Wireguard zwischen Fritzbox und Draytek
Ich habe mal ein paar grundsätzliche Verständnisfragen zu Wireguard.
1. Es gibt wie bei den anderen VPN Varianten immer eine Seite mit ausgehender Verbindung, bei draytek „dial out“ genannt, die die Verbindung aufbaut und eine Seite mit eingehender Verbindung, dial-in, die darauf wartet, dass sich jemand einwählt. Korrekt?
2. Bei Wireguard kann ein Wireguard (dial-in) mit seiner ein mal stehenden Konfig auch von mehreren Clients oder auch bei Lan-zu-Lan Verbindungen Routern angwählt werden? Hat das Performancenachteile? Wie trennt man in dem Fall einzelne Clients oder Lan zu Lan Router?
3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische? Gibt es sowas wie main-mode und agressive-mode? Oder ist immer nur dial-in als quasi Ziel wichtig, dass es festgelegt ist und gleich bleibt?
4. Kann ich diesen Teil hier aus einem Draytek rausholen, in einer Textdatei speicher und in die Fritzbox reinladen?
1. Es gibt wie bei den anderen VPN Varianten immer eine Seite mit ausgehender Verbindung, bei draytek „dial out“ genannt, die die Verbindung aufbaut und eine Seite mit eingehender Verbindung, dial-in, die darauf wartet, dass sich jemand einwählt. Korrekt?
2. Bei Wireguard kann ein Wireguard (dial-in) mit seiner ein mal stehenden Konfig auch von mehreren Clients oder auch bei Lan-zu-Lan Verbindungen Routern angwählt werden? Hat das Performancenachteile? Wie trennt man in dem Fall einzelne Clients oder Lan zu Lan Router?
3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische? Gibt es sowas wie main-mode und agressive-mode? Oder ist immer nur dial-in als quasi Ziel wichtig, dass es festgelegt ist und gleich bleibt?
4. Kann ich diesen Teil hier aus einem Draytek rausholen, in einer Textdatei speicher und in die Fritzbox reinladen?
[Interface]
PrivateKey = <Private_Key_Fritzbox>
Address = 192.168.188.1/24
[Peer]
PublicKey = <Public_Key_Server>
AllowedIPs = 10.10.10.0/24,172.25.26.0/28
Endpoint = 0a630196.nip.io:51820
PersistentKeepalive = 25
Please also mark the comments that contributed to the solution of the article
Content-ID: 24231545838
Url: https://administrator.de/contentid/24231545838
Printed on: December 2, 2024 at 13:12 o'clock
16 Comments
Latest comment
- 1.) Du meinst sicher einen VPN Intiator (Client) und einen Responder (Server)
- 2.) Es gehen auch mehrere Clients ohne Nachteile
- 3.) Der Client hat eine Endpoint Definition der Server nicht. Siehe Tutorial! Versch. Modes gibt es nicht.
- 4.) Ja, das geht. Relevant sind aber lediglich nur die Keys. Den Rest kannst du auch mit einem simplen Text Editor manuel erstellen und in die FB oder jeden anderen Router importieren.
Wireguard mit AVM Fritzbox
Lesen und verstehen...
Mahlzeit.
Falls eine Seite über eine statische IPv4/IPv6 verfügt, wäre diese Seite in jedem Fall als Ziel einer Einwahl zu wählen.
Zu den Punkten 1., 2. und 4. ist @aqui 's Ausführungen kaum mehr etwas hinzuzufügen.
Gruß
Marc
Zitat von @hausrocker:
3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische?
3. Wählt man aus, wer Dial in und wer dial out ist je nachdem, wer eine feste IP hat und wer eine dynamische?
Falls eine Seite über eine statische IPv4/IPv6 verfügt, wäre diese Seite in jedem Fall als Ziel einer Einwahl zu wählen.
Zu den Punkten 1., 2. und 4. ist @aqui 's Ausführungen kaum mehr etwas hinzuzufügen.
Gruß
Marc
Zitat von @hausrocker:
Wenn ich auf einer Konfiguration mehrere Clients verbinde, wie kann ich ohne Zugriff auf die Clients dann einzelne Clients (also Endgeräte oder auch Router) entfernen, ohne auf allen anderen dann auch Wireguard neu einrichten zu müssen?
Für jeden Client immer eigene Credentials verwenden! Also für jeden Client immer ein separates Private/Public Key Pärchen generieren.Wenn ich auf einer Konfiguration mehrere Clients verbinde, wie kann ich ohne Zugriff auf die Clients dann einzelne Clients (also Endgeräte oder auch Router) entfernen, ohne auf allen anderen dann auch Wireguard neu einrichten zu müssen?
Das gilt für jede Art VPN. Gemeinsam genutzte Creds sind immer Kacke wenn diese kompromitiert wurden!
Deswegen sollte jeder immer eigene bekommen, dann beschränkt sich das Deaktivieren eines Clients auf das Entfernen oder Deaktivieren des jeweiligen Peers auf Responderseite.
Eine Möglichkeit das per Webinterface einzugeben hat AVM nicht vorgesehen, richtig?
Jepp. Conf vorbereiten und dann im Wizard einlesen lassen.
Nein, nicht ganz. Der private Key des Draytek verlässt diesen niemals! Der private Key der Fritzbox steht auf dem rechten Bild dieser kommt in die Config der Fritzbox.
Am Draytek dann den korrespondierende PublicKey der Fritzbox am "Peer" eintragen.
Bitte das Tutorial von Aquí oben lesen da steht das alles haarklein drin!
Verstehe erst mal das Kryotokey-Routing Prinzip dann ist klar was wohin muss.
Immer daran denken, private Keys verlassen niemals den Host/Client der diesen Nutzt! Das gegenüber bekommt immer nur den Public-Key (das Gegenstück des Private Keys) weil beide eine Einheit bilden für Verh und Entschlüsselung.
Du kannst auch gleich ein neu generiertes Pärchen nehmen, sowas generiert sich schnell mittels
Am Draytek dann den korrespondierende PublicKey der Fritzbox am "Peer" eintragen.
Bitte das Tutorial von Aquí oben lesen da steht das alles haarklein drin!
Verstehe erst mal das Kryotokey-Routing Prinzip dann ist klar was wohin muss.
Immer daran denken, private Keys verlassen niemals den Host/Client der diesen Nutzt! Das gegenüber bekommt immer nur den Public-Key (das Gegenstück des Private Keys) weil beide eine Einheit bilden für Verh und Entschlüsselung.
Du kannst auch gleich ein neu generiertes Pärchen nehmen, sowas generiert sich schnell mittels
wg genkey | tee private.key | wg pubkey >public.key
Ich verstehe noch nicht so ganz, wo welche Werte hinkommen.
Kollege @10138557388 hat es schon treffend gesagt: Hättest du das dir oben gepostete Tutorial einmal wirklich gewissenhaft durchgelesen wären alle diese Fragen überflüssig gewesen!
Manch einer muss halt erst mal Lesen lernen 😉.
Wenn ich im Draytek eine Konfig anlege, dann ist das Feld c) mit [Peer] Public Key leer. Da trage ich also doch den Private Key (öffentlicher Schlüssel) der Fritzbox ein? Also genau wie oben schon mit den roten Pfeilen markiert?
Da steht doch peer Public key! Also kommt da der öffentliche Schlüssel des peers, also deiner Fritte, rein!
Lesen und verstehen!
lks
dann ist das Feld c) mit [Peer] Public Key leer.
Klar, denn da kommt der öffentliche Key des gegenüberliegenden Peers hin und den kann der Draytek ja nicht kennen.Da trage ich also doch den Private Key (öffentlicher Schlüssel) der Fritzbox ein?
Jetzt wirds wieder wirr und zeigt das du leider weder die Tips des Kollegen @10138557388 gelesen oder verstanden hast noch hast du den „grünen“ Abschnitt zur Key Logik in Responder (Server) und Client (Initiator) gelesen oder verstanden.🧐Ein private Key ist KEIN öffentlicher Schlüssel sondern der PRIVATE Schlüssel wie der Name schon sagt. Da solltest du dein Englisch nochmal etwas nachschärfen!
Der öffentliche Schlüssel ist der PUBLIC Key!!
Und jetzt bitte nochmal die grüne Key Logik lesen und verstehen,
PRIVATE Keys verlassen niemals das Gerät!!
Auf die eigentliche Frage, wo ich den public Key der FB herbekomme hat ja leider niemand geantwortet.
Es gibt zig Keygeneratoren im Netz oder die im Windows und Linux oder Mac OS Client wo du dir überall entsprechende Key Pärchen generieren kannst.Die FRITZ!Box selber gibt diese immer auch über ihren Download aus wenn sie Responder ist und man einen zusätzlichen Client einrichtet. Ist sie VPN Initiator (Client) importiert man ganz einfach eine simple, klassische Standard WG Konfig Datei die man mit jedem Texteditor erstellen kann. Das ist doch alles nun wahrlich kein Hexenwerk.
Steht aber auch alles haarklein im Tutorial bzw. im dedizierten AVM Wireguard Tutorial. Man muss nur mal etwas lesen. 😉
Das mit dem „Standardwert“ ist natürlich VPN technischer Unsinn, denn das bestimmt immer das interne Wireguard IP Netz und welche IP Adressierung man dafür wählt. Dort einen wenig intelligenten „Standartwert“ zu verwenden wie du es trotz Tutorial Lektüre gemacht hast wird sich sehr schnell rächen. Warum das so ist kannst du HIER genau nachlesen. Mist, schon wieder lesen….
Letztlich ja aber egal, rennt ja jetzt bei dir alles.
How can I mark a post as solved?