ComputerBase Menü
Aktuelles

VPN-Verbindung (Router-Firewall)

francy_space

francy_space

Ensign
Registriert
Juni 2020
Beiträge
169
Nach langem Hin und Her kann ich nun auf meiner ConnectBox mit meinem Smartphone eine VPN-Verbindung aufbauen. Mit Wireguard. Allerdings nur, wenn ich im Router die Firewall deaktiviere. Ich will das meine Firewall auf dem Router an ist. Weißt du, auf was ich mich fokussieren sollte, um dieses Problem zu beheben? Soll ich mich in Wireshark einarbeiten, oder Firewalls seperat mir anschauen?
 
Hast du in der Firewall die entsprechenden Ports freigegeben?
 
meinst du die firewall auf dem router, oder die auf dem vserver? auf beiden habe ich den port 1194 freigegeben.
Ergänzung ()

connectbox (unitymedia). ds-lite router.
 
jap, 1194 habe ich bei wireguard mit angegeben. ich weiß, als standardport nutzen die ne fünfstellige zahl. Also ich kann mit meinem Smartphone im Internet über VPN nur surfen, wenn die Firewall im Router aus ist.
 
francy_space schrieb:
Also ich kann mit meinem Smartphone im Internet über VPN nur surfen, wenn die Firewall im Router aus ist.
Zum Vergrößern anklicken....
Was jetzt? Kannst du dich mit aktivierter Firewall nicht mit dem VPN Verbinden oder klappt das und du kannst dann nur nicht über den Tunnel ins Internet? Bitte die Situation klar darstellen.
 
Ich habe einen Portmapper auf dem vServer aufgesetzt. Die Pakete gelangen von dort zum Heimrouter (ConnectBox). Bei der ConnectBox habe ich bei der Porfreigabe als Quell-IP die IPv6-Adresse des vServers eingegeben, und al Ziel-IP die IPv6 des VPN-Servers, der per LAN am Router hängt. Als Quell-Port habe ich im Router, den Port angegeben, den ich in meinem vServer in der Firewall freigegeben habe. Sprich 1194. Als Ziel-Port habe ich den Port 1194 angegeben, den ich bei der Wireguard-Installation auf meinem Raspberry (VPN-Server) mitangegeben hatte.

--> Sprich, ich habe im Portfilter der Connect Box nur eine Regel definiert.

Ist nun die Firewall auf meinem Router deaktiviert, so kann ich mich mit meinem Handy per Wireguard ins VPN-Netz einwählen und surfen. Sobald ich die Firewall im Router (ConnectBox) aktiviere, indem ich es nur anzuklicken brauche, kann ich nicht mehr im Internet surfen. Trotz VPN-Einwahl.
 
Zuletzt bearbeitet:
francy_space schrieb:
Als Quell-Port habe ich im Router, den Port angegeben, den ich in meinem vServer in der Firewall freigegeben habe. Sprich 1194.
Zum Vergrößern anklicken....
Das dürfte der Fehler sein. Setze den Quell-Port in der ConnectBox mal auf "beliebig".
Der vServer bekommt zwar die Pakete von deinem Handy auf Port 1194 und schickt sie auch an Port 1194 am VPN-Server.
Der Port von dem aus sich der vServer mit dem VPN-Server verbindet ist aber wahrscheinlich ein zufällig gewählter anderer Port.
 
  • Gefällt mir
Reaktionen: brainDotExe und francy_space
Ich habe mir von einem Blogger sagen lassen, dass man den Quellport mitangeben muss, um mit aktivierter Router-Firewall eine VPN-Verbindung aufzubauen. Zumindestens ist das auf der Connect Box so. Er hat mir gesagt, dass man den Quellport erstmal "finden" musss, Wie finde ich denn den Quellport, der zufällig verteilt wird?

Mit beliebigem Quellport habe ich es schon versucht. Auch dann kann ich mit aktivierter Router-Firewall nicht per VPN surfen.
 
Ipv6 braucht keine ports, die sind in der Adresse schon drin, oder?
Und so sollte in der Firewall nur die Verbindung erlaubt werden, oder habe ich das mit ipv6 noch nicht verstanden?
 
francy_space schrieb:
Mit beliebigem Quellport habe ich es schon versucht. Auch dann kann ich mit aktivierter Router-Firewall nicht per VPN surfen.
Zum Vergrößern anklicken....
Was passiert wenn die VPN-Verbindung getrennt ist, die Firewall an ist und du versucht die VPN-Verbindung herzustellen? Wird die sie hergestellt?

chrigu schrieb:
Ipv6 braucht keine ports, die sind in der Adresse schon drin, oder?
Zum Vergrößern anklicken....
Du hast das mit IPv6 tatsächlich noch nicht verstanden. ;)
IPv6 ersetzt nur IPv4. Ports gibt und braucht es weiterhin und funktionieren wie immer.
 
  • Gefällt mir
Reaktionen: brainDotExe, francy_space und Bob.Dig
Ist die VPN Verbindung getrennt, die Firewall aktiviert und ich eine VPN Verbindung starten will, so sehe ich im Datentransfer der Wireguard App das Bits (B) versendet werden, aber nichts empfangen wird. Immer wenn im Datentransfer nichts empfangen wird, kann ich nicht surfen.

Ich nutze Wireguard als App. Dort habe ich einen lokalen Netz zugewiesen bekommen (10.6.0.1). Mein Client nutzt die lokale IP-Adresse 10.6.0.3/24
Zu dieser lokalen Adresse wird auch ein "Eingangsport" angezeigt.

Als Endpoint habe ich die IPv4 Adresse meines vServers angegeben. Sprich alle Anfragen gelangen zum vServer. Ich frage mich gerade, ob ich als Quellport nicht den "Eingangsport" von Wireguard eintragen soll. Ich werde das definitiv morgen versuchen.
 
Zuletzt bearbeitet:
Hast du denn bei der Erstellung der Portfilter-Regel auf deiner "Connect Box" das richtige Protokoll (UDP bzw. TCP) ausgewählt? WireGuard nutzt als Protokoll "UDP". Nicht, dass du aus Versehen "TCP" als Protokoll eingestellt hast.

Bei der Angabe der Quell-IP auch ganz sicher die richtige IPv6-Adresse deines vServers eingetragen!?

Die "Traffic Policy" bei der erstellten Portfilter-Regel muss natürlich auf "Ja" eingestellt werden.

Unten mal ein Link, wo es genau um dein Thema geht.
Es wird gezeigt wie man bei einer "Connect Box" einen Heimserver über das Internet erreichbar macht,
wenn dieser eine eigene öffentliche IPv6-Adresse hat.

Hier der Link:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: francy_space
@Datax: Also, der Quellport kann eigentlich nur der Port, den ich auf der Firewall des vServers freigegeben habe, oder der zufällig lokal vergebene Eingangsport von Wireguard sein. Ersteres erscheint mir logischer. Ich bin mir relativ sicher, die richtige IP-Adressen eingegeben zu haben. Ich nehme schwer an, dass ich die IPv6-Adresse des vServers nicht sachgemäß freigeschalet habe. Der ist von IONOS. Dort ist das ganze nochmal komplizierter. Kennst du einen guten vServer-Anbieter. Ich habe bisher netcup und contabo gehört.
 
francy_space schrieb:
@Datax: Also, der Quellport kann eigentlich nur der Port, den ich auf der Firewall des vServers freigegeben habe, oder der zufällig lokal vergebene Eingangsport von Wireguard sein. Ersteres erscheint mir logischer. Ich bin mir relativ sicher, die richtige IP-Adressen eingegeben zu haben. Ich nehme schwer an, dass ich die IPv6-Adresse des vServers nicht sachgemäß freigeschalet habe. Der ist von IONOS. Dort ist das ganze nochmal komplizierter. Kennst du einen guten vServer-Anbieter. Ich habe bisher netcup und contabo gehört.
Zum Vergrößern anklicken....

Das kann meiner Ansicht nach eigentlich nicht mit einer nicht sachgemäßen Freischaltung der IPv6-Adresse des vServers zu tun haben. Du hast ja selbst herausgefunden, dass die VPN-Verbindung per "WireGuard" funktioniert, wenn du die Firewall auf deiner "Connect Box" ausschaltest. Wenn auf deinem vServer etwas nicht richtig konfiguriert wäre, dann würdest du also nicht bei ausgeschalteter Firewall (Connect Box) erfolgreich den VPN-Tunnel aufbauen können.

Vermute da ganz klar die Firewall-Regel, weil die VPN-Verbindung funktioniert,
wenn die Firewall ausgeschaltet ist und nicht funktioniert, wenn diese eingeschaltet ist und
dann also deine erstellte Firewall-Regel berücksichtig wird.

Du kannst ja mal der "SSH" auf deinen VPN-Server (Raspberry Pi) gehen und und per "tcpdump" den Traffic mitschneiden, der reinkommt, wenn du den WireGuard-VPN-Tunnel aufbaust. Dazu musst du natürlich vorher die Firewall auf deiner "Connect Box" ausschalten.

"tcpdump" ist so das Linux-Pendant zu "Wireshark" unter "Windows".

Falls "tcpdump" noch nicht installiert sein sollte,
dann einfach per "apt install tcpdump -y" nachinstallieren.

Mit folgendem Befehl kannst du dann den VPN-Traffic mitschneiden und sehen,
von welcher IPv6-Adresse der Traffic beim "Raspberry Pi" reinkommt:
tcpdump -i eth0 udp and port 1194 -nv

Hier also mal angenommen, dass die Netzwerkkarte deines RasPi "eth0" ist,
sollte eigentlich so sein. Kannst du per "ip addr" ja auch nachschauen,
welchen Namen deine Netzwerkkarte hat.

Danach weißt du, von welcher IPv6-Quell-IP der VPN-Traffic beim RasPi reinkommt und kannst
diese dann in die Firewall-Regel auf deiner "Connect Box" eintragen.

Auf jeden Fall auch drauf achten, dass du in der Firewall-Regel als Protokoll "UDP" auswählst,
also nicht "TCP".

In der Firewall-Regel dann mal folgende Einstellungen machen:
Quell-IP = IPv6-Adresse deines vServers
Quell-Port = beliebig (weil wird dynamisch auf dem vServer festgelegt)
Ziel-IP = IPv6-Adresse deines RasPis (WireGuard-VPN-Server)
Ziel-Port = 1194
Protokoll = UDP
 
  • Gefällt mir
Reaktionen: francy_space
@Datax: Interessant, jetzt klappt das, nachdem ich Wireshark mit in Spiel gebracht habe. Den Quellport habe ich auf beliebig eingestellt. genau so, wie du es gesagt hattest. Komisch. Genau so, hatte ich es davor eingestellt. es hat aber nicht geklappt. jetzt kann ich mit der firewall eine vpn-verbindung aufbauen. vielen dank!
 
  • Gefällt mir
Reaktionen: Datax
francy_space schrieb:
@Datax: Interessant, jetzt klappt das, nachdem ich Wireshark mit in Spiel gebracht habe. Den Quellport habe ich auf beliebig eingestellt. genau so, wie du es gesagt hattest. Komisch. Genau so, hatte ich es davor eingestellt. es hat aber nicht geklappt. jetzt kann ich mit der firewall eine vpn-verbindung aufbauen. vielen dank!
Zum Vergrößern anklicken....

Nichts zu danken, gern geschehn.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
TP-Link ER605 VPN Router (Standalone) hinter FritzBox mit WireGuard - nur Router IP von außen erreichbar
Antworten
6
Aufrufe
308
Tepesch
T
djbergwerk
Fritz!Box an Fritz!Box VPN einrichten.
2
Antworten
22
Aufrufe
1.041
djbergwerk
djbergwerk
Sani
Wie kann ich ein Split Tunneling auf IP-Ebene zentral am Gateway/Router einrichten? Geht das mit Ubiquiti GW oder Opensense?
Antworten
11
Aufrufe
485
till69
T
A
VPN Verbindung - Zugriff auf Geräte hinter Fritzbox nicht möglich
2 3
Antworten
47
Aufrufe
2.062
riversource
R
H
VPN-Verbindung zur falschen Fritz!Box
Antworten
7
Aufrufe
1.108
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz