145971
Mar 29, 2022, updated at 12:03:56 (UTC)
6997
12
0
Wireguard + Fritzbox
Hallo!
seit gestern steht meiner Fritzbox 6660 Cable die aktuelle Labor Version zur Verfügung, womit ich u.a. eine VPN Verbindung zur Fritzbox via Wireguard herstellen kann. Leider konnte ich noch keine Erfahrung in der Hinsicht sammeln, aber im Internet ist zu lesen, das Wireguard keine schlechte Wahl ist (auch in Bezug auf permformance) - hatte vorher openvpn und wireguard soll auch hier schneller sein.
Habe soweit alles eingerichtet.
Config wird ja von Fritzbox erst mal vorgegben - im Falle eines Smartphones in Form eines QR Codes.
Diesen habe ich mit meinem iPhone und der Wireguard App gescannt.
Config sieht so aus:
Wenn ich es so lasse, scheint auch alles zu klappen.
Schicke testweise einen Dauerping an die VPN IP meines iPhones.
Hier kann man sogar gut erkennen -> geht das Display aus (Schlafmodus), fällt der Ping weg. Wecke ich das Gerät wieder, Ping wieder da.
Allerdings verstehe ich folgendes nicht:
Zulässige IPs => ich möchte eigentlich nur Traffic über VPN schicken, wenn es in Richtung 192.168.178.0/24 geht, wofür steht dann aber noch die 0.0.0.0/0 dahinter? Heißt dies nicht, schicke ALLES über VPN und würde dann im Kombination mit der IP davor keinen Sinn machen?
DNS Server => hier habe ich nun alles rausgenommen, bis auf 192.168.178.250 (das ist mein pihole + unbound).
Geht in dem Fall denn dann sowieso nicht alles über VPN, wenn ich alle DNS Anfragen in RIchtung pihole schicke?
seit gestern steht meiner Fritzbox 6660 Cable die aktuelle Labor Version zur Verfügung, womit ich u.a. eine VPN Verbindung zur Fritzbox via Wireguard herstellen kann. Leider konnte ich noch keine Erfahrung in der Hinsicht sammeln, aber im Internet ist zu lesen, das Wireguard keine schlechte Wahl ist (auch in Bezug auf permformance) - hatte vorher openvpn und wireguard soll auch hier schneller sein.
Habe soweit alles eingerichtet.
Config wird ja von Fritzbox erst mal vorgegben - im Falle eines Smartphones in Form eines QR Codes.
Diesen habe ich mit meinem iPhone und der Wireguard App gescannt.
Config sieht so aus:
Adressen: 192.168.178.202/32
DNS Server: 192.168.178.1, 192.168.178.250, fritz.box
Zuälssige IPs: 192.168.178.0/24, 0.0.0.0/0Wenn ich es so lasse, scheint auch alles zu klappen.
Schicke testweise einen Dauerping an die VPN IP meines iPhones.
Hier kann man sogar gut erkennen -> geht das Display aus (Schlafmodus), fällt der Ping weg. Wecke ich das Gerät wieder, Ping wieder da.
Allerdings verstehe ich folgendes nicht:
Zulässige IPs => ich möchte eigentlich nur Traffic über VPN schicken, wenn es in Richtung 192.168.178.0/24 geht, wofür steht dann aber noch die 0.0.0.0/0 dahinter? Heißt dies nicht, schicke ALLES über VPN und würde dann im Kombination mit der IP davor keinen Sinn machen?
DNS Server => hier habe ich nun alles rausgenommen, bis auf 192.168.178.250 (das ist mein pihole + unbound).
Geht in dem Fall denn dann sowieso nicht alles über VPN, wenn ich alle DNS Anfragen in RIchtung pihole schicke?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2324503002
Url: https://administrator.de/contentid/2324503002
Printed on: May 10, 2024 at 13:05 o'clock
12 Comments
Latest comment
Warum den überflüssigen Overhead mit Wireguard wenn du es mit dem iPhone VPN Client direkt machen kannst was performancetechnisch immer die bessere Wahl ist ?
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Du hast deinen Fehler schon selber richtig erkannt. Deine Eintrage unter "Zulässige IPs" sind falsch !
Deine Konfig oben ist ein falscher Mischmasch zw. Gateway Redirect und Split Tunneling der nicht funktionieren kann. Es geht nur entweder oder.
Nur warum das alles ? Ohne überflüssigen VPN Overhead geht es doch direkt per bordeigenem IPsec viel besser.
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Du hast deinen Fehler schon selber richtig erkannt. Deine Eintrage unter "Zulässige IPs" sind falsch !
- 0.0.0.0/0 = Ist ein Gateway Redirect was alles in den Tunnel routet auch lokalen Internet Traffic. Es inkludiert natürlich auch das lokale 192.168.178.0/24 LAN so das diese Angabe dann überflüssig ist wenn man mit 0.0.0.0/0 arbeitet.
- Nur 192.168.178.0/24 wäre dann richtig, denn damit machst du das von dir gewünschte Split Tunneling so das nur dediziert der Traffic in den Tunnel geht der fürs lokale LAN ist, alles andere wird lokal abgefackelt. Split Tunneling ist deutlich Ressourcen schonender für die Tunnel Performance.
Deine Konfig oben ist ein falscher Mischmasch zw. Gateway Redirect und Split Tunneling der nicht funktionieren kann. Es geht nur entweder oder.
Nur warum das alles ? Ohne überflüssigen VPN Overhead geht es doch direkt per bordeigenem IPsec viel besser.
Die Performance unter ipsec war damals schon richtig mies.
Eine Frage bleibt dennoch offen:
Geht in dem Fall denn dann sowieso nicht alles über VPN, wenn ich alle DNS Anfragen in RIchtung pihole schicke?
Eine Frage bleibt dennoch offen:
Geht in dem Fall denn dann sowieso nicht alles über VPN, wenn ich alle DNS Anfragen in RIchtung pihole schicke?
Deine o.a. Annahme ist falsch, denn mit dem alten SoC ist die Performance von WG und IPsec annähernd gleich schlecht. Der Unterschied ist nur marginal.
In der neuen FB Hardware ist auch ein neuer SoC der die Kryptografie in HW macht daher ist dort der VPN Durchsatz gleichermaßen höher für IPsec und WG.
In der neuen FB Hardware ist auch ein neuer SoC der die Kryptografie in HW macht daher ist dort der VPN Durchsatz gleichermaßen höher für IPsec und WG.
Eine Frage bleibt dennoch offen:
Du begehst hier vermutlich aus Unkenntniss einen fatalen Denkfehler, denn du schickst ja nur DNS Anfragen also TCP und UDP 53 über den Tunnel nicht aber HTTP oder HTTPs und andere Protokolle !
Geht in dem Fall denn dann sowieso nicht alles über VPN, wenn ich alle DNS Anfragen in RIchtung pihole schicke?
Du definierst doch nur den DNS-Server INNERHALB der VPN?! Wenn der Traffic mit Ausnahme von .178.0/24 sowieso an der VPN vorbeiläuft, wird dafür doch auch der "typische" vom DHCP Deines Mobilfunkproviders mitgelieferte DNS genutzt?!
Viele Grüße
Simples Cryptokey Routing. Ist auch alles auf der Wireguard Website genau erklärt:
https://www.wireguard.com/#cryptokey-routing
https://www.wireguard.com/#cryptokey-routing
Ich weiß nicht ob es sich lohnt ein eigenes Thema aufzumachen.
Habe annähernd die gleiche Konfiguration.
Vom Android geht alles einwandfrei.
Wenn ich da gleiche unzer Windows versuche geht es eigentlich nicht.
Kann zwar Adressen in meinem internen Netz anpingen, aber sobald ich versuche zb einen internen Webserver zu erreichen, kommt keine Verbindung zustande.
Egal ob über die IP oder den Namen.
Die inet Verbindung des PC geht dann über den Handy hotspot, Mobilfunk.
Habe annähernd die gleiche Konfiguration.
Vom Android geht alles einwandfrei.
Wenn ich da gleiche unzer Windows versuche geht es eigentlich nicht.
Kann zwar Adressen in meinem internen Netz anpingen, aber sobald ich versuche zb einen internen Webserver zu erreichen, kommt keine Verbindung zustande.
Egal ob über die IP oder den Namen.
Die inet Verbindung des PC geht dann über den Handy hotspot, Mobilfunk.
aber sobald ich versuche zb einen internen Webserver zu erreichen, kommt keine Verbindung zustande.
Ist ja logischer Unsinn, denn damit widersprichst du ja deiner eigenen, obigen Aussage ("Kann zwar Adressen in meinem internen Netz anpingen") !Wenn du auch den Webserver erreichen kannst per Ping kann man ihn auch per Browser erreichen.
Vermutlich bist du dann ein Opfer der lokalen Firewall des Webservers. Bei Windows werden generell Zugriffe von fremden IP Adressen blockiert !! Da das WG Netz eine eigene IP nutzt ist es fremd und bleibt per Default in Firewalls hängen was man natürlich zuerst customizen muss.
Möglich auch das der Webserver kein Default Gateway auf die FB eingetragen hat, dann geht der remote Zugriff natürlich auch in die Hose.
Fazit:
Auch mit Winblows funktioniert es fehlerlos ! Man muss es nur richtig machen !
Und....man sollte immer VORHER entscheiden ob man Gateway Redirect macht ODER Split Tunneling und seine VPN Konfig entsprechend anpasst. Im hiesigen OVPN Tutorial ist das von @aqui genau beschrieben und gilt analog auch bei WG. Eine generelle Entscheidung bei allen VPNs. Beide Verfahren zugleich geht nicht !
Nun ok, es ist Unsinn, aber wo ist denn dann der Fehler.
Ich habe im eigenen Netz einen Smarthome Anwendung, openhab. Die rufe ich auf über http://192.168.178.63:8080 oder halt über den Namen.
Wenn ich das von Smartphone über wg mache geht es ohne Probleme.
Mache ich das von Windows geht es nicht. Der Browser sagt allerdings nicht die Seite wäre nicht zu erreichen, sondern er scheint sie unendlich langsam zu laden.
Wenn ich wg deaktiviere kommt nämlich sofort, Seite nicht zu erreichen.
Und wie gesagt alle ip oder Namen kann ich anpingen.
Gleiches gilt für den Webserver meiner nas...
Ich habe im eigenen Netz einen Smarthome Anwendung, openhab. Die rufe ich auf über http://192.168.178.63:8080 oder halt über den Namen.
Wenn ich das von Smartphone über wg mache geht es ohne Probleme.
Mache ich das von Windows geht es nicht. Der Browser sagt allerdings nicht die Seite wäre nicht zu erreichen, sondern er scheint sie unendlich langsam zu laden.
Wenn ich wg deaktiviere kommt nämlich sofort, Seite nicht zu erreichen.
Und wie gesagt alle ip oder Namen kann ich anpingen.
Gleiches gilt für den Webserver meiner nas...
Darf ich noch mal auf mein eigentliches Thema zurückkommen? ;)
Habe heute noch mal eine Anmerkung an AVM geschickt, das die Config eventuell nicht korrekt ist (Thema Allowed IPs). AVM ist hier aber anderer Ansicht. Was haltet ihr davon?
Antwort AVM:
AllowedIPs = 192.168.178.0/24 = Damit der Zugriff auf das Heimnetz funktioniert.
AllowedIPs = 0.0.0.0/24 = Damit der Zugriff auf das Internet über die VPN-Verbindung funktioniert.
Ich sehe das immer noch so, das für den vollständigen VPN Tunnel (also kein Split) trotzdem nur das 0.0.0.0/24 reichen würde, oder?
Habe heute noch mal eine Anmerkung an AVM geschickt, das die Config eventuell nicht korrekt ist (Thema Allowed IPs). AVM ist hier aber anderer Ansicht. Was haltet ihr davon?
Antwort AVM:
AllowedIPs = 192.168.178.0/24 = Damit der Zugriff auf das Heimnetz funktioniert.
AllowedIPs = 0.0.0.0/24 = Damit der Zugriff auf das Internet über die VPN-Verbindung funktioniert.
Ich sehe das immer noch so, das für den vollständigen VPN Tunnel (also kein Split) trotzdem nur das 0.0.0.0/24 reichen würde, oder?
Wo ist da jetzt der Unterschied?
Naja, die AVM Config kommt ja zu Beginn mit:
Zuälssige IPs: 192.168.178.0/24, 0.0.0.0/0
Und mein Einsatz war ja, das wenn ich alles über VPN tunneln möchte, ich doch NUR 0.0.0.0/24 brauche.
Aussage von AVM wäre aber ich bräuche beides. 1x für den Zugriff auf das Heimnetz und einmal Zugriff für das Internet.
Aber in meinen Augen ist doch das 192.168.178.0/24 Netz ingegriffen, wenn ich nur die 0.0.0.0/24 angebe.
Zuälssige IPs: 192.168.178.0/24, 0.0.0.0/0
Und mein Einsatz war ja, das wenn ich alles über VPN tunneln möchte, ich doch NUR 0.0.0.0/24 brauche.
Aussage von AVM wäre aber ich bräuche beides. 1x für den Zugriff auf das Heimnetz und einmal Zugriff für das Internet.
Aber in meinen Augen ist doch das 192.168.178.0/24 Netz ingegriffen, wenn ich nur die 0.0.0.0/24 angebe.
Nicht vergessen deinen Thread hier dann auch zu schliessen wenn keine Fragen mehr sind!!
How can I mark a post as solved?
How can I mark a post as solved?
