FritzBox Wireguard Handshake nicht möglich

[DonWulfo]

Guten Morgen zusammen,

ich benötige mal weitere Fachwissen, da ich auf dem Schlauch stehe und das Thema Netzwerk, nicht gerade mein Spezial Gebiet ist.

Ich an einem anderen Standort eine FritzBox 7590, welcher ich über ddnss.de, eine DynDNS Adresse gegeben habe, um z.b. von zu Hause darauf zuzugreifen. Provider ist Toni (BBV) mit Glasfaser.
Dahinter läuft auch ein Server, auf welchen ich ab und a mittels RDP zugreifen möchte.
Auf der FritzBox habe ich WireGuard fürs Handy eingerichtet und auch den Port 3389 für RDP freigegeben.
Das das RDP nicht sicher ist, ist mir bekannt, ist nun erst mal für Tests als 2ter Zugang aber so eingerichtet.

Nun zum Problem:
An einem Tag kann ich über RDP und über WireGuard auf das Netzwerk zugreifen und alles funktioniert korrekt.
Am nächsten Tag, funktioniert wieder nichts davon. WireGuard bleibt immer beim Handshake hängen.
Nach ein paar Tagen funktioniert es dann wieder einen Tag und es geht von vorne los.

Es ist auch egal, von wo ich versuche die Verbindung aufzubauen (eigenes Heimnetz, Mobilfunk, andere Heimnetze).
Am Anfang hatte ich die IPV6 in verdacht, da Toni (glaube ich) nur IPV6 Adressen vergibt.
Es wundert mich dann aber, das es heute funktioniert und morgen wieder nicht.

Hat jemand von euch noch eine Idee?

Ich danke euch schon mal für Tipps.
Gruß
Don

 

[R O G E R]

Auf der FritzBox habe ich WireGuard fürs Handy eingerichtet und auch den Port 3389 für RDP freigegeben.

Wofür?
Wenn du in dem Netzwerk mit Wireguard bist, brauchste keine Portfreigaben.

Haben beide Netzwerke veschiedene IP Nummernbänder oder hängen beide auf 192.168.178?

 

[SSD960]

Warum der offene Port wenn Wireguard aktiviert ist?

 

[kartoffelpü]

Warum der offene Port wenn Wireguard aktiviert ist?

Das das RDP nicht sicher ist, ist mir bekannt, ist nun erst mal für Tests als 2ter Zugang aber so eingerichtet.

Hätte ich zum Testen vermutlich ähnlich gemacht, wenn die Verbindung via Wireshark nur wie ein Blinker funktioniert.

 

[DonWulfo]

Der RDP Port wurde als quasi als 2te alternative eingerichtet, wenn WireGuard nicht funktioniert. Daher hatte ich die Vermutung, dass WireGuard schon mal nicht das Problem ist.
@R O G E R : Die Nummern sind in unterschiedliche IP Bänder, wenn ich ja von Mobil versuche zuzugreifen sowieso.

 

[riversource]

Ich vermute, du hast eine private IPv4 und eine öffentliche IPv6 Adresse, und beide sind bei ddns hinterlegt. Das bedeutet, dass die DNS Abfrage mal IPv4 und mal IPv6 zurückliefert, und ja nach Netzwerk, in dem du dich befindest, funktioniert es mal und mal nicht.

Wenn du keine öffentliche IPv4 hast, dann sorge dafür, dass die auch nicht im ddns hinterlegt wird.

 

[DonWulfo]

@riversource : In so eine Richtung ging meine Vermutung auch. Aber wie gesagt, dass ganze ist nicht gerade mein Fachgebiet, daher die frage, kannst du es mir genauer erklären?
Muss ich hier nun im ddnss Account die IP/Host von der IPV4 Adresse in die IPV6 Adresse ändern?

 

[riversource]

Jedenfalls ist es exakt der Fehler, das sieht man auf den Screenshots. 100.x ist eine private IPv4 Adresse.

Näher beschreiben kann ich das nicht, du hast dir den ddns Anbieter ausgesucht und deinen Router eingerichtet. Du musst den "A" Record im Portal des ddns Anbieters entfernen und dann in deinem Router dafür sorgen, dass er nicht neu angelegt wird. Du wirst ja gemäß Anleitung des Anbieters was in deinem Router angelegt haben, und da muss der IPv4 Teil raus. Wichtig ist, dass der ddns Aufruf am Ende nur noch IPv6 zurückliefert.

Nur als Hinweis, wenn du in einem reinen IPv4 Netz bist, wird es trotzdem nicht funktionieren, weil du von da keine IPv6 Adressen erreichen kannst, aber das ist klar, denke ich. Du brauchst auf jeden Fall eine IPv6 Adresse am Client, damit du die Verbindung aufbauen kannst.

 

[R O G E R]

Ganz doofe frage, warum nutzt du wenn du schon ne FB hast nicht den MyFritz DDNS Dienst?

 

[LuxSkywalker]

Jedenfalls ist es exakt der Fehler, das sieht man auf den Screenshots. 100.x ist eine private IPv4 Adresse.
...

?

Private IP Adress Pools:
Class A = 10.0.0.0/8
Class B = 172.16.0.0/12
Class C = 192.168.0.0/16

Shared ADress (Carrier-Grade NAT):
CGNAT = 100.64.0.0/10

soweit ich das sehe hat er da evtl. 100.1(00) als private IP Adresse angegeben welches aber maximal nur Carrieren für CGNAT zugesprochen wird ^^

pauschal 100.x als "private" IP Adresse zu bezeichnen ist mal pauschal falsch!

evtl. sollte der Thread Ersteller erstmal sein Heimnetz ordentlich mit IP Adressen aus Class A, B oder C versorgen und nicht irgendwelche IP Adressen intern vergeben welche zu solchen Problemen führen!

 

[DonWulfo]

@R O G E R : Dies ist keine doofe frage, da ich mir die mittlerweile auch schon gestellt habe, aber glaube die Probleme wären die gleichen.

@LuxSkywalker @riversource : Die geschwärzten Adressen in dem Screenshot, sind doch meine öffentlichen Adressen, welche mir vom Provider zugewiesen wurden? Zumindest wurden diese von ddnss gleich so übernommen.
Mein Heimnetz und auch das Zielnetz sind in Class C aufgebaut.
Oder verstehe ich dies gerade falsch?

 

[LuxSkywalker]

ah, okay... war für mich so nicht klar ersichtlich - wenn dein internes Netz Class C entspricht ist da zumindest kein Problem vorhanden

 

[DonWulfo]

Meine aktuelle Vermutung liegt aktuell an IPv4/IPv6. zumindest finde ich dazu ein paar Fehler in der google suche, aber teilweise mit anderen Problematiken.
Ist vielleicht ddnss nicht gerade der beste DynDNS Anbieter und ich sollte eher einen anderen nutzen?
Es ist ja im Grunde nichts anderes, als wenn ich eine NAS in mein HeimNetz anbinden würde und auf diese auch von unterwegs zugreifen will.

 

[riversource]

Jemand, der noch im 80er Jahre Style von Class "A", "B", "C" redet, regt sich darüber auf, wenn CGNAT Adressen als "privat" bezeichnet werden. Das muss man ja auch erst mal sacken lassen.

• Class A, B, C ist schon seit den 90ern offiziell obsolet
• CCGNAT Adressen werden sogar im entsprechenden RFC als "private-scope" bezeichnet
• Sind die Adressen hinter einem NAT Router und damit praktisch wie private Adressen nicht von außen erreichbar. Nenne es Shared oder Private, wie du möchtest, es ändert nichts am Prolem.

 

[DonWulfo]

Ping auf den Hostname funktioniert z.B. auch und wird in die öffentlich IPv6 Adresse aufgelöst.
Zugriff über RDP mit dem Port (xxxxxxx.ddnss.de:3389) funktionert aber aktuell wieder nicht, gestern hat es noch funktioniert....

 

[LuxSkywalker]

@riversource

du musst es ja wissen

 

[riversource]

Zugriff über RDP mit dem Port (xxxxxxx.ddnss.de:3389) funktionert aber aktuell wieder nicht, gestern hat es noch funktioniert.

Dann hattest du gestern eine IPv4 Verbindung. Denn bei IPv6 kann es nicht funktionieren, da die Portfreigabe auf den Router zeigt und nicht auf den RDP Server. Bei IPv4 mit einer Portweiterleitung ist das die gleiche Adresse, bei IPv6 ist die Zieladresse aber unterschiedlich. Bei IPv6 hat jedes Gerät eine öffentliche Adresse und muss individuell angesprochen werden. Das heißt auch, entweder macht der RDP Server selber dyndns, oder man benötigt einen ddns Dienst mit Prefix-Aktualisierung. myFritz, dynv6 oder feste-ip bieten sowas.

 

[DonWulfo]

@riversource Vielen dank für deine Hilfe. so was hatte ich mir schon gedacht.
Ich schau mit mal die anderen Anbieter an und teste es dann mal mit diesen.