWRT hat kein NAT aktiv
4) Benutzername / Kennwort gibts bei Wireguard ja nicht, nur Schlüssel. Die wurden jetzt ca 100x kontrolliert, neu angelegt, neu eingetragen etc.
Zitat von aqui:
Es wäre ziemlich unverständlich warum Wireguard VPN Pakete von den Lok.1 Clients problemlos zum Server gelangen und einen Tunnel aufbauen, die des Routers davor aber nicht.
Ja, das ist es
Als Port am Server ist der Standardport 51820 eingetragen.
Ich hatte den OpenWRT Router testweise auch als Exposed Host freigegeben, selbes Ergebnis...

Achso: Filter sind in der FW ebenfalls nicht aktiv.
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.05.2019 um 09:16 Uhr
Bei 2.) meinst du den Server, oder ?
Das war aber nicht gemeint sondern die Absender IP Adresse der VPN Pakete des OpenWRT Routers in Lok.1 die du mitgesniffert hast.
3) OpenWRT hat kein NAT aktiv
Hast du dann an die dann zwingend erforderliche statische Route in der FritzBox gedacht ??
Als Port am Server ist der Standardport 51820 eingetragen.
Hast du in den gesnifferten Paketen des OpenWRT auch geprüft das wirklich dieser Port verwendet wird ?
Wenn der Server nicht antwortet dann stimmt irgendwas mit dem Port oder den Schlüsseln nicht.
Perfekt wäre noch wenn du am Server mal einen tcpdump auf dem Port 51820 machen könntest um zu sehen was da vom OpenWRT ankommt.
Bitte warten ..
Mitglied: incisor2k
14.05.2019 um 09:21 Uhr
Problem hat sich erledigt. Warum auch immer.
Folgende Einstellung scheint das Problem gewesen zu sein:
Anscheinend war am V-Switch die VLAN Funktionalität aktiviert, die Ports jedoch untagged gesetzt. Also eigentlich hätte das nie Auswirkungen haben dürfen.
Habe diesen Haken jetzt einfach mal entfernt, und es funktioniert.
Sehr seltsam.
Ich danke vielmals für deine Hilfe!
vlan - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: incisor2k
14.05.2019 um 09:24 Uhr
Zitat von aqui:

Bei 2.) meinst du den Server, oder ?
Nein, die des DSL-Anschlusses
Das war aber nicht gemeint sondern die Absender IP Adresse der VPN Pakete des OpenWRT Routers in Lok.1 die du mitgesniffert hast.
3) OpenWRT hat kein NAT aktiv
Hast du dann an die dann zwingend erforderliche statische Route in der FritzBox gedacht ??
Da kann ich keine Route definieren. Also können schon, aber macht keinen Sinn. Der UDP Port des OpenWRT "Clients" ist dynamisch, habe ich keinen festen definiert. Deswegen muss ja dieser die 1. Verbindung zum Server aufbauen, damit die Firewall die Verbindung kennt.
Als Port am Server ist der Standardport 51820 eingetragen.
Hast du in den gesnifferten Paketen des OpenWRT auch geprüft das wirklich dieser Port verwendet wird ?
Ja, das hatte ich geprüft, das stimmt.
Wenn der Server nicht antwortet dann stimmt irgendwas mit dem Port oder den Schlüsseln nicht.
Perfekt wäre noch wenn du am Server mal einen tcpdump auf dem Port 51820 machen könntest um zu sehen was da vom OpenWRT ankommt.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
FritzBox VPN Verbindung
gelöst Frage von stinkepeteRouter & Routing3 Kommentare

Hallo zusammen Ich habe ein Problem und hoffe dass mir einer von euch evtl helfen kann. Es sieht folgendermaßen ...

Router & Routing
VPN Wireguard bidirektional betreiben
gelöst Frage von AvengaRouter & Routing7 Kommentare

Hallo erstmal, folgendes Szenario würde ich euch gern beschreiben: Netz A: FritzBox, Raspberry Wireguard Server, IP Bereich 192.168.168.x - ...

Sicherheit
WireGuard VPN einrichten Windows
Frage von darklivingSicherheit11 Kommentare

Hallo zusammen, ich hoffe das mir hier jemand helfen kann bei einem Problem mit WireGuard VPN Einstellung im Server ...

Router & Routing

VPN Verbindung via OpenWRT OpenVPN Client nicht möglich

Frage von bfschmlanRouter & Routing4 Kommentare

Hallo zusammen, ich habe derzeit ein Problem, vielleicht kann mir jemand helfen. Ich habe bei mir zuhause eine pfsense ...

Neue Wissensbeiträge
Windows Netzwerk

Ereignis-ID 20226 RasClient Ursachencode 829 VPN Verbindung wird abgebrochen

Anleitung von Hardstyles vor 4 TagenWindows Netzwerk

Hallo zusammen, nach Stundenlanger Analysen und test konnten wir den Fehler Lösen. es geht um folgende Fehler Meldung in ...

Windows 10

Windows 10 Version 1903: Update KB4522015 blockt VMware Workstation

Information von kgborn vor 8 TagenWindows 10

Nur eine kurze Information für Leute, die schon Windows 10 Version 1903 in Betrieb haben und dort VMware Workstation ...

VB for Applications

Fritzbox Telefonbuch - XML-Importdatei aus Excel erstellen

Tipp von PeterleB vor 8 TagenVB for Applications1 Kommentar

Das Thema geistert schon seit Jahren durch verschiedene Foren. Habe mich jetzt mal damit etwas intensiver befasst und hoffe, ...

Administrator.de Feedback
Entwicklertagebuch: Editor Version 6
Information von admtech vor 10 TagenAdministrator.de Feedback1 Kommentar

Hallo Administrator User, in der letzten Post habe ich über die berichtet. Hier will ich nun einen ersten Ausblick ...

Heiß diskutierte Inhalte
Windows Server
Dateioperationen bei Stromausfall
gelöst Frage von mkrausseWindows Server47 Kommentare

Ein wunderschönen guten Morgen! Ich hoffe das Thema wurde nicht schon Dutzendmal behandelt, aber eine Suche meinerseits hat leider ...

Netzwerkmanagement
Servername aus zugreifbaren Diensten auslesen
Frage von certifiedit.netNetzwerkmanagement18 Kommentare

Guten Morgen, folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, ...

Batch & Shell
pdf - Dateien aus Netzwerkordner in bestimmter Reihenfolge ausdrucken
Frage von dani75chBatch & Shell17 Kommentare

Hallo zusammen Wir bekommen von einem Kunden dreimal täglich Lieferscheine und dazugehörende Listen und Barcodes in einen Netzwerkordner übermittelt. ...

Debian
Linux VM nach umzug langsam
Frage von bofh110Debian15 Kommentare

Hallo, ich habe meinen Server von 2012R2 auf 2019 neu installiert. Also erst die VM´s exportiert und anschließend nach ...