Fritzbox 7590 und zwei Wireguard Verbindungen

[Totti1001]

Servus,
ich hab auf meiner 7590 (OS 8.25) eine Wireguard Geräteverbindung eingerichtet, um von unterwegs mit meinem Handy auf mein gesamtes Heimnetzwerk zuzugreifen. Das funktioniert auch seit einigen Jahre gut.
Nun möchte ich aber in der Fritzbox zusätzlich einen VPN über Wireguard installieren. Mein Handy ist ja unter "Geräteverbindung" mit Wireguard verbunden. Und darunter gibt es ja noch den Punkt "Netzwerkverbindungen". Also dachte ich mir, da könnte ich ja die Konfig von ProtonVPN einfügen für alle Geräte bzw. mit Geräteauswahl.
Leider scheint das so nicht zu funktionieren. Die Fritz meckert, das bereits eine Schlüsseldatei vorhanden sei und wenn ich die Fritz FAQ richtig verstehe, muss ich eine vorhandene Wireguard Verbindung erst löschen.
Aber genau das möchte ich nicht. Ist mein Vorhaben mit Wireguard überhaupt nicht möglich auf der Fritz?
Und falls das nicht geht, welche Alternativen hätte? Auf jeden Fall ist mir die Heimnetzverbindung vom Handy wichtig.

Vielleicht habt ihr ja eine, für einen Netzwerk-Laien, einfache eine Lösung.

Totti

 

[xammu]

Dein Vorhaben ist mit der Fritzbox so nicht umsetzbar, dafür ist sie bezüglicn Wireguard zu eingeschränkt.

ProtonVPN müsste allerdings noch Ipsec anbieten, damit müsste das gehen.

Handy über Wireguard wie bisher, Verbindung zu Protonvpn über Ipsec/IKEv2

 

[Totti1001]

Wenn ich das richtig gelesen habe bei Proton, wird Ipsec wohl nicht mehr unterstützt. Nur noch Wireguard und OpenVPN.

 

[TomH22]

Grundsätzlich kann eine fritzbox mehrere VPN Verbindungen, und dabei auch gemischte Konfigurationen wie Du sie vorhast.
Problem ist allerdings: Wenn Du einmal ein Wireguard VPN z.B. für Dein Handy eingerichtet hast, dann ist der private Schlüssel der Fritzbox festgelegt. Das ist jetzt auch nicht direkt eine Einschränkung der Fritzbox, sondern so arbeitet Wireguard nunmal, für ein Wireguard Interface gibt es genau einen privaten Schlüssel. Du müsstest also Proton mit dem zum privaten Schlüssel der Fritzbox passenden öffentlichen Schlüssel einrichten. Ich habe keine Ahnung von der Konfiguration von Proton, aber falls die darauf bestehen das Schlüsselpaar für Deinen Router eigenständig zu erzeugen, dann müsstest Du in der Tat in der Fritzbox Wireguard zunächst löschen, dann Proton einrichten, und danach das Telefon neu.

Nachteil ist natürlich, wenn Proton ein Schlüsselpaar erzeugt, dann kennen sie zumindest kurzzeitig auch den privaten Schlüssel.

 

[DHC]

Ich weiß nicht, wie es bei Fritzbox läuft, was WireGuard angeht.

WireGuard ist Mehr-Punkt-Fähig. Zumindest bei MikroTik-Routern.
Man hat z. B. eine Interface mit Public key und mehrere Peers (Andere Geräte / Router).
Somit können sich mehrere Geräte verbinden.

Gibt es bei Fritzbox nicht die Möglichkeit mehrere Peers anzulegen?

Ergänzung (Gestern um 00:58)

Laut Einstellunge auf der Fritzbox sollten mehrere Verbindungen möglich sein, zumindest läßt es folgendes vermuten:
Zitat: "WireGuard®-Verbindungen zwischen der FRITZ!Box und anderen Geräten"
Also Mehrzahl.
Womit wohl Peers gemeint sind, vermute ich mal.

Ob damit auch andere WireGuard-Dienste gemeint sind.
Gute Frage. Das kann wohl nur Fritz beantworten.

Ich nutze kein WireGuard auf der Fritzbox selbst.
Ich habe einen Router dahinter, der das Ganze managed.

 

[Ja_Ge]

Fritz hat Recht, richte zuerst die Netzwerkverbindung ein, dann die Geräteverbindungen. Achte auch auf ein routbares Subnetz bei der Netzwerkverbindung. Sofern SMB-Shares erreicht werden sollen den "NetBIOS" Haken setzen (geht auch nachträglich).

 

[TomH22]

Gibt es bei Fritzbox nicht die Möglichkeit mehrere Peers anzulegen?

Ja. Die Wireguard Implementierung auf der Fritzbox ist genau die gleiche wie überall. Das Problem ist nur, dass man eben die wg.conf nicht direkt editieren kann, sondern einen Konfigurations Assistenten nutzen muss, bei dessen Fragen man manchmal „um die Ecke“ denken muss. Wenn dann noch ein öffentlicher VPN Anbieter ebenfalls einen Assistenten anbietet, kommt es halt zu einem Konflikt. Viele dieser Assistenten erzeugen halt das Schlüsselpaar für die Gegenstelle automatisch, und die Fritzbox kann das auch importieren, aber natürlich nur, wenn es noch keine anderen Peers gibt.

 

[Totti1001]

Ganz herzlichen dank erstmal, für eure Antworten! Wie ich aber extra schon im Eingangspost schrieb: Meine Kenntnisse in dem Bereich halten sich in sehr engen Grenzen Bin eher so ein YouTube Copy&Paste Anwender.

Ich hab es jetzt aber trotzdem mal versucht und meine Einzelgerät Wireguard Verbindung in der Fritz gelöscht.
Bei Proton dann eine Konfig Datei erzeugen lassen und die in die Fritz importiert.
Soweit so gut, das hat jetzt auch geklappt und die VPN Verbindung zu Proton steht.
Nun wollte ich mein Handy als Einzelgerät wieder hinzufügen aber da scheiter ich bereits.
Ich hab einfach mal Screenshots gemacht. Wobei ich beim Proton VPN das mit dem entfernten Netz nicht ganz verstehe, 0.0.0.0

Vielleicht könnt ihr mir da etwas auf die Sprünge helfen.

EDIT: Hab mein Handy jetzt auch rein bekommen. Den Proton VPN ausgeschaltet und dann die Geräteverbindung eingerichtet. Jetzt sind Proton und mein Gerät mit grünem Punkt drin. Aber:
Ist die Proton VPN Verbindung aktiv, kann ich mich nicht ins Heimnetzwerk mit dem Handy verbinden. Schalte ich den Proton VPN aus, geht es wie immer.

 

[DHC]

0.0.0.0/0 bedeutet, das der komplette Netzwerkverkehr weitergegeben wird.
Wenn du das einschränken willst, z. B. auf dein Netzwerk, dann müsstest du 192.168.178.0/24 eingeben.

Da gibt es, wie die Meldung sagt Kollisionen, weil WireGuard nicht weiß, wohin nun welche Daten geschickt werden sollen.
Das Ganze muss eindeutig sein.

Man kann auch mehrere IP-Netze übergeben, auch Einzeladressen.

Ich habe bei mir z. B. Einzeladressen der WireGuard Interface und Peers verwendet und den Datenverkehr noch mal separat getunnelt. Aber das ist halt auch eine spezielle Anwendung bei mir, die nicht auf jeden zutrifft.

 

[Totti1001]

Das ist die Config ,die Proton erzeugt hat und die ich in der Fritz unter "WireGuard Netzwerkverbindung" importiert habe.
Also müsste ich unter AllowedIPs 192.168.178.0/24 in der Proton Configdatei eintragen (anstelle von 0.0.0.0) damit ich mit dem Handy wieder ins Heimnetz komme ohne den Proton Eintrag vorher zu deaktivieren? Und dann würde trotzdem der Verkehr noch über den Proton VPN laufen?

Spoiler: Proton Config

[Interface]
# Key for Proton
# Bouncing = 9
# NetShield = 2
# Moderates NAT = off
# NAT-PMP (Port-Weiterleitung) = off
# VPN-Accelerator = on
PrivateKey = xxxxxxx
Address = 10.2.0.2/32
DNS = 10.2.0.1

[Peer]
# DE#915
PublicKey = xxxxxxxxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 194.126.177.128:51820

PersistentKeepalive = 25

 

[DHC]

Also müsste ich unter AllowedIPs

Das kommt darauf an, was du über Proton leiten willst.
In der Regel den Verkehr zum und vom Internet.
Wenn du alles zu Proton leiten willst, dann eben 0.0.0.0/0

Du kannst auch dein Handy mit Proton verbinden und darüber deine Fritzbox erreichen. Zumindest in der Theorie.
Wenn man denn sowas auch umsetzen möchte.

 

[Totti1001]

Ich möchte ja nicht nur die Fritzbox erreichen sondern mein gesamtes Heim Netzwerk und das funktioniert mit 0.0.0.0 eben nicht. Es geht nur entweder Handy Verbindung über Wire mit deaktivieren Wire Proton VPN oder aber Proton VPN , dann komm ich von unterwegs aber nicht mehr mit dem Handy ins mein Netzwerk.
In dem Bild von @Ja_Ge steht auch unter der Wire Netzwerkverbindung eine IP Adresse und nicht nur Nullen. Vielleicht hat er noch einen Tipp für mich, damit beides paralell läuft und ich nicht immer hin und her schalten muss.

 

[DHC]

Das sind zwei Geräteverbindungen (Einzeladresse), erkennt man an /32.
Dann noch eine Netzwerkverbindung (Site to Site). Das heißt er verbindet wohl zwei Standorte miteinander über das 172.xxx-Netz. Dass ist ein /28-Subnetz. Das heißt eine beschränkte Anzahl Geräte (172.20.10.1 bis 172.20.10.14) wird da erlaubt.

Das ist wahrscheinlich etwas ganz anderes, als das, was du willst.

 

[Totti1001]

Das ist wahrscheinlich etwas ganz anderes, als das, was du willst.

Du kannst auch dein Handy mit Proton verbinden und darüber deine Fritzbox erreichen.

Ich möchte einfach nur , dass ich über Wire vom Handy auf mein Heimnetzwerk zugreifen kann und zu Hause den Proton VPN nutzen und das ohne jedes mal in der Fritz die Wire Einträge hin und her zu schalten.
Und wie verbinde ich mein Handy über Proton?

 

[DHC]

Dann musst da das bei Allowed IPs entsprechend angeben.
Es darf halt keine Überschneidung geben.

Ich kenne Proton nicht. Bzw. Nutze es nicht. Deshalb kann ich nicht sagen, wie man das im Detail einrichtet.

Dein Handy musst du mit einer Einzeladresse (/32) einbinden, dann hast du Zugriff auf dein Netzwerk (WireGuard auf der Fritzbox).
Für alles andere zu Proton musst du dein Netzwerk ausschließen. Welches Netzwerk zu auch immer hast.
Das heißt, du musst dann mehrere IP-Netze angeben.
Wie gesagt, in der Theorie.

 

[Totti1001]

OK,denke ich belasse es erst mal bei der funktionierenden Handy Verbindung .

Und anscheinend kommt jetzt noch ein Problem dazu was vielleicht auch nur Zufall ist.
Hab den Proton VPN jetzt ne Zeit laufen lassen und bekomme gerade die Meldung von der fritzbox , dass meine Telefonnummern nicht mehr erreichbar sind. Bin Telekom Glasfaserkunde. Kann es sein, daß durch die VPN Verbindung , das Telefon lahm gelegt wird ? Ich hab die VPN Verbindung jetzt erstmal deaktiviert ,die Fritz neu gestartet und jetzt geht das Telefon wieder .

 

[DHC]

das Telefon lahm gelegt wird ?

Mit allowed IP 0.0.0.0/0 leitest du den kompletten Netzwerkverkehr über Proton, vermutlich auch das Telefon (SIP, etc.).
Kann sein, dass der Provider das nicht akzeptiert, da du nun eine VPN-Adresse hast und nicht die, des Providers.

Das ist aber nur eine Vermutung.

 

[Ja_Ge]

0.0.0.0 schickt er halt tatsächlich alles über die VPN, eingetragen in die Routing – Table mit höchster Metrik. Es kann aber funktionieren unter Netzwerk / Statische Routen die Route für deine SIP – Server direkt einzutragen.
Das Problem mit Fritzboxen, du kannst die Routing Table nicht direkt editieren. Sie trägt einfach das ein was in der Wireguard-Config steht oder du an anderer Stelle wie statische Routen konfigurierst. Und das nicht immer logisch, daher die vorgegebene Reihenfolge. Erfahrungsgemäß liegt die Chance bei 50%.
Ich kenne Proton VPN auch nicht, theoretisch kannst du dir über die VPN eine IP aus deinem Subnetz holen und den Gateway an den Clients ändern, vorausgesetzt Proton bekommt das dann vernünftig mit NAT hin. Aber das ist alle Murks, die Fritzbox kommt hier sehr schnell an ihre Grenzen.

EDIT: Viel nutzen daher einen andere Möglichkeit. VPN auf der Fritzbox sein lassen und den Port auf einen „besseren“ VPN Server im LAN weiterleiten. z.B. eine ~10€ Fritzbox mit OpenWrt als Betriebssystem.

Ergänzung (Gestern um 19:59)

VPN nutzen und das ohne jedes mal in der Fritz die Wire Einträge hin und her zu schalten.

Versuch mal den DNS aus der Config zu nehmen.

 

[Totti1001]

Wäre Openvpn eine Möglichkeit das ganze zu umgehen ? Gibt es eventuell andere Alternativen , die vielleicht sogar unter Portainer laufen würden ?

Ich hab jetzt in der Konfig der Fritz nur einige Geräte angehakt ,die über den Proton VPN laufen sollen und den Haken "alle Geräte " rausgenommen ,trotzdem war Telefon gerade wieder tot.

 

[Ja_Ge]

Ich hab jetzt in der Konfig der Fritz nur einige Geräte angehakt

Das ändert die Routing Table nicht, es sperrt den Zugriff auf die Clients in der „Firewall“ (auch wenn die Fritbox die Bezeichnung nicht verdient).

Ergänzung (Gestern um 20:23)

Gibt es eventuell andere Alternativen ,

Wie schnell ist dein Internet und welche Geschwindigkeit möchtest du über die VPN erreichen?