Fritzbox 7690 Wireguard Split-Tunneling

[Mijay]

Hallo zusammen,

da mich die letzten Tage Cloudflare/Telekom tierisch genervt hat und sich manche Seiten nicht mehr aufgebaut haben (mit VPN ohne Probleme), wollte ich folgenden Vorschlag https://telekomhilft.telekom.de/con...597b08879d?commentId=69750e06f8cc8d29601231ef bei mir umsetzen und bekomme es bisher einfach nicht hin, vielleicht geht es auch gar nicht mit den Mitteln, welche mir aktuell zur Verfügung stehen?!?

Router: FritzBox 7690
VPN: Mullvad

Ich möchte den Traffic aufsplitten (wie in dem Forenbeitrag), so dass Cloudflare durch den VPN geleitet wird und der Rest über die Telekom läuft. Dazu habe ich in der FritzBox „Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden“ nicht angehakt. Ich habe diverse Konfigurationen mit “AllowedIPs” ausprobiert und das aufsplitten hat nie funktioniert. Entweder alles oder nichts. Dazu habe ich in der FritzBox bei DNS-Server den von Cloudflare angegeben. IPv6 hatte ich testweise auch einmal in der FritzBox deaktiviert und es hat leider nichts gebracht.
Überprüft habe ich die Versuche mit tracert 1.1.1.1 und tracert 8.8.8.8.

Fragen die ich dazu hätte:

1. Funktioniert mein Vorhaben überhaupt mit der FritzBox?
2. Was muss ich in der FritzBox beim DNS-Server angeben?
3. Wie muss ich Wireguard einrichten?

Ich bin für jede Hilfe dankbar.

Viele Grüße
Mijay

 

[kartoffelpü]

Ich picke mir nur mal Frage 2 raus, da ich dein Szenario noch nicht benötigt habe:
egal, welcher DNS-Server, Hauptsache er ist erreichbar und liefert Anworten. Ob du nun Telefonbuch A oder B fragst, beide werden im Normalfall die gleiche Antwort liefern.

Kann man auch einfach von nem Client testen, z.B.:

nslookup computerbase.de 1.1.1.1
nslookup computerbase.de 8.8.8.8

sollten beide die gleiche IP-Adresse anzeigen.

 

[froeschi62]

Fragen die ich dazu hätte:

1. Funktioniert mein Vorhaben überhaupt mit der FritzBox?

Nein, es funktioniert nicht. Nach aktuellem Stand beherrscht die Fritzbox zu deinem Vorhaben kein Tunnelsplitting bei der Netzwerkkopplung bezüglich Wireguard. Es wird dabei nur der komplette Netzwerkverkehr durchgelassen. Du kannst nur die Geräte eingrenzen, die den VPN nutzen sollen. Zu beachten ist diesem Fall, dass auch nur IPv4 genutzt werden kann.

 

[Mijay]

@froeschi62 Okay danke. Ich habe mir schon irgendwie so etwas gedacht. Würde folgendes funktionieren? Dabei habe ich absolut noch gar keine Ahnung von OPNsense.

Internet
│
Telekom DSL
│
FritzBox 7690
(kein VPN, nur Internet, Access Point, Telefonie)
│ LAN
│
Policy-Router (OPNsense)
├── WireGuard → VPN
└── Default → Telekom
│
LAN / WLAN / Clients

Falls so ein Aufbau funktionieren würde, unter Beibehaltung der Telefonie, was für eine Hardware würde ich für OPNsense benötigen? Anforderung: Policy‑Routing, WireGuard/VPN, Cloudflare‑Routing, LAN/WLAN‑Anbindung über AP, SQM oder Ähnliches

 

[froeschi62]

@Mijay Ich habe keine OPNsense im Einsatz aber im Telekom Hilft Forum unter VPN Workaround hat jemand etwas dazu geschrieben. Musst dort mal suchen, einen genauen Link habe leider nicht zur Verfügung.
Ich nutze zur Zeit nur eine schnöde 5690 Pro Fritze.

 

[qiller]

da mich die letzten Tage Cloudflare/Telekom tierisch genervt hat und sich manche Seiten nicht mehr aufgebaut haben (mit VPN ohne Probleme)

Vlt. auch mal über ein Providerwechsel nachdenken (wenns denn vernünftige Alternativen gibt).

was für eine Hardware würde ich für OPNsense benötigen?

Scroll einfach mal durch die Suchergebnisse:
https://www.amazon.de/s?k=firewall+minipc

Hatte selber schon paarmal von Glovary welche eingerichtet (allerdings mit IPFire) und das funktionierte wunderbar, inkl. WebProxy und IDS an Gigabit-Anschlüssen. Die MiniPCs mit N97/100 haben mehr als genug Power dafür und sind lautlos (passive Kühlung).

Edit: Wenns billiger sein soll, kann man sich auch mal bei alten gebrauchten Office-Kisten mit Intel CPUs (z.B. i3-8100/i3-9100; i5-8400/i5-9400) umschauen. Ist halt immer nur schwierig die spätere Leistungsaufnahme abzuschätzen und häufig muss man noch Netzwerkschnittstellen nachrüsten.

 

[Das MatZe]

Vlt. auch mal über ein Providerwechsel nachdenken (wenns denn vernünftige Alternativen gibt).

Würde ich - sobald man eben aus dem Vertrag raus kommt - überdenken.
Das ist bei der Telekom leider bekannt, dass diese gegen Münzeinwurf seitens der Netzbetreiber ordentliches Peering bietet. Ohne Münzeinwurf sind die Kapazitäten aber - wie du selbst merkst - zu knapp bemessen um es mal sehr diplomatisch aus zu drücken.
Die Stichworte "Drosselkom" und "Netzbremse" sind da recht aufschlussreich.

Vodafone stellt aktuell auf private-Peering um, was zu ähnlichen Problemen wie bei der Telekom führen kann. Allerdings hab ich dazu bislang noch nichts gelesen.
Mit 1&1 oder O2 (nur als Beispiel) ist man da in der Regel ziemlich gut aufgestellt. O2 bringt auch ohne aktive Nachfrage oder gar Münzeinwurf echtes Dual-Stack mit dynamischer IPv4 Adresse mit.

alten gebrauchten Office-Kisten mit Intel CPUs (z.B. i3-8100/i3-9100; i5-8400/i5-9400) umschauen. Ist halt immer nur schwierig die spätere Leistungsaufnahme abzuschätzen und häufig muss man noch Netzwerkschnittstellen nachrüsten.

Ich hab hier n Dell Optiplex 3050 (Tower-Format, kein SFF Gerät) mit i7 7700.
Der "nackte" Rechner nur mit einer 128GByte SATA-SSD und laufendem TrueNAS sowie einem aktiven Gigabit Link über die Onboard Netzwerkkarte brauchte knappe 9W im Idle.

Soweit man das hier immer mal wieder ließt, kann man für einen Energiesparenden Betrieb alles ab Intel Core i6xxx und neuer gut gebrauchen. Und insbesondere die 6xxx und 7xxx Generation dürfte mangels Win11 Support durchaus an einigen Stellen für ne schmale Mark zu bekommen sein.

 

[Mijay]

Mit 1&1 oder O2 (nur als Beispiel) ist man da in der Regel ziemlich gut aufgestellt. O2 bringt auch ohne aktive Nachfrage oder gar Münzeinwurf echtes Dual-Stack mit dynamischer IPv4 Adresse mit.

Tatsächlich habe ich mich auch schon direkt vor dem Post bei Vodafone, 1und1 und O2 umgesehen. Danke für den Hinweis bei Vodafone, damit sind die direkt raus. Bisheriger Favorit war für mich O2. Allerdings hab ich absolut keine Erfahrung was deren Hotline in Problemfällen betrifft.

 

[qiller]

Der "nackte" Rechner nur mit einer 128GByte SATA-SSD und laufendem TrueNAS sowie einem aktiven Gigabit Link über die Onboard Netzwerkkarte brauchte knappe 9W im Idle.

Ist halt nicht allgemeingültig. Selbst zusammengestellte Kisten verbrauchen i.d.R. deutlich mehr. Da ist einfach viel zu viel Schnickschnack auf den Retail-Mainboards verbaut. Bei den OEM-Kisten wird halt alles eingespart, was nicht unbedingt benötigt wird. Daher kommen die auch auf so einen geringen Verbrauch.

 

[Nebula123]

Scroll einfach mal durch die Suchergebnisse:
https://www.amazon.de/s?k=firewall+minipc

Kannst du was empfehlen, was auch als WLAN AP dient?

@Mijay:
hast du noch massiv Probleme? Das Telekom <-> Cloudflare Peering-Probleme haben ist ja seit Jahren bekannt, aber letzte Woche Dienstag bis Freitag ging ja ab Nachmittag gar nichts mehr (Paket-Loss en Masse, Ping ab 4-stellig). Das hat sich bei mir dann am Freitag aber deutlich gebessert (besser als "üblich" bei der DTAG), ist aber immer noch entfernt von "ungedrosselt". Ich habe letzte Woche noch Beschwerde der BNetzA eingereicht, die haben schon Beschwerden usw. wegen der Netzneutralität vorliegen und fügen meine hinzu.
Wenn die Giganetz mal die Hausverkabelung auf die Kette bekommen würde, wäre ich schon längst weg. Das Peering ist einer der Hauptgründe.

 

[qiller]

Kannst du was empfehlen, was auch als WLAN AP dient?

Du meinst ne Firewall mit hostapd? Dann kann ich davon nur abraten, wenn das Wifi vernünftig sein soll. Ich hatte da jetzt 2-3 durch. Bei keinem kamen gute Raten zustande. Manchmal kann nur eine Kanalbreite verwendet werden, manchmal nur ein bestimmter, fester Kanal, manchmal geht 5G nicht und manche Wifi-Karten gehen auch gar nicht als AP. Mein Smartphone hatte auch immer wieder mal Verbindungsprobleme. Also war nicht so das Gelbe vom Ei.

Ich hab jetzt letzte Woche bei mir zu hause die WLAN-Karte aus der FW ausgebaut und nen Mikrotik wAP ax als simplen Wifi-AP konfiguriert. Der hat auch 2 LAN-Schnittstellen, womit ich dann eine Schnittstelle ins interne Netz der Firewall angeschlossen und die andere Schnittstelle an das in der FW konfigurierte Wifi-Gastnetz. Im Router OS dann entsprechend 4 Wifi-Netze (Wifi 2.4G/5G u. Wifi-Gast 2.4G/5G) konfiguriert und entsprechend gebrigded. Feddich. Wo ich vorher teilweise nur 20/10Mbit/s DL/UL hatte, hab ich jetzt die vollen ~460/75Mbit/s meines Internet-Anschlusses.

 

[grünerbert]

Habe ich es überlesen, oder hast du bislang noch gar nicht deine Download-/Upload-Geschwindigkeiten genannt? Wie viel hast du und möchtest du die komplett ausnutzen?

Policy-Router (OPNsense)
├── WireGuard → VPN
└── Default → Telekom
│
LAN / WLAN / Clients

Bislang nicht genannt wurde OpenWrt, was jedoch eine gute Alternative sein könnte, insbesondere wenn es um WLAN geht, da *sense-Distributionen nicht unbedingt ihre Stärke darin haben. Tatsächlich wurde im verlinkten Thread bereits eine Lösung mit OpenWrt vorgestellt.
Preislich würde ich von 40-100 € ausgehen. Je nachdem, wie viel Wireguard- und WLAN-Durchsatz du möchtest.

 

[qiller]

Da ich oben schon Mikrotik erwähnt hatte, schmeiß ich auch noch Router OS hier rein. Oben von mir erwähnter AP kann natürlich auch als ganz normaler Router eingesetzt werden, der auch Wireguard und Policy Based Routing kann. Policy Based Routing ist nur etwas sperrig einzurichten, weil man bei Router OS auch wirklich so ziemlich alles ins kleinste Detail einstellen kann und es sogar unterschiedliche Möglichkeiten gibt (Mangle Rules, Routing Rules).

 

[Mijay]

Danke für eure Vorschläge!

hast du noch massiv Probleme?

Gestern Abend ab ca. 21.00 Uhr wurde es leider wieder ziemlich schlimm. Nachdem ich aber am iPad eine VPN-Verbindung über hide.me (keine Ahnung ob gut oder schlecht) aufgebaut habe, lief alles wieder ohne Probleme.

Habe ich es überlesen, oder hast du bislang noch gar nicht deine Download-/Upload-Geschwindigkeiten genannt? Wie viel hast du und möchtest du die komplett ausnutzen?

Wir haben eine DSL 100MBit Download, 40MBit Upload Leitung von der Telekom. Ausnutzen möchte ich gerne so viel wie möglich. Durch das Priorisieren / Routing etc. wird es reduziert werden, was mir bewusst ist.

Bislang nicht genannt wurde OpenWrt, was jedoch eine gute Alternative sein könnte, insbesondere wenn es um WLAN geht

Ich würde das WLAN über die FritzBox gerne weiterlaufen lassen, denn da habe ich endlich die Einstellung für uns gefunden, welches die Latenzen in unserem Netzwerk deutlich reduziert und stabil hält.

Ich werde mich wohl erstmal noch durch einige VPN-Anbieter wühlen und schauen, ob mit irgendeinem, den ich zentral in der FritzBox angebe, die Telefonie funktioniert. Das war mit Mullvad leider nicht der Fall. Ansonsten bekommt jeder Client wohl oder übel seinen eigenen VPN-Client, bei welchem Anbieter auch immer. Vielleicht gibt es zu VPN-Anbietern Empfehlungen? Es müsste für Windows 11, iPad und iPhone kompatibel sein.

Mein Plan wäre nun

1. Verschiedene VPN-Anbieter testen
2. Ein Stück Hardware mit ein Stück Software für ein Routing (worauf ich da ganz ehrlich aktuell am wenigsten Lust habe)
3. Anbieterwechsel zu O2, obwohl ich da Bedenken wegen DS-Lite und der VPN-Verbindung zur Arbeit habe. Irgendwann hatte ich mal aufgeschnappt, dass es einige Probleme mit DS-Lite gegeben hat / gibt?!?

 

[qiller]

Anbieterwechsel zu O2, obwohl ich da Bedenken wegen DS-Lite und der VPN-Verbindung zur Arbeit habe.

Dann mach den Dual-Stack doch zur Wechselbedingung. Du würdest gerne wechseln, aber benötigst wegen der Arbeit einen Dual-Stack-Anschluss (öffentliche IPv4 + IPv6).

 

[Engaged]

o2 hat DS out of the box. 👌

 

[Mijay]

Dann mach den Dual-Stack doch zur Wechselbedingung. Du würdest gerne wechseln, aber benötigst wegen der Arbeit einen Dual-Stack-Anschluss (öffentliche IPv4 + IPv6).

Behalte ich definitiv im Hinterkopf! Mal schauen ob so etwas O2 wirklich mitmacht.

 

[DLMttH]

Brauchst du nicht. Du bekommst einfach Dual Stack bei o2 DSL, obwohl es kein eindeutiger Vertragsbestandteil ist.

 

[grünerbert]

Ein Stück Hardware mit ein Stück Software für ein Routing (worauf ich da ganz ehrlich aktuell am wenigsten Lust habe)

Solltest du dich doch für diese Variante entscheiden: Ein preisgünstiger Einstieg in die OpenWrt Welt wäre der Cudy WR3000S für unter 40 €, der sollte um die 400 Mbit/s WireGuard-Durchsatz schaffen, also mehr als ausreichend für deinen 100/40 Anschluss. Fürs Flashen von OpenWrt gibt es Anleitungen. Wenn du das einmal geschafft hast, kannst du ihn entweder grafisch im Browser (nennt sich LuCI) oder textbasiert in der Kommandozeile via SSH einrichten. Für letzteres kannst du dir direkt im LLM deines Vertrauens die notwendigen Befehle generieren lassen, danach ist es Copy&Paste.
Je nach Vorkenntnissen in Linux, Bash, SSH und Netzwerken ist das keine leichte, aber eine machbare Aufgabe. Du solltest natürlich ein wenig Freude am Lernen mitbringen. Wenn es "einfach nur funktionieren" soll und dir egal ist, wie, dann sind die anderen Varianten sicher vorzuziehen.

VPN-Client, bei welchem Anbieter auch immer. Vielleicht gibt es zu VPN-Anbietern Empfehlungen? Es müsste für Windows 11, iPad und iPhone kompatibel sein.

Nutze selbst kein Always-on VPN, nur selbst eingerichtete WireGuard-Tunnel. Die großen Anbieter haben doch allesamt eigene Apps!? Dann müsstest du darin checken, ob die policy-based routing erlauben.