Fritz!OS 7.50 + Wireguard VPN: kein Zugriff auf Dienste hinter der FB

[meph!sto]

Hi,
erstmal zum Setup:
Habe in unserem Netzwerk 2x FB7590 laufen.
1. FB7590 (192.168.1.1) dient als Hauptrouter und stellt die Verbindung ins Internet her.
2. FB7590 (192.168.1.2) dient nur als Switch und AP und ist per Kabel mit der 1. FB verbunden.

Auf beiden FBs ist die Software 7.50 bereits installiert.
Es soll hier auch nur um die 1. FB gehen, da dort mein Wireguard VPN konfiguriert ist und ich dort auch von außen lande.

Problemchen:
Das VPN funktioniert einwandfrei, wenn ich von außerhalb auf meine FB zugreifen will, geht das problemlos. Auch das Surfen/Apps etc von unterwegs klappt einwandfrei.
In meinem Netzwerk habe ich auf 2 Geräten ein paar Dienste laufen:

• 192.168.1.27 (Raspberry Pi 3B+): OpenHAB, PiHole
• 192.168.1.6 (Synology NAS): Synology NAS

Komischerweise kann ich von unterwegs, per Wireguard nicht auf die Geräte zugreifen bzw. die darauf laufenden Dienste aufrufen.
Ich vermute ich muss Wireguard irgendwie konfigurieren, aber so arg viele Einstellmöglichkeiten bot mir Fritz!OS 7.50 nicht an.

Habt ihr Tipps/Ideen ?
Danke

 

[R O G E R]

Eigentlich sollte es gehen.
Wie versuchst du auf die Geräte zuzugreifen?
Per DNS oder IP?
Weil DNS wird nicht klappen wenn du kein Volltunnel hast.

 

[synack]

Kann ich nicht bestätigen, hab Homeassistant und ne Syno am laufen, beides ohne Probleme erreichbar, eingestellt hab ich nichts dafür, nur den VPN. Ich spreche aber beides über die IP an, Namensauflösung müsste ich mal testen.

 

[meph!sto]

Danke für die rasche Rückmeldung(en).
Ich spreche alle Geräte immer per IP an.

 

[R O G E R]

Das ist komisch.
Steht folgendes in den Allowed IPs drin?
AllowedIPs = 192.168.1.0/24

 

[meph!sto]

Ja, der steht in der Wireguard Konfiguration auf meinem Handy drin.

Genau:
Allowed IPs:
192.168.1.0/24, 0.0.0.0/0

 

[blackshuck]

Hab mehrere Pi's und eine Syno und keinerlei Probleme.... kannst du die denn Pingen?

 

[meph!sto]

Nein, s.o.
192.168.1.27 = RPi 3B+
192.168.1.6 = Syno

Edit #1
Unter den Wireguard Einstellungen auf meiner FB, steht hinter
Gesamter Datenverkehr (IPv4) "Nein"

1. Könnte das das Problem sein ?
2. Wie kann ich ändern ?

Edit #2
Jetzt wird's weird: es klappt, ohne dass ich wissentlich was verändert habe

 

[honky-tonk]

hängen die greräte vll hinter der 2. Fritzbox? ggf ist da ja noch was konfiguriert was das blockiert...bspw. NAT/Firewall...

was macht ein ping zur 2. FB. Vll die zu Test Zwecken mal entfernen.

Ergänzung (5. Dezember 2022)

Jetzt wird's weird: es klappt, ohne dass ich wissentlich was verändert habe

das handy musste sich bestimmt erst an die neue umgebung gewöhnen 😄

 

[meph!sto]

Die Geräte hängen tatsächlich hinter der 2. FB und die kann ich (jetzt zumind.) anpingen.
Ob die vorhin anpingbar war, weiß ich nicht (hatte es schlicht nicht ausprobiert).

Edit #1
Das einzige was ich zwischenzeitlich geändert habe: habe den "klassischen" VPN IPSec Zugang auf der FB gelöscht.
Hatte bis vorhin 1x IPSec und 1x Wireguard konfiguriert, nun nur noch Wireguard.
Kann mir nicht vorstellen dass das ein Grund ist, aber merkwürdig ist der zeitliche Zusammenhang schon.

 

[duAffentier]

Im WLAN zu Hause geht aber alles und du kannst die Geräte anpingen?

 

[meph!sto]

Jopp, zu Hause alles tiptop.

 

[duAffentier]

Kannst du von unterwegs auf ein NAS per QuickConnect zugreifen?

 

[meph!sto]

Nie ausprobiert. Bin mir auch ziemlich sicher dass ich das gar nicht konfiguriert habe.

Aber wie gesagt: scheinbar klappt es nun (aus mir unerklärlichen Gründen).

 

[blackshuck]

Wenn es jetzt funzt ist ja alles gut. Nicht weiter überlegen. Meld dich wieder, wenn es wieder nicht klappen sollte

 

[duAffentier]

Dann viel Erfolg.
Sonst AEG probieren . Ausschalten-Einschalten-Geht

 

[R O G E R]

Unter den Wireguard Einstellungen auf meiner FB, steht hinter
Gesamter Datenverkehr (IPv4) "Nein"

Das wäre ein Full Tunnel.
Kann man auch so konfigurieren.
Nutze ich wenn ich mal mit dem Handy in öffentlichen WLANs bin denen ich nicht vertraue.

 

[blackshuck]

@R O G E R

Wie muss man das denn eigentlich einrichten? Bei der Einrichtung wird man nämlich nicht danach gefragt. Was ist, wenn man IPv6 hat?
Was für Daten gehen denn sonst nur über den Tunnel?
Hatte mich nämlich schon gefragt, wie ich das aktiviert bekomme, bzw ob ich das überhaupt brauche

 

[Raijin]

Auch das Surfen/Apps etc von unterwegs klappt einwandfrei.

Nur um das klarzustellen, weil du das so formulierst als wenn das ein Indiz für eine funktionierende VPN-Verbindung wäre:

Unter den Wireguard Einstellungen auf meiner FB, steht hinter
Gesamter Datenverkehr (IPv4) "Nein"

In dem Fall klappt "das Surfen/Apps etc von unterwegs" über die lokale Internetverbindung des Clients selbst - also Mobilfunk bzw lokaler Router - und hat mit dem VPN überhaupt nichts zu tun. Nur wenn diese Einstellung aktiv ist, wird auch der Internetverkehr durch den Tunnel geschickt. Bei "Nein" wird nur das heimische Subnetz (192.168.1.0/24) durch den Tunnel geroutet.


Diesbezüglich noch ein gut gemeinter Rat: Wenn man eine VPN-Verbindung von außen ins Heimnetzwerk aufbauen möchte, sollte man das Heimnetz NICHT mit 192.168.1.0/24 konfigurieren. Dieses Subnetz zählt mit Abstand zu den meistgenutzten privaten Subnetzen auf diesem Planeten und man wird gefühlt in jeder dritten Wohnung und jedem dritten Hotel keine Verbindung ins Heimnetzwerk bekommen, weil lokal eben dasselbe Subnetz verwendet wird.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die in RFC1918 reservierten Bereiche für private Subnetze und das darf man gerne ausnutzen. Sei kreativ und nimm nicht jeweils die ersten Subnetze in diesen Bereichen, sondern irgendwas mittendrin. 172.23.4.0/24 zum Beispiel.

 

[blackshuck]

Und wie sieht es bei IPv6 aus? Geht da der gesamte Traffic über das Heimnetz? Oder warum steht in der Fritzbox explizit "Gesamter Datenverkehr (IPv4)" ?