4
Wireguard VPN mit Fritzbox als Client und VM als Server
Hallo zusammen,
ich habe eine VM (Ubuntu 24.04) im Rechenzentrum stehen, die die feste IP 212.1.1.1 hat. Die VM soll als VPN-Server dienen. Zu dieser VM sollen sich mobile Clients verbinden. Zudem soll sich eine Fritzbox als Client zur VM verbinden. Die mobilen Clients sollen das hinter der Fritzbox stehende Netzwerk erreichen können. Das VPN soll über Wireguard eingerichtet werden.
Also in etwa so:
Für die Fritzbox hatte ich jetzt diese Konfiguration:
Die VM hat diese Konfiguration:
Und das net.ipv4.ip_forward=1 ist auf der VM aktiviert. Die Konfiguration für den mobilen Client habe ich noch nicht geschrieben, da ich derzeit dabei bin, dass zunächst nur die VM auf das Netzwerk hinter der Fritzbox zugreifen kann.
Die Verbindung zwischen Fritzbox und VM steht erfolgreich. Von der VM kann ich über 10.0.0.2 die Fritzbox anpingen. Wenn ich aber schon die IP 192.168.1.1 nehme erhalte ich:
Das gleiche mit "Different Address" dann auch bei 192.168.1.2. mit curl kann ich das Webinterface der Fritzbox über 10.0.0.2 aufrufen, über 192.168.1.1 kommt keine Verbindung zustande.
Was muss ich noch einrichten, damit auf 192.168.6.0 von der VM zugegriffen werden kann?
ich habe eine VM (Ubuntu 24.04) im Rechenzentrum stehen, die die feste IP 212.1.1.1 hat. Die VM soll als VPN-Server dienen. Zu dieser VM sollen sich mobile Clients verbinden. Zudem soll sich eine Fritzbox als Client zur VM verbinden. Die mobilen Clients sollen das hinter der Fritzbox stehende Netzwerk erreichen können. Das VPN soll über Wireguard eingerichtet werden.
Also in etwa so:
Für die Fritzbox hatte ich jetzt diese Konfiguration:
[Interface]
PrivateKey = ...
Address = 10.0.0.2/24
[Peer]
PublicKey = ...
Endpoint = 212.1.1.1:51820
AllowedIPs = 10.0.0.1/32
PersistentKeepalive = 25Die VM hat diese Konfiguration:
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = ...
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.2/32, 192.168.1.0/24
PersistentKeepalive = 25Die Verbindung zwischen Fritzbox und VM steht erfolgreich. Von der VM kann ich über 10.0.0.2 die Fritzbox anpingen. Wenn ich aber schon die IP 192.168.1.1 nehme erhalte ich:
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=20.6 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=19.9 ms (DIFFERENT ADDRESS!)
64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=19.9 ms (DIFFERENT ADDRESS!)Was muss ich noch einrichten, damit auf 192.168.6.0 von der VM zugegriffen werden kann?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670952
Url: https://administrator.de/forum/wireguard-vpn-mit-fritzbox-als-client-und-vm-als-server-670952.html
Ausgedruckt am: 24.01.2025 um 23:01 Uhr
4 Kommentare
Neuester Kommentar
Bevor wir ins Eingemachte gehen, das entsprechende Tutorial hast du entsprechend aufmerksam gelesen und umgesetzt??
Merkzettel: VPN Installation mit Wireguard
Insbesondere den Abschnitt über die nicht Standard konforme AVM Implementation auf den Fritten?
Wireguard Besonderheiten mit Fritzbox beachten.
Für dein Setup gilt das dortige Szenario wo die Fritzbox als VPN Initiator (Client) arbeitet!
Nur so viel: Der leider immer und immer wiederkehrender Kardinalsfehler ist das überflüssige NAT/Masquerading im Tunnel!! Entferne diesen Unsinn unbedingt, denn daran scheitert dein Zugriff auf die VM! (Siehe dazu einen aktuellen Thread mit genau dem gleichen Drama.
)
Merkzettel: VPN Installation mit Wireguard
Insbesondere den Abschnitt über die nicht Standard konforme AVM Implementation auf den Fritten?
Wireguard Besonderheiten mit Fritzbox beachten.
Für dein Setup gilt das dortige Szenario wo die Fritzbox als VPN Initiator (Client) arbeitet!
Nur so viel: Der leider immer und immer wiederkehrender Kardinalsfehler ist das überflüssige NAT/Masquerading im Tunnel!! Entferne diesen Unsinn unbedingt, denn daran scheitert dein Zugriff auf die VM! (Siehe dazu einen aktuellen Thread mit genau dem gleichen Drama.
)
Ok, danke funktionierte nun von der VM zur Fritzbox. Auch der mobile Client funktioniert.
VM ist nun:
Fritzbox:
Mobiler Client:
damit funktioniert es nun ganz gut. Natürlich larmarschig, weil es zu 192.168.1.0 keine direkte Verbindung ist, sondern über die VM geroutet wird. Das merkt man irgendwie schon. Gibt es da noch Einstellungen um die Latenz zu verringern?
Weitere Frage: Ich würde jetzt gerne noch das gesamte Internet vom mobilen Client über die Fritzbox routen wollen.
wie mache ich das am sinnvollsten?
VM ist nun:
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = ...
[Peer]
PublicKey = ...
AllowedIPs = 192.168.1.1/32, 192.168.1.0/24
PersistentKeepalive = 25
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.3/32, 10.0.0.0/24[Interface]
PrivateKey = ...
Address = 192.168.1.1/24
[Peer]
PublicKey = ...
Endpoint = 212.1.1.1:51820
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25[Interface]
PrivateKey = ...
Address = 10.0.0.3/24
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.1/32, 192.168.1.1/32, 192.168.1.0/24
Endpoint = 212.1.1.1:51820
PersistentKeepalive = 25damit funktioniert es nun ganz gut. Natürlich larmarschig, weil es zu 192.168.1.0 keine direkte Verbindung ist, sondern über die VM geroutet wird. Das merkt man irgendwie schon. Gibt es da noch Einstellungen um die Latenz zu verringern?
Weitere Frage: Ich würde jetzt gerne noch das gesamte Internet vom mobilen Client über die Fritzbox routen wollen.
wie mache ich das am sinnvollsten?
Natürlich larmarschig, weil es zu 192.168.1.0 keine direkte Verbindung ist, sondern über die VM geroutet wird.
Du meinst die Verbindung zur VM oder com mobilen Client auf den Client im FB Netz?? 🤔Unverständlich, denn das ist ja bei jedem beliebigen (Hardware) Router auch so. Solange die Hardware und virtuelle Netzwerk Infrastruktur der VM bzw. des dortigen Hypervisors schneller ist als die langsamste Verbindung zum mobilem Client oder Fritzbox WAN kann es niemals an einer VM als WG Server liegen.
In der IT ist zudem der Ausdruck "lahm...hig" ("larm" ist sicher etwas anders?!) wie immer relativ. Sinnvoll und zielführend wäre gewesen du hättest, wie es Administratoren in der Regel machen, einmal mit dem Client und dem mobilen Client per iPerf3 den realen Durchsatz objektiv gemessen und den Output hier gepostet. Idealerweise dann auch vom mobilen Client zum FB Client.
Das wäre in 3 Minuten im Handumdrehen erledigt gewesen und hätte einen realistischen Überblick über die Durchsatzperformance von beiden Seiten auf die VM und auch direkt möglich gemacht.
Damit und mit den jeweiligen Bandbreiten der FB Seite und mobilem Client hätte man eine belastbare Aussage machen können.
Ich würde jetzt gerne noch das gesamte Internet vom mobilen Client über die Fritzbox routen wollen.
Warum hast du denn überhaupt die VM dazwischen?? 🤔Ist der Grund ggf. ein DS-Lite / CG-NAT Anschluss der FB und die Nutzung eines Jumphosts??
Den gesamten Traffic sendest du bei WG immer mit einem Redirect Setup ("AllowedIPs=0.0.0.0/0") auf der Client Seite! Siehe dazu im Tutorial das Kapitel "Redirect oder Split Tunneling".
Lesen und verstehen...
Das frage ich mich selbst auch. Eigentlich habe ich nur keine Lust jeden Tag das VPN auf meinem Handy immer zu trennen und neu zu verbinden, weil der Fritzbox-Anschluss eine dynamische IP hat. Die VM hat halt eine feste und fällt preislich auch nicht ins Gewicht ...
Der bisherige Aufbau ist mir von Struktur her zudem zu kompliziert gewesen.
