Wireguard - Zugriff mit IPv4 trotz Dual-Stack

[Ack der III]

Also das bedeutet, du kommst zwar über das VPN auf deinen Router, allerdings nicht in das Heimnetz?
Muss eventuell in der Firewall der Fritzbox noch was eingestellt werden? Denn gerade das sollte ja funktionieren und erst recht, wenn es andersrum funktioniert??

 

[Vito0912]

Also das bedeutet, du kommst zwar über das VPN auf deinen Router, allerdings nicht in das Heimnetz?

Das ist korrekt.

Muss eventuell in der Firewall der Fritzbox noch was eingestellt werden? Denn gerade das sollte ja funktionieren und erst recht, wenn es andersrum funktioniert??

Über Feedback wie das geht, wäre ich sehr froh
Unter Freigaben kann ich ja sowieso nur öffentliche Ports freigeben (aber selbst bei einem Gerät mit öffentlichem Port - Betreibe einen kleinen Webserver über ein nach außen geöffnetem Port - passiert nichts).

Vielleicht noch anzumerken:
Mit der lokalen Adresse meines Computers funktioniert es (also der Computer ist mit dem VPN verbunden, ich gebe aber die Heimnetztadresse des verbunden Computers ein (z.b 192.168.178.43), dann funktioniert es). Glaube das liegt aber mehr an Windows, dass er diese Anfrage nicht über den VPN laufen lässt.


Ich finde es ja insgesamt nur kurios, dass Pings vom VPS auch beim RASPI im Heimnetz ankommen zu scheinen (aber nicht von Geräten im VPN). Denn wenn ich ihn Neustarte, timen auch kurz die Pings out. WGET hängt sich dann aber auf...

 

[Ack der III]

Mit der lokalen Adresse meines Computers funktioniert es (also der Computer ist mit dem VPN verbunden, ich gebe aber die Heimnetztadresse des verbunden Computers ein (z.b 192.168.178.43), dann funktioniert es)

Dann funktioniert es doch schon mal. Wie hast du es sonst probiert? Mit dem Computernamen?

Denn wenn ich ihn Neustarte, timen auch kurz die Pings out.

Ist zu erwarten. Wireguard arbeitet zustandslos. Wenn der VPS neugestartet wird, dann kennt dieser die IP der Fritzbox nicht mehr. Erst wenn diese ein Paket, wie das Keepalive sendet, kann der VPS die Pakete wieder richtig leiten.

 

[Vito0912]

Ist zu erwarten.

Ich wollte damit nur den Punkt untermauern, dass es in irgendeinerweiße schon funktionieren muss und das das scheinbar nur Port/Protokoll restriktionen sind.

Wenn der VPS neugestartet wird

Ich hatte den RaspberryPi - steht im Heimnetz - (RASPI) neugestartet, nicht den VPS, den ich konstant angepingt habe. Deshalb auch die erkenntnis, dass pings weitergeleitet werden bzw. verarbeitet werden.

Dann funktioniert es doch schon mal. Wie hast du es sonst probiert? Mit dem Computernamen?

Ich habe im Heimnetz verscheidene Dienste laufen (auf zwei Raspberry Pis) u.a. TvHeadEnd und einen API-(Web)-Server.
Die IP des Webservers ist intern 192.168.178.44. Dieser ist auch immer mein testobjekt zum anpingen u.Ä.
Das ist auch mein Ziel, das diese Serives eben nicht mehr öffentlich sein müssen. Gerade bei TvHeadEnd (SSL verschlüsselung mag der nicht so gerne) ist das relativ wichtig.
Insgesamt ist ja mein eigentliches Ziel eine "sichere" RD-Verbindung aufzubauen. Und die Heimnetz-Adressen sind, bis auf die beiden Fälle (selber Computer und FritzBox) nicht möglich

Dann funktioniert es doch schon mal.

Naja, es funktioniert immer nur am selben Computer. Das bring leider herzlich wenig, leider. An dem kann ich ja auch einfach mit localhost oder 127.0.0.1 arbeiten.
Ich glaube aber insgesamt, dass Windows die eigene, interne, Adresse am VPN vorbeischleust.


Und danke für die Erklärung

EDIT:
Was mir gerade noch aufgefallen ist, was für verwirrung sorgen kann. Ich kann das FritzBox Interface nicht über 192.167.178.1 aufrufen, sondern nur über die lokale Adresse des Vpns (in dem Fall 10.9.243.5)

Ich schaue die nächsten Tage noch mal drüber. Ich lade hier jedoch schon mal die Config hoch, die aktuell benutze. Natürlich alle Keys, Ports und öffentliche IP-Adresse abgeändert.
Vielleicht hat sich ja ein Fehler einheschlichen den ich gerade übersehe
Für alle die bis jetzt mitgeholfen haben, danke.

 

[riversource]

Das Problem ist die Umsetzung von Wireguard in der Fritzbox. Die arbeiten nicht mit einem Transportnetz (10.9.243.0/24). Bei der Fritzbox haben die VPN Clients eine 192.168.178.0/24 Adresse, und die Box macht ProxyARP für ihr lokales Netz. Folglich kommst du mit einer Fritz nicht von 10.9.243.0/24 nach 192.168.178.0/24. Das ist ein fundamentaler Unterschied zu anderen WG Implementierungen.

Ich glaube nicht, dass du mit einer Fritzbox dein Ziel erreichen kannst.

Hinweis: teste niemals einen VPN Tunnel in das 192.168.178.0 Netz, wenn der VPN Client selber im 192.168.178.0 Netz ist. Das gibt Routing Kuddel Muddel und in Abhängigkeit der Metriken sind die Ergebnisse völlig unvorhersehbar. Es kann übers VPN gehen, oder auch dran vorbei, oder gar nicht. VPN Tunnel MUSS man immer von außen testen, z. B. über Mobilfunk.

 

[Ack der III]

Auf der Seite https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/ wird das mit dem Transfer-Netz erwähnt. Müsste sich nicht aber trotzdem nach dieser Anleitung das VPN aufbauen lassen? Der VPS wäre dann der Router des anderen Netzes.

 

[h00bi]

Was mir gerade noch aufgefallen ist, was für verwirrung sorgen kann. Ich kann das FritzBox Interface nicht über 192.167.178.1

Ich würde dir dringend dazu raten die Netzadresse auf etwas anderes als den Standardwert umzustellen.
Also z.B. auf 192.167.117.1
Warum?
Weil du sonst von hinter einer anderen Fritzbox aus in deinem Heimnetz nichts erreichen kannst.

 

[Vito0912]

Ich glaube nicht, dass du mit einer Fritzbox dein Ziel erreichen kannst.

Okay, schade. Ich habe dazu jedoch noch mal eine Frage (siehe unten)... Gibt es denn eine andere Möglichkeit mein Ziel zu erreichen (dann eventuell auch ohne FritzBox)?
Grüße und Danke.

Müsste sich nicht aber trotzdem nach dieser Anleitung das VPN aufbauen lassen? Der VPS wäre dann der Router des anderen Netzes.

Ich hätte das eigentlich wie @ack der ||| gedacht. Denn von FritzBox zu FritzBox geht es ja auch (zumindest habe ich das so verstanden, macht anders ja auch keinen Sinn)....

Ich würde dir dringend dazu raten die Netzadresse auf etwas anderes als den Standardwert umzustellen.
Also z.B. auf 192.167.117.1
Warum?
Weil du sonst von hinter einer anderen Fritzbox aus in deinem Heimnetz nichts erreichen kannst.

Danke für den Beitrag, jedoch ist dieser hier, wenn ich nicht komplett daneben liege, irrelevant. Das wäre nur ein Problem, wenn zwei Netzwerke den selben Adressbereich teilen. Da dies aber nicht der Fall ist und ich mich mit keiner anderen FritzBox verbinde, sondern mit einem VPS server, dem ich ein komplett anderen internen Adressbereich zugewisen habe, sollte das nicht interferieren.
Wie du schon sagst, wäre das nur ein Problem von "Standard" Fritz zu "Standard" Fritz.
Dennoch danke für den Beitrag und die allgemeine Information

Edit:
@h00bi. Sorry. Könnte eventuell doch relevant sein (hatte nur an Fall der Verbindung der VPNS gedacht). Aber natürlich, wenn den VPN in einem fremnden Netzwerk (mit Adressbereich 192.168.178.0/24) verbindert und die lokalen Adressen (192.168.178.0/24) nicht ausschließlich über das VPN geschläust werden, gibt es natürlich Probleme

 

[redjack1000]

Ich habe ein ähnliches Konstrukt, mit dem Unterschied, die Fritzbox macht kein VPN, sondern das macht der Linuxserver mit Zerotier als VPN/SDN-Server. Keine Ports öffnen, keine Firewall einrichten. Im Grunde hat man einen virtuellen Switch, den man per web konfiguriert.

Kannst Dir das ja mal näher anschauen. www.zerotier.com

Cu
redjack

 

[riversource]

Ich habe bislang keine erfolgreiche Konfiguration gesehen, wo die Fritzbox mit einer anderen Gegenstelle in einer LAN-LAN Verbindung läuft. Wenn es jemand hinbekommt, gerne her damit. Ich vermute dahinter das Problem, dass die Fritzbox eben kein Transportnetz nutzt. Eigentlich alle anderen WG Implementierungen, die ich kenne, nutzen ein Transportnetz. Vielleicht geht es, wenn man das Fritzbox Netz zum Transportnetz des anderen Routers macht.

Eine Alternative wäre ein Raspi oder sowas als VPN Gateway.

Zerotier und vergleichbare Dienste können sehr komfortabel sein. Allerdings sollte man sich darüber klar sein, dass man denen ne Menge Metadaten überlässt. Das ist nicht für jeden ein Problem, aber man sollte vorher drüber nachdenken. Und das geht auch nicht mit der Fritzbox.

 

[Vito0912]

Eine Alternative wäre ein Raspi oder sowas als VPN Gateway.

Hast du dafür ein Beispiel oder Quelle, die das Beschreibt was du meinst?
/Ist es darüber möglich, lokale Adressen zu erreichen.

Ich Versuche noch Mal einen Ansatz, dem ich Erfolg zuspreche

 

[riversource]

Hast du dafür ein Beispiel oder Quelle, die das Beschreibt was du meinst?

Nahezu jede Anleitung für WG auf einem Raspi deckt auch diesen Fall ab. Man installiert WG auf dem Raspi und richtet statische Routen ein für die VPN Zielnetze.

Ist es darüber möglich, lokale Adressen zu erreichen.

Ja. In beide Richtungen, wenn man möchte.

 

[Vito0912]

Ich Versuche noch Mal einen Ansatz, dem ich Erfolg zuspreche

Ich denke ich habe eine Lösung gefunden, mehr oder weniger.
Ich habe jetzt den WireguardServer in der FritzBox als Client hinterlegt. Wenn ich jetzt mit ping oder wget daten herunterlade funktioniert alles.
Da die FritzBox für das Gerät jedoch einen eigenen Private Key generiert und dieser sich nicht ändern lässt, muss ich auch eine neue Config erstellen.
Und jetzt komme ich von der wg0 Config nicht auf die wg1 Verbindungen...
(Jetzt ist zwar nur one-way Kommunikation hin zur FritzBox, aber mehr brauche ich eh nicht)

 

[riversource]

Was ist mit der Idee, das Fritzbox Netz zum Transportnetz der Gegenseite zu machen?