hausrocker
Goto Top

Wireguard zwischen Fritzbox und Draytek

Ich habe mal ein paar grundsätzliche Verständnisfragen zu Wireguard.

1. Es gibt wie bei den anderen VPN Varianten immer eine Seite mit ausgehender Verbindung, bei draytek „dial out“ genannt, die die Verbindung aufbaut und eine Seite mit eingehender Verbindung, dial-in, die darauf wartet, dass sich jemand einwählt. Korrekt?
2. Bei Wireguard kann ein Wireguard (dial-in) mit seiner ein mal stehenden Konfig auch von mehreren Clients oder auch bei Lan-zu-Lan Verbindungen Routern angwählt werden? Hat das Performancenachteile? Wie trennt man in dem Fall einzelne Clients oder Lan zu Lan Router?

3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische? Gibt es sowas wie main-mode und agressive-mode? Oder ist immer nur dial-in als quasi Ziel wichtig, dass es festgelegt ist und gleich bleibt?

4. Kann ich diesen Teil hier aus einem Draytek rausholen, in einer Textdatei speicher und in die Fritzbox reinladen?
[Interface]
PrivateKey = <Private_Key_Fritzbox>
Address = 192.168.188.1/24

[Peer]
PublicKey = <Public_Key_Server>
AllowedIPs = 10.10.10.0/24,172.25.26.0/28
Endpoint = 0a630196.nip.io:51820
PersistentKeepalive = 25 

Content-ID: 24231545838

Url: https://administrator.de/forum/wireguard-zwischen-fritzbox-und-draytek-24231545838.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

aqui
aqui 07.01.2024 aktualisiert um 08:58:26 Uhr
Goto Top
  • 1.) Du meinst sicher einen VPN Intiator (Client) und einen Responder (Server)
  • 2.) Es gehen auch mehrere Clients ohne Nachteile
  • 3.) Der Client hat eine Endpoint Definition der Server nicht. Siehe Tutorial! Versch. Modes gibt es nicht.
  • 4.) Ja, das geht. Relevant sind aber lediglich nur die Keys. Den Rest kannst du auch mit einem simplen Text Editor manuel erstellen und in die FB oder jeden anderen Router importieren.
Merkzettel: VPN Installation mit Wireguard
Wireguard mit AVM Fritzbox
Lesen und verstehen... face-wink
radiogugu
radiogugu 07.01.2024 um 14:48:38 Uhr
Goto Top
Mahlzeit.

Zitat von @hausrocker:
3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische?

Falls eine Seite über eine statische IPv4/IPv6 verfügt, wäre diese Seite in jedem Fall als Ziel einer Einwahl zu wählen.

Zu den Punkten 1., 2. und 4. ist @aqui 's Ausführungen kaum mehr etwas hinzuzufügen.

Gruß
Marc
hausrocker
hausrocker 07.01.2024 um 15:09:56 Uhr
Goto Top
Wenn ich auf einer Konfiguration mehrere Clients verbinde, wie kann ich ohne Zugriff auf die Clients dann einzelne Clients (also Endgeräte oder auch Router) entfernen, ohne auf allen anderen dann auch Wireguard neu einrichten zu müssen?
Das sollte man ja idealer Weise sich vorher gut überlegen.

Empfohlene Vorgehensweise ist dann auf dem Draytek alles anlegen und die Werte von dort in eine Text Datei speichern, die in der FB einlesen. Eine Möglichkeit das per Webinterface einzugeben hat AVM nicht vorgesehen, richtig?
10138557388
10138557388 07.01.2024 aktualisiert um 15:32:14 Uhr
Goto Top
Zitat von @hausrocker:
Wenn ich auf einer Konfiguration mehrere Clients verbinde, wie kann ich ohne Zugriff auf die Clients dann einzelne Clients (also Endgeräte oder auch Router) entfernen, ohne auf allen anderen dann auch Wireguard neu einrichten zu müssen?
Für jeden Client immer eigene Credentials verwenden! Also für jeden Client immer ein separates Private/Public Key Pärchen generieren.
Das gilt für jede Art VPN. Gemeinsam genutzte Creds sind immer Kacke wenn diese kompromitiert wurden!
Deswegen sollte jeder immer eigene bekommen, dann beschränkt sich das Deaktivieren eines Clients auf das Entfernen oder Deaktivieren des jeweiligen Peers auf Responderseite.

Eine Möglichkeit das per Webinterface einzugeben hat AVM nicht vorgesehen, richtig?
Jepp. Conf vorbereiten und dann im Wizard einlesen lassen.
hausrocker
hausrocker 07.01.2024 um 16:37:06 Uhr
Goto Top
Danke für die Bestätigung mit eigenen Credentials.

Ich verstehe noch nicht so ganz, wo welche Werte hinkommen.
Der Draytek hat unter "Wireguard Settings", wo man nicht die LAN zu LAN oder Clients konfiguriert auch einen Server private und Public Key sowie einen QR Code, eine WireGuard Interface IP und einen Port.

Zusätzlich in der LAN zu LAN Koppelung gibt es:
[Interface]
Private und Public Key. Der pro Profil dann unterschiedlich sein dürfte.
Und:
[Peer]
Public Key,Pre-Shared Key und Client IP Address sowie Keepalive.

Die vom Server verwende ich nicht, sondern immer die von einem einzeln zugewiesenen Profil, das ich auch einzeln löschen kann. Richtig?

Kann mir jemand hier eine Zuordnung erstellen, wie aus der Draytek Konfig eine für die Fritzbox wird?
Wird aus dem, was für die eine Seite Interface ist auf der anderen Seite dann Peer und umgekehrt?

Ist die Zuordnung so richtig, wenn ich die Konfig.txt so speichere wie unten links im Screenshot?
grundlegende idee mit schwarz
10138557388
10138557388 07.01.2024 aktualisiert um 18:13:38 Uhr
Goto Top
Nein, nicht ganz. Der private Key des Draytek verlässt diesen niemals! Der private Key der Fritzbox steht auf dem rechten Bild dieser kommt in die Config der Fritzbox.
Am Draytek dann den korrespondierende PublicKey der Fritzbox am "Peer" eintragen.

Bitte das Tutorial von Aquí oben lesen da steht das alles haarklein drin!

Verstehe erst mal das Kryotokey-Routing Prinzip dann ist klar was wohin muss.

Immer daran denken, private Keys verlassen niemals den Host/Client der diesen Nutzt! Das gegenüber bekommt immer nur den Public-Key (das Gegenstück des Private Keys) weil beide eine Einheit bilden für Verh und Entschlüsselung.
Du kannst auch gleich ein neu generiertes Pärchen nehmen, sowas generiert sich schnell mittels
wg genkey | tee private.key | wg pubkey >public.key
aqui
aqui 07.01.2024 aktualisiert um 18:08:02 Uhr
Goto Top
Ich verstehe noch nicht so ganz, wo welche Werte hinkommen.
Kollege @10138557388 hat es schon treffend gesagt: Hättest du das dir oben gepostete Tutorial einmal wirklich gewissenhaft durchgelesen wären alle diese Fragen überflüssig gewesen! face-sad
10138557388
10138557388 07.01.2024 um 18:14:19 Uhr
Goto Top
Manch einer muss halt erst mal Lesen lernen 😉.
hausrocker
hausrocker 07.01.2024 um 18:15:28 Uhr
Goto Top
Welchen Teil genau?
Ist ein wenig wie ein Verweis aufs „Handbuch“.
aqui
aqui 07.01.2024 um 18:32:48 Uhr
Goto Top
Ist der Abschnitt Konfiguration Wireguard Server in Grün!
Du brauchst echt ne neue Brille oder willst wirklich nicht lesen… 🧐
hausrocker
hausrocker 07.01.2024 aktualisiert um 20:18:36 Uhr
Goto Top
Ihr versteht auch glaube ich mein Problem einfach nicht.

Die Bezeichnungen sind nicht so eindeutig oder von mir aus bei Draytek werden andere Wörter genutzt bzw. widersprechen dem Grundsatz, für jede Verbindung eigene Keys (inkl. private Key vom Draytek) zu verwenden.

Die verlinkte Anleitung steht:
[Peer]
PublicKey = <Public_Key_Server>

Ich habe nur einen einzigen Punkt, an dem ich einen "Server Public Key" finden kann im Draytek. Und zwar im übergeordneten Menüpunkt, der nichts mehr mit den einzelnen Konfigurationen zu tun hat. Mal angenommen, dass die Wörter in anderer Reihenfolge trotzdem das selbe meinen. Denn "Public Key Server" (Anleitung) hat die Wörter in anderer Reihenfolge als der Draytek mit eben "Server Public Key".
Dieser "Schlüssel" wäre ja auf jeden Fall dann für alle Verbindungen schon mal identisch.

Wenn ich im Draytek eine Konfig anlege, dann ist das Feld c) mit [Peer] Public Key leer. Da trage ich also doch den Private Key (öffentlicher Schlüssel) der Fritzbox ein? Also genau wie oben schon mit den roten Pfeilen markiert?

Bei [Interface] Private Key kommt dann aber nicht a) hin sondern wieder c)? Auch wenn das ja ein Key ist, den die Fritzbox schon hat, ist ja ihr eigener Private Key (öffentlicher Schlüssel)?
Lochkartenstanzer
Lochkartenstanzer 07.01.2024 um 19:48:21 Uhr
Goto Top
Zitat von @hausrocker:



Wenn ich im Draytek eine Konfig anlege, dann ist das Feld c) mit [Peer] Public Key leer. Da trage ich also doch den Private Key (öffentlicher Schlüssel) der Fritzbox ein? Also genau wie oben schon mit den roten Pfeilen markiert?


Da steht doch peer Public key! Also kommt da der öffentliche Schlüssel des peers, also deiner Fritte, rein!

Lesen und verstehen!

lks
hausrocker
hausrocker 07.01.2024 aktualisiert um 22:50:05 Uhr
Goto Top
So, 2 Problempunkte gibt es denke ich noch:

1. In der AVM Hilfe steht:

Voraussetzungen

    Der andere Router muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten. Die FRITZ!Box muss vom Internetanbieter eine IP-Adresse derselben Protokoll-Version (IPv4 oder IPv6) erhalten.

Ich muss also wenn die FB an einem DG mit rein IPv6 hängt auch als Zieladresse zwingend eine IPv6 verwenden?

Wireguard auf einem Smartphone läuft. Obwohl da auch nur die IPv4 Adresse als Ziel angegeben ist. Aber S2S will nicht....

2. Ich habe auf der FB mal alle existierenden Wireguard Verbindungen gelöscht.
Dann habe ich gar keine Einstellung mehr, wo ich den public Key der FB nachsehen könnte. Ich habe mir dann hier: https://www.wireguardconfig.com/ ein Set aus Private Key und Public Key generiert, um quasi der FB den Key, den sie als privat Key verwenden soll mitzugeben über die Textdatei. Da sie sich das offenbar nicht selbst generieren kann und erwartet. Alternativ auch mit einem im Draytek generierten Set probiert.

Der generierte Public Key ist also in den Draytek gewandert bei "Peer - Public Key". Der Private Key in die Konfig bei Interface - Privat key. Damit die FB den verwendet und die beiden eine Paar bilden.

Wenn ich das importiere, kommt trotzdem "Importierte Konfigurationsdatei der WireGuard-Gegenstelle war fehlerhaft."

Sehr nervig.
aqui
aqui 08.01.2024 um 16:48:11 Uhr
Goto Top
dann ist das Feld c) mit [Peer] Public Key leer.
Klar, denn da kommt der öffentliche Key des gegenüberliegenden Peers hin und den kann der Draytek ja nicht kennen.
Da trage ich also doch den Private Key (öffentlicher Schlüssel) der Fritzbox ein?
Jetzt wirds wieder wirr und zeigt das du leider weder die Tips des Kollegen @10138557388 gelesen oder verstanden hast noch hast du den „grünen“ Abschnitt zur Key Logik in Responder (Server) und Client (Initiator) gelesen oder verstanden.🧐
Ein private Key ist KEIN öffentlicher Schlüssel sondern der PRIVATE Schlüssel wie der Name schon sagt. Da solltest du dein Englisch nochmal etwas nachschärfen!
Der öffentliche Schlüssel ist der PUBLIC Key!!

Und jetzt bitte nochmal die grüne Key Logik lesen und verstehen,
PRIVATE Keys verlassen niemals das Gerät!!
hausrocker
hausrocker 08.01.2024 um 20:19:25 Uhr
Goto Top
Es ist echt super, dass ihr alle so genau wisst, was da mutmaßlich alles falsch ist, wo ich noch mal was nachlesen soll und wie es auf jeden Fall nicht geht.

Ich habe die Verbindung jetzt hingekriegt. Auf die eigentliche Frage, wo ich den public Key der FB herbekomme hat ja leider niemand geantwortet. Ich weiß es aber jetzt. Den rückt die Fritzbox nicht raus, solang es keine zumindest Platzhalter LAN zu LAN Verbindung in der Fritzbox gibt. Die muss man einrichten, um den public Key der FB zu bekommen, um diesen dann im Draytek einzutragen. Sobald man den hat, kann man die Platzhalter Lan zu LAN Verbindung ruhig wieder löschen.

Als nächstes ist es wichtig, dass im Draytek Router unter Wireguard und Interface nicht die LAN IP vom Draytek drin steht, sondern der Standardwert mit 192.168.1.1.
aqui
aqui 09.01.2024 aktualisiert um 11:11:22 Uhr
Goto Top
Auf die eigentliche Frage, wo ich den public Key der FB herbekomme hat ja leider niemand geantwortet.
Es gibt zig Keygeneratoren im Netz oder die im Windows und Linux oder Mac OS Client wo du dir überall entsprechende Key Pärchen generieren kannst.
Die FRITZ!Box selber gibt diese immer auch über ihren Download aus wenn sie Responder ist und man einen zusätzlichen Client einrichtet. Ist sie VPN Initiator (Client) importiert man ganz einfach eine simple, klassische Standard WG Konfig Datei die man mit jedem Texteditor erstellen kann. Das ist doch alles nun wahrlich kein Hexenwerk.
Steht aber auch alles haarklein im Tutorial bzw. im dedizierten AVM Wireguard Tutorial. Man muss nur mal etwas lesen. 😉
Das mit dem „Standardwert“ ist natürlich VPN technischer Unsinn, denn das bestimmt immer das interne Wireguard IP Netz und welche IP Adressierung man dafür wählt. Dort einen wenig intelligenten „Standartwert“ zu verwenden wie du es trotz Tutorial Lektüre gemacht hast wird sich sehr schnell rächen. Warum das so ist kannst du HIER genau nachlesen. Mist, schon wieder lesen….
Letztlich ja aber egal, rennt ja jetzt bei dir alles.

Wie kann ich einen Beitrag als gelöst markieren?