WireGuard VPN mit Fritz!Box und Routing
Hallo zusammen,
ich habe ein WireGuard-VPN zu einer Fritz!Box aufgesetzt, zu der ich mich mit meinem Client verbinde.
Das klappt soweit auch, ich kann mich bei bestehender WireGuard-Verbindung mit der Fritz!Box-Oberfläche verbinden:
Problem an der Sache ist nun, dass das "eigentliche" Netzwerk, in dem ich Geräte erreichen möchte, hinter einem zweiten Router (Cradlepoint E3000) sitzt.
Die Geräte dort kann ich aktuell nicht erreichen.
Ich "verzweifle" nun ein bisschen daran, was ich in WireGuard oder auf der Fritz!Box (statische Routen??) oder im CradlePoint-Router einstellen muss, um auf die Client-Geräte zugreifen zu können.
Kann mir hier jemand einen Tipp geben?
Besten Dank vorab dafür!
ich habe ein WireGuard-VPN zu einer Fritz!Box aufgesetzt, zu der ich mich mit meinem Client verbinde.
Das klappt soweit auch, ich kann mich bei bestehender WireGuard-Verbindung mit der Fritz!Box-Oberfläche verbinden:
Problem an der Sache ist nun, dass das "eigentliche" Netzwerk, in dem ich Geräte erreichen möchte, hinter einem zweiten Router (Cradlepoint E3000) sitzt.
Die Geräte dort kann ich aktuell nicht erreichen.
Ich "verzweifle" nun ein bisschen daran, was ich in WireGuard oder auf der Fritz!Box (statische Routen??) oder im CradlePoint-Router einstellen muss, um auf die Client-Geräte zugreifen zu können.
Kann mir hier jemand einen Tipp geben?
Besten Dank vorab dafür!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7012149834
Url: https://administrator.de/forum/wireguard-vpn-mit-fritzbox-und-routing-7012149834.html
Ausgedruckt am: 25.05.2025 um 05:05 Uhr
5 Kommentare
Neuester Kommentar
In einer gemischten Umgebung mit der Fritzbox und ihrer leider nicht Wireguard Standard konformen Konfiguration muss man einige Fallstricke genau beachten auf die es ankommt:
S2S-Wireguard: AVM zu Mikrotik
Bzw. grundlegende Infos zur korrekten Wireguard Installation findest du im hiesigen Wireguard Tutorial.
Das ist bei dir aber nicht der Fall, denn du hast ja nur den simplen Client Access auf die FB und machst keine S2S Kopplung.
Im Grunde ist der 2te Router kein Problem, dort muss lediglich eine Default Route auf die FB eingetragen werden was vermutlich schon der Fall ist. Am WG Router (FritzBox) das Netz des 2ten Routers in den "AllowedIPs" eingetragen werden. Das ist aber nur dann erforderlich wenn dieser Router kein NAT macht! Leider machst du dazu keine Angabe.
Folgende statische Routen sind einzutragen:
S2S-Wireguard: AVM zu Mikrotik
Bzw. grundlegende Infos zur korrekten Wireguard Installation findest du im hiesigen Wireguard Tutorial.
Das ist bei dir aber nicht der Fall, denn du hast ja nur den simplen Client Access auf die FB und machst keine S2S Kopplung.
Im Grunde ist der 2te Router kein Problem, dort muss lediglich eine Default Route auf die FB eingetragen werden was vermutlich schon der Fall ist. Am WG Router (FritzBox) das Netz des 2ten Routers in den "AllowedIPs" eingetragen werden. Das ist aber nur dann erforderlich wenn dieser Router kein NAT macht! Leider machst du dazu keine Angabe.
Folgende statische Routen sind einzutragen:
- Fritzbox: Ziel: 172.20.2.0 Maske: 255.255.255.0 Gateway: 172.20.20.200 (Achtung: diese Route ist nur dann erforderlich wenn der Router 2 kein NAT (IP Adress Translation) macht!! Alle Details zur NAT Thematik beim Routing von 2 IP Netzen findest du HIER!
- 2ter Router: Default Route 0.0.0.0/0 Gateway: 172.20.20.1
Besten Dank für die schnelle Rückmeldung.
Auf der Fritz!Box hatte ich die entsprechende Route schon eingerichtet.
Wenn ich mir die WireGuard-Konfig. der Fritz!Box anzeigen lasse, steht dort folgendes:
Sprich, da müsste ich dann noch das 172.20.2.0/24 eintragen, richtig?
Die Frage ist dann nur ... wie mache ich das? In der Fritz!Box kann man das ja nicht "frei" bearbeiten.
Oder muss ich dann die WireGuard-Konfig. einmal löschen und neu anlegen?
Auf der Fritz!Box hatte ich die entsprechende Route schon eingerichtet.
Wenn ich mir die WireGuard-Konfig. der Fritz!Box anzeigen lasse, steht dort folgendes:
[Interface]
PrivateKey = xxxxxxxxxx
ListenPort = 51716
Address = 172.20.20.1/24
DNS = 172.20.20.1
DNS = fritz.box
[Peer]
PublicKey = xxxxxxxxxx
PresharedKey = xxxxxxxxxx
AllowedIPs = 172.20.20.2/32
PersistentKeepalive = 25Sprich, da müsste ich dann noch das 172.20.2.0/24 eintragen, richtig?
Die Frage ist dann nur ... wie mache ich das? In der Fritz!Box kann man das ja nicht "frei" bearbeiten.
Oder muss ich dann die WireGuard-Konfig. einmal löschen und neu anlegen?
Wenn ich mir die WireGuard-Konfig. der Fritz!Box anzeigen lasse
Ist das die Konfig der FritzBox selber oder die die sie für den WG Client ausgespuckt hat??Für die Fritzbox selber ist diese Konfig OK, denn die IP 172.20.20.2/32 ist dann die Client IP bzw. dessen Traffic sie dann in den Tunnel geroutet wird was ja auch soweit korrekt ist.
Spannend ist jetzt aber der "AllowedIPs" Parameter in der Setup Datei des WG Clients!
Dort sollte stehen:
AllowedIPs = 172.20.20.0/24, 172.20.2.0/24
Damit wird dann vom WG Client zusätzlich zum 172.20.20.0er Traffic auch IP Traffic mit den Zieladressen des 172.20.2.0er Netzes von Router 2 in den WG Tunnel zur FritzBox geroutet.
Die Fritzbox hat dann selber die von dir oben gesetzte statische Route die diesen .2.0er Client Traffic dann an den Router mit der .20.200 forwardet.
Alles richtig also wenn die AllowedIPs am Client so wie oben aussehen.
Bedenke nochmals das das alles nur Sinn macht wenn der Router-2 kein NAT am Koppelport macht!
Ich habe nun noch einmal im Internet geschaut und im Wiki des Herstellers eine Anleitung zur Deaktivierung von NAT gefunden => https://customer.cradlepoint.com/s/article/How-to-disable-NAT-use-standa ...
Danach bin ich vorgegangen und habe es entsprechend umgestellt:
Dann habe ich noch die oben beschriebene Default-Route in "Router2" konfigurieren müssen, da diese noch nicht angelegt war - jetzt funktioniert der Zugriff wie gewünscht.
Danke für die Hilfe!
Danach bin ich vorgegangen und habe es entsprechend umgestellt:
Dann habe ich noch die oben beschriebene Default-Route in "Router2" konfigurieren müssen, da diese noch nicht angelegt war - jetzt funktioniert der Zugriff wie gewünscht.
Danke für die Hilfe!
jetzt funktioniert der Zugriff wie gewünscht.
👍 👏Die NAT Problematik wird leider immer und immer wieder übersehen, denn diese etabliert dann eine nicht überwindbare NAT Firewall am Koppelport.
Gut wenn's nun so rennt wie es soll.
