ComputerBase Menü
Aktuelles

OpenWRT mit Wireguard Client und Server hinter FritzBox

K

Kratzlos

Cadet 2nd Year
Registriert
Dez. 2021
Beiträge
16
Hallo zusammen,

ich beschäftige mich aktuell mit OpenWRT und allgemein der Verbesserung meines Verständnisses von iptables etc. Ich habe mir folgende Aufgabe gesetzt:

Der OpenWRT-Router hängt hinter einer FritzBox 5530. Diese soll mittelfristig nur noch wenige Geräte verwalten. OpenWRT ist über den WAN-Anschluss an die FritzBox angeschlossen. Mein Ziel ist aktuell, dass alle Geräte, die an OpenWRT hängen, über ein Mullvad-VPN (Wireguard Client auf OpenWRT) ins Internet gehen. Zusätzlich möchte ich mich von unterwegs ebenfalls per Wireguard in das Heimnetz tunneln, um auf die Geräte dort und das ausgehende Mullvad-VPN zuzugreifen.

Die Verbindung von der Fritzbox zum OpenWRT steht. Hier habe ich eine statische Route angelegt, das klappt.

Der Mullvad-Wireguard-Client funktioniert ebenfalls bereits.

Was ich nicht hinbekomme: den Zugriff vom Smartphone auf den Wireguard-Server auf dem OpenWRT. Siehe hier, grüne gestrichelte Linie:

Fritzbox-Openwrt.png

Ganz genau genommen funktioniert der Handshake zwischen Wireguard-Server und Peer nicht. In der FritzBox ist der Port 51820 für den WAN-Port des OpenWRT freigegeben.
Es wird wahrscheinlich ein Firewall-Problem im OpenWRT sein. Irgendwie ist diese Firewall aber noch zu unverständlich für mich.
Wo kann ich nach dem Fehler suchen, wer hat eine Idee?
Merci!

Edit: das sind die Interfaces und die Traffic Rule, die ich aktuell angelegt habe:

Bildschirmfoto vom 2023-12-16 20-36-44.png


Bildschirmfoto vom 2023-12-16 20-36-22.png
 
Zuletzt bearbeitet: (Screenshots ergänzt)
Was sagen denn die Logs beim Zugriffversuch?
 
Den Fehler mit TCP statt UDP hatte ich schon, der ist aber ausgemerzt :)

Ich habe oben noch zwei Screenshots ergänzt. Nach Logs schaue ich mal. Welche wollt ihr sehen? Die aus dem OpenWRT oder vom WIreguard-Client auf dem Smartphone?
 
Genau das verstehe ich zum Beispiel nicht. Das Ziel ist doch das Wireguard-Interface bzw. Subnetz. Der Port 51820 soll doch aber am WAN geöffnet sein, oder? Darum ist bei mir der Source Port 51820 am WAN geöffnet.

In der Praxis ist der geöffnet Destination Port leider auch nicht die Lösung.
 
Wo ist der Sinn des 10er Netzes? OpenWRT als LAN Client und VPN Gateway wäre einfacher.
 
Mir geht es ja auch um den Lerneffekt, nicht darum, es möglichst einfach zu haben :). Ich will das verstehen, vor allem die Konfiguration der Firewall. Irgenwann soll die Fritzbox nur noch alles an den OpenWRT weitergeben und dieser verschiedene VLANs bereitstellen. Aber das ist noch Zukunft.
 
Das VPN-Device (Netzwerk) muss nach dem Hinzufügen von Clients auf dem OpenWRT Router neu gestartet werden. Sicherheitshalber kannste auch den kompletten Router rebooten.

Die Firewall arbeitet mit "zones"... das hier zu erklären, ist sinnlos. Einfach bei OpenWRT die Doku dazu lesen.

Der Wireguard Client für iOS ist auch sehr zickig. Teilweise hatte ich fehlerhafte Handshakes, wenn ich das über die Software / App gemacht habe. Unter Einstellungen, VPN gibt es so einen ON/OFF Schalter, damit hats meistens funktioniert.

Ich würd übrigens nach draußen auch nicht unbedingt den Port 51820 (Standard) nutzen. Der wird als erstes von Scannern abgegrast... da haste n großes Logfile. Nimm irgendwas zufälliges zwischen 30000 und 60000 und leite es mit der Fritzbox auf den 51820 um, dann kannste OpenWRT als Standard konfigurieren und musst nur die Client-Config anpassen.

Falls alles nix hilft, kannste dir mal haarklein dieses Video anschauen, da ist das Schritt für Schritt erklärt und auch die Probleme jeweils erläutert.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Du meinst das Masquerading an der Mullvad Zone? Ich hätte auch gedacht, dass das aus muss, dann klappt aber die Internetverbindung über Mullvad VPN nicht mehr.
Ergänzung ()

sandreas schrieb:
dieses Video anschauen
Zum Vergrößern anklicken....
Das Video kenne ich und ich denke und hoffe, dass ich das auch so umgesetzt habe bzw. hatte. Funktioniert aber trotzdem nicht. Wenn ich das Wireguard-Interface der LAN-Zone zuordne, klappt es trotzdem nicht. Und das ist der einzige Unterschied zum Video.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CoMo
OpenWrt als Wireguard Client
Antworten
12
Aufrufe
461
CoMo
CoMo
T
Kann den Openwrt Router nicht aus dem Netzwerk der Fritzbox aufrufen.
2
Antworten
23
Aufrufe
3.367
bsod90
B
J
Tp Link MR600 VPN mit wireguard
Antworten
11
Aufrufe
977
norKoeri
N
B
Fritzbox 7590 AX Wireguard und DS-Lite (Drillisch)
2 3
Antworten
46
Aufrufe
1.572
Black-Angel
B
X
Zusätzliche Sicherung Ports Fritzbox / Proxmox / Wireguard
Antworten
11
Aufrufe
1.212
xastel
X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz