Fritzbox IPSec VPN mit Wireguard ablösen, Anleitungen funktionieren nicht

[riversource]

Tach, wo ist das bei AVM so dokumentiert?

Es steht am Anfang unter "Voraussetzungen / Einschränkungen" und häufiger mal in diesen kleinen Info Kästchen in den Anleitungen. Was wichtig ist, dass es keine VPN Konfigurationen mit überschneidenden IP-Bereichen gibt. Weil man aber die VPN Konfigs nicht sauber entfernt bekommt - wie beschrieben - bleibt nur der Werksreset.

Sollte ich lieber komplett auf WG umsteigen?

Das musst du entscheiden, ob es das wert ist. WG kann schneller sein, aber die Umstellung bedeutet Aufwand, besonders in solchen Konstellationen, wie hier im Thread, mit Über-Kreuz-Verbindungen mehrerer Standorte.

 

[conf_t]

Neue Update:

Habe jetzt die Tunnel wie folgt eingerichet
(auch in der Reihenfolge eingerichtet)

A (als "Filiale") <-> C (als "Zentrale")
B (als "Filiale") <-> C (als "Zentrale")
A (als "Filiale") <-> B (als "Zentrale"). Export der Konfig von A nach B und daraus eine erweitere Konfig für A erstellt und dort wieder imporiert.

Die große Herausforderung war bei B <-> C, dass der in B geöffnete UDP-Port nicht direkt sichtbar wird und natürlich eine Portweiterleitung in meinem Szenario braucht. Einen unbekanntn Port in die Weiterleitung einzurichten, ist nicht so einfach. Habe dazu UPnP-Portweiterleitung eingerichtet,, auf der Internet-FB geschaut, welchen Port die FB versucht zu öffnen und ihn schnell, während der 6 (Fehl-)Versuche als Portweiterleitung konfiguriert. Dann klappte es und UPnP, wieder deaktiviert.

Von A kommt man auch in alle WAN-Netze (192.168.10x.0/24), natürlich aus dem WAN Netz nirgends wohin
Von B kommt man auch in alle WAN-Netze (192.168.10x.0/24),, natürlich aus dem WAN Netz nirgends wohin
Von C komme ich aktuell in ein WAN-Netz (logisch, steht ja nicht in der Konfig der Zentrale und dort konnte ich auch nie mehr als 1 entferntes Netz angeben).

Ich frage mich, wie ich der Konfig beibringe, dass 192.168.102.0/24 im Standort B zu finden ist.....


Also, wie kann man die Konfig in der "Zentrale" C so erweitern (CLI wäre hier toll), damit die roten Ergänzungen drin sind:
[Interface]
PrivateKey = Key1
ListenPort = 51137
Address = 192.168.3.1/24
DNS = 192.168.3.1,192.168.0.1,192.168.2.1
DNS = fritz.box

[Peer]
PublicKey = Key2
PresharedKey = Key3
AllowedIPs = 192.168.0.0/24
PersistentKeepalive = 25
[Peer]
PublicKey = Key4
PresharedKey =Key5
AllowedIPs = 192.168.2.0/24,192.168.102.0/24
PersistentKeepalive = 25



BTW hier hatte die EInrichtung von B ohne Werksreset geklappt.

 

[riversource]

Das geht nur mit IPSec, aber aktuell nicht mit Wireguard. Auf Seite der Zentrale kannst du keine zusätzlichen Subnetze anlegen.

 

[conf_t]

Würde der Assistent das evtl Mitmachen, wenn ich die WG Konfig lösche an der Zentrale und die zuvor gesicherte und editierte Konfig der Zentrale wieder einlese, wenn ich unter

"Benutzerdefinierte Einstellungen festlegen -> Wurde dieses WG Konfig auf der der Gegenseite erstellt? "
auf "ja"klicke?

Oder anders gefragt, die zuvor gepostete Konfig würde für WG grundsätzlich gehen?

 

[riversource]

Gute Frage, das hab ich noch nie probiert.

 

[conf_t]

So, habe eine Weg gefunden. Die Gängelungen seitens AVM gehen ja einem auf den Zeiger, alles im Namen der "Einfachheit" und "Sicherheit", bis von den an sich tollen Funktionen nichts mehr übrig bleibt.

(BTW, wer mir das nach machen will, macht das auf eigene Gefahr! Wer nicht weiß was er tut riskiert seine FB)

• Globale Konfig exportiert.
• Globale Konfig (Abschnitt vpncfg) editiert
• Prüfsumme der Konfig neu berechnet und unten im File eingetragen
• Konfig geladen.

Lööft:

Und natürlich werden jetzt für die Zentrale auch 2 Netze in der Filiale angezeigt:

Zusammenfassend kann ich folgendes sagen:

1. Mein Vorhaben ist möglich, alles läuft wie es sollte (Fast alles, die VPN Logins für Mobile Endgeräte fehlt nocht, aber das wird wohl eher ein Spziergang, weil der von AVM vorgesehene Usecase.
2. Es ist entgegen der ersten Troubleshootergebnisse scheinbar nicht nötig einen Werksreset zu machen
3. Bei zuviele rekonfigurierten WG-VPNs, verschluckt sich wohl gelegentlich die FB an den Keys
4. Achte auf eine saubere IPv6-Konfig und IPv6-DynDNS. Gerade der Präfix muss ordentlich an die kaskadierte FB weitergegeben werden. Die Default-Einstellungen geben das nicht her. „Ein Haken bei IPv6 reicht da nicht“.
5. Bei "Filialen" hinter Routerkaskaden ist es tricky den UDP-Port für die benötigte Portweiterleitung zu ermitteln. Das muss man während des Verbindungsaufbaus unter "Sicherheit" nachschauen und gleichzeitig während des ersten Verbindungsaufbaus als Weiterleitung einrichten. Es beschleunigt bereits eine "dummy" Weiterleitung für WG eingerichtet zu haben, so dass man nur noch den Portändern muss.
6. Um zu bekommen was man will, muss man sich über die künstlich und willkürlich gesetzten Grenzen von AVM hinwegsetzen und für "Spezielleres" die Konfig editieren, wie man an Prüfsummen kommt steht im Internet.
7. Es ist maximal hilfreich sich temporär auf alle involvierten FRITZ!Boxen eine Remote HTTPS Zugang für einen User mit 2FA-App anzulegen. Sonst muss Remote ständig jemand auf die Knöpfe drücken bei Änderungen. Natürlich nicht vergessen den externen HTTPS Zugang wieder zu deaktivieren.
8. Es scheint besser zu sein, wenn keines der Netze sich mit den Default FB-Netzen (192.168.178.0/24 und natürlich 192.168.188.0/24 und 192.168.189.0/24 überschneidet)