VPN zur Fritzbox will nicht gelingen

[Don_Tralle]

Ich habe es über WireGuard versucht, m.M.n. erfolgreich eingerichtet in der Fritzbox, die Config Datei runter geladen und in WireGuard importiert. Verbindung kommt zustande, aber ich kann nichtmal die Fritzbox anpingen. Auch den Netzwerkspeicher erreiche ich nicht.

Irgendwas mache ich falsch. Was z.B. bedeutet das Feld Teilnehmer und was ist die erlaubte IP? Muss ich die anpassen? Konnte bei der Fritzbox nix einstellen, sehe aber in WireGuard dieses Feld und frage mich, ob ich da noch was ändern muss im Nachgang.

Auch wurde nicht wie bei IPSec nach Benutzer und Passwort gefragt......also ich blick überhaupt nicht durch. Hat jemand nen guten Guide? Bei AVM endet jeder Guide mit der aufgebauten Verbindung....da bin ich ja auch schon, aber wenn nichtmal ein ping funktioniert stimmt was nicht.


Ziel soll es sein von außen auf eine an der Fritzbox angeschlossene USB Festplatte zuzugreifen, also NAS Funktionalität auf der Fritzbox selbst.

Danke schonmal für eure Hilfe

 

[SpiII]

Was z.B. bedeutet das Feld Teilnehmer und was ist die erlaubte IP? Muss ich die anpassen?

Wo genau?

Auch wurde nicht wie bei IPSec nach Benutzer und Passwort gefragt......also ich blick überhaupt nicht durch.

Normal.

Wireguard baut die Verbindung auf und du kommst via Browser nicht auf die Weboberfläche/IP der Fritzbox?
Wenn du per Wireguard verbunden bist, zeigt es die Fritzbox in der Übersicht bei "Fernzugang" auch mit einem grünen Punkt an? (dauert 10-15sek nach herstellen der Verbindung)

 

[till69]

Einzelgerät oder LAN2LAN?

Wenn Handy, WLAN am Handy mal aus gemacht?

 

[Don_Tralle]

Einzelgerät oder LAN2LAN?

Wenn Handy, WLAN am Handy mal aus gemacht?

Einzel, PC / Win11 an anderem Standort.

Wo genau?

In WireGuard ist ja rechts ein "Fenster" da sind 2 Bereiche, der obere Schnittstelle, der untere Teilnehmer. Unter bearbeiten könnte ich die IP Adresse z.B. bearbeiten. Warum und muss ich das anpassen?

Wireguard baut die Verbindung auf und du kommst via Browser nicht auf die Weboberfläche/IP der Fritzbox?
Wenn du per Wireguard verbunden bist, zeigt es die Fritzbox in der Übersicht bei "Fernzugang" auch mit einem grünen Punkt an? (dauert 10-15sek nach herstellen der Verbindung)

Bin aktuell nicht am Standort, müsste ich dann mal mit nem 2. Laptop vor Ort testen. Einer im Wlan auf der Fritzbox nach dem grünen Punkt ausschau haltend, der andere über Handy Hotspot von außen via VPN drauf....mal schaun ob ich das irgendwie hin bekomme.

 

[SpiII]

In WireGuard ist ja rechts ein "Fenster" da sind 2 Bereiche, der obere Schnittstelle, der untere Teilnehmer. Unter bearbeiten könnte ich die IP Adresse z.B. bearbeiten. Warum und muss ich das anpassen?

Da bin ich überfragt. Hat bei mir am Laptop und Smartphone direkt funktioniert mit den importierten Daten.

Bin aktuell nicht am Standort, müsste ich dann mal mit nem 2. Laptop vor Ort testen. Einer im Wlan auf der Fritzbox nach dem grünen Punkt ausschau haltend, der andere über Handy Hotspot von außen via VPN drauf....mal schaun ob ich das irgendwie hin bekomme.

Du musst nicht am Standort sein zum testen. Nutze dein Smartphone im eigenem Heimnetz. Wireguard einrichten und testen (WLAN am Smartphone kann auch aktiviert bleiben). Wenn es dann via WLAN/mobile Daten funktioniert, liegts wohl am Internet(zugang) auf der "anderer Standort"-Seite.

 

[00Julius]

Ein paar grundsätzliche Anmerkungen zu Wireguard per Fritz!box aus meiner Erfahrung:

- Die IP-Adressen des Netzwerks vor Ort und zuhause müssen sich unterscheiden
Da bei allen Fritzboxen die Standard-Adresse 192.168.178.1 ist, und man nicht davon ausgehen kann, dass dies im fremden Netz geändert wird, sollte man die IP-Adresse der eigenen Box (bei mir 192.168.66.1) ändern.

- Wenn der Internet-Anschluss zuhause nativ nun über IPv6 läuft und das entfernte Netz nur über IPv4, dann funktioniert Wireguard meiner Erfahrung nach nicht.
Das habe ich mal festgestellt, da das VPN am selben Standort per Mobilfunk (IPv6) ging, aber per WLAN (Hotel, IPv4 only) nicht.

Es kann natürlich sein, dass ich einfach zu doof bin, und es eine einfache Lösung gibt, die ich nicht kenne.

 

[conf_t]

@00Julius Passt schon mit IPv6. Ist auch meine Erfahrung. Man sollte idealerweise immer sicherstellen, dass das Ganze WG über Public IPv6 läuft, inkl. DDNS und zusätzlich IPv4. Denn eines von beiden geht immer aber nicht zwangsläufig das andere.

 

[imperialvicar]

Ich hab ipv6 vom Provider deaktivieren lassen
Alles läuft perfekt

 

[00Julius]

@imperialvicar
Wenn das der Provider mitmacht, dann ist das natürlich eine Lösung.
Aber gerade bei GF ist IPv6 meist obligatorisch.

 

[hildefeuer]

Nein händisch etwas ändern am konfig file muss man nicht.
Aber man muss zuvor die ip der Fritze ändern von 192.168.178.1 in 192.168.xxx.1 in eine Zahl, die kein Router nutzt. Also 192.168.2.1, 192.168.1.1, 192.168.0.1 sind tabu, weil von anderen Routern genutzt.
Des weiteren muss man den dchp Bereich so setzen, das die VPN Clients noch IPs oberhalb des Bereichs frei haben. Also wenn dort 2 bis 254 drin ist, auf 10 bis 150 ändern. Dann werden die vpn Clients oberhalb 150 eingefügt. 255 ist ebenfalls tabu.
Wenn es dann nicht funktioniert über meine ip nachschauen, ob man eine ipv4 und ipv6 hat.
Mit DS-Lite, Carrier-Grade-NAT wird es problematisch.
Der TE hat leider gar nix über die Provider und dessen Zugans-Art gepostet.
Mit Dual Stack beim Client geht es immer, auch wenn der VPN-Server FB DS-Lite oder CGN Zugang hat.
Bei Mobil Netzen ist häufig die apn nicht auf ipv4/ipv6.
Ich würde immer einen Zugang mit Smartphone via Mobil-Netz testen wollen. Dann weiss man ob die Konfig in der (Server) Fritze in Ordnung ist. Kann sich dann auf die Fehlersuche beim Client konzentrieren. Weil man dann weis, das die Konfig der eigenen Heim Fritze o. K. ist.
Einige Hotspots der Smartphones machen nur ipv4.
Na klar myFritz Anmeldung muss auch erfolgt sein.
Das hier lesen um zu verstehen:
https://www.elektronik-kompendium.de/sites/net/2010211.htm#:~:text=Dual Stack oder Dual Stack,in IPv6-Paketen getunnelt wird.

 

[Slayn]

Könnte auch ein DNS Problem sein, kannst ja den DNS Service von AVM nutzen. Kann man auch in der Fritte einstellen.

 

[Helmut-H]

Ich hab ipv6 vom Provider deaktivieren lassen
Alles läuft perfekt

@imperialvicar
Wenn das der Provider mitmacht, dann ist das natürlich eine Lösung.
Aber gerade bei GF ist IPv6 meist obligatorisch.

Hi,

gerade der Verzicht auf die Möglicheit eine Verbindung sowohl über IPv4 oder IPv6 herstellen zu können ist sehr ungünstig.
Beim Mobilfunk bekommst du meist eine reine IPv6-Adresse, damit ist es NICHT möglich eine Verbindung zu einer IPv4-Adresse herzustellen.
Genauso auch umgekehrt. Ich habe alle Varianten schon mal ausprobiert.
Also nimm einen Dual-Stack Zugang wann immer das Möglich ist. Damit hälst du dir alle Möglichkeiten offen.

Zu den Themen habe ich was im Leitfaden zur Heimnetzwerktechnik für den Heimanwender geschrieben:
https://c.gmx.net/@418026224904837772/r1Gxt7MnQnG670tj2JFqYw

 

[hildefeuer]

"Ich hab ipv6 vom Provider deaktivieren lassen" = totaler Unsinn. Das heist das Du von DG Zugängen kein vpn aufbauen kannst.
Das ist keine Lösung, sondern Verschlimmbesserung.

 

[Don_Tralle]

Also......der grüne Punkt wird nicht grün....ich denke der Client sagt mir zwar, dass er verbunden ist, ist er aber nicht, zumindest nicht auf der Weboberfläche der Fritzbox.
Ich checke mal die IP4 / IP6 Sache. Was ich anhand der Ip Adressen sagen kann: Bei mir Zuhause ist das Netz 192.168.2.XXX und das Zielnetzwerk hat den Standardbereich von 192.168.178.XXX, also die unterscheiden sich. Sollte doch dann funktionieren, oder?

Ich teste hier noch ein bisschen rum, bin aktuell vor Ort. Danke schonmal für den Input

 

[dms]

.. mir hat die Fritzbox im Juli mal ne komische Konfig generiert es fehlte

Endpoint=

die ganze Zeile, Sektion PEER, mit dem DynDNS-Name war nicht dabei

 

[Don_Tralle]

Ich hab eben alles nochmal neu gemacht, einfach ne neue Verbindung Test2 eingerichtet.......grüner Punkt ist da, ping und Netzwerkzugriff geht...zumindest hier vor Ort. Bei mir Zuhause könnte das mit IPV6 ein Problem sein, aber das finde ich raus. Ich glaub meine Fritzbox zuhause ist auf IPV4 only eingestellt. Ich hoffe das gibt keine Probleme mit DynDNS und co wenn ich IPV6 aktiviere?
Jedenfalls geht WireGuard jetzt prinzipiell. Hab wohl beim ersten mal was falsch gemacht

 

[imperialvicar]

"Ich hab ipv6 vom Provider deaktivieren lassen" = totaler Unsinn. Das heist das Du von DG Zugängen kein vpn aufbauen kannst.
Das ist keine Lösung, sondern Verschlimmbesserung.

Ich war jetzt am DG Dachgeschoss Zugang und von dort komme ich ohne Probleme per WireGuard nach Hause zum Router per Mobilfunk

 

[Don_Tralle]

So, so gut wie es vom mobilen Hotspot aus geklappt hat, so schlecht klappt es von mir zuhause aus.
Leider kann ich nicht sagen, ob die Anzeige auf der Fritzbox grün wird.....Aber WireGuard baut die Verbindung angeblich erfolgreich auf von zuhause aus, aber nichtmal der ping geht durch.

Habe bei meiner Fritzbox zuhause IPV6 aktiviert, weiß nicht ob ich da noch was einstellen muss anschließend.

Also nochmal @

hildefeuer​

Ip Bereich Ziel Fritzbox 192.168.178.1, IP Bereich Client Netzwerk 192.168.2.1
DHCP muss ich schauen, kann sein, dass ich da bis 254 / 255 eingestellt habe, kann ich aber ändern.

Provider ist einmal eine Fritzbox mit O2 Sim Karte und einmal eine Fritzbox mit O2 DSL


Beim Rest bin ich vom Verständnis her erstmal raus Die Begriffe lese ich zum ersten mal Also über mobil Hotspot gehts prinzipiell, vom Netzwerk aus Client-Seitig leider nicht....hier bräuchte ich noch input, danke !



Alternativ, wenn es mit VPN schwierig wird würde auch eine FTP Verbindung oder ähnliches funktionieren, WinSCP z.b.? Ich brauche ja "nur" Zugriff von außen auf die Netzwerkfestplatte die an der Fritzbox hängt. Also mit Portweiterleitung für Remotedesktop und so bin ich vertraut...habe leider keinen Windows PC / Server der 24/7 läuft, sonst würde ich über diesen mit Remotedesktop auf das Netzwerk zugreifen.

 

[Don_Tralle]

Ich glaub meine Fritzbox ist von außen nicht erreichbar

Ist ne 6850 mit O2 LTE Karte, bei MyFritz steht hinter IP4 zwar "nicht aus dem Internet erreichbar", aber auch über IPv6 komme ich nur intern rauf, also wenn ich vor Ort bin und im Wlan bin. Wechsle ich auf den Hotspot meines Handy, dann geht nichts mehr, egal ob über MyFritz oder ob ich die IP Adresse manuell eingebe.
Muss ich an der Fritzbox noch was einstellen, damit ich auf die von außen zugreifen kann?

 

[conf_t]

Vielleicht habe ich es über sehen, aber bei Mobilfunk geht man meist über CGNAT ins Internet. Da kann man von "außen" nicht drauf zugreifen, weil es keine öffentliche IPv4 gibt. Welche Internet IP gibt es dein LTE-Router aus? Ist das eine 10.100.x.x? Oder gar eine 10.x.x.x? Dann ist das zu 100 % CGNAT.

Und wenn kein IPv6 im Mobilfunknetz bereitgestellt wird, geht das als Alternative auch nicht. Wie fangen denn die ersten 4 zeichen deiner IPv6 an? Nicht dass das nur ne Link Local Adresse ist.

Mobilfunkrouter zu nutzen um von außen drauf zu kommen ist denkbar schlecht. Der VPN Dienst muss auf der FB laufen, die eine Public IPv4 und idealerweise auch eine Public IPv6 hat.

Das Gute WG braucht nur 1 Server, der für alle erreichbar ist um dann auch mehrere Verbindungen dorthin aufzubauen. Aber dieser 1 Server muss über einen Public-IP erreichbar sein.