Wireguard via Fritzbox und VPS

Hallo,

ich komme leider mit meinem Thema hier nicht weiter.

Stand jetzt:

1. VPS verbindet sich mit Wireguard via WG0.conf auf meine Fritzbox (WG Server).
2. ich kann mit der VPS mein ganzes Heimnetzwerk pingen und alles funktioniert einwandfrei
3. jetzt soll der VPS eine Wireguard Server Verbindung aufbauen „WG1“ welche auch startet und mein Client verbindet sich mit dem VPS und es gibt ein Handshake von ein paar bytes.

Leider habe ich mit dem Client kein Zugriff auf meine Netzwerk / Internet. Die Frage ist wie kann ich eine Verbindung zwischen WG1 <-> WG0 herstellen? ist das überhaupt möglich?

root@ubuntu:/etc/wireguard# ./allup.sh
Warning: `/etc/wireguard/wg0.conf' is world accessible
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 192.168.178.252/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 10.99.99.0/24 dev wg0
[#] wg set wg0 fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63
[#] ip rule add not from 192.168.178.0/32 table main
Warning: `/etc/wireguard/wg1.conf' is world accessible
[#] ip link add wg1 type wireguard
[#] wg setconf wg1 /dev/fd/63
[#] ip -4 address add 10.99.99.1/24 dev wg1
[#] ip link set mtu 1420 up dev wg1
[#] ip -4 route add 192.168.178.0/32 dev wg1
[#] wg set wg1 fwmark 51821
[#] ip -4 route add 0.0.0.0/0 dev wg1 table 51821
[#] ip -4 rule add not fwmark 51821 table 51821
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63
[#] ip rule add not from 10.99.99.1/24 table main

interface: wg0
public key: *******
private key: (hidden)
listening port: 54731
fwmark: 0xca6c

peer: ******
preshared key: (hidden)
endpoint: [****
allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0
latest handshake: 31 seconds ago
transfer: 188 B received, 4.96 KiB sent
persistent keepalive: every 25 seconds

interface: wg1
public key: *****
private key: (hidden)
listening port: 52984
fwmark: 0xca6d

peer: *********
endpoint: 80.187.102.130:24074
allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0
latest handshake: 12 seconds ago
transfer: 16.32 KiB received, 12.77 KiB sent
persistent keepalive: every 25 seconds
root@ubuntu:/etc/wireguard#

Zitat von mbo77

Bevor ich da jetzt genauer eintauche, findest du hier vielleicht etwas.

Thema

IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

Einleitung

Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

Hintergrund

Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…

mbo77

28. Oktober 2023 um 15:41

darauf basiert mein Setup, ist eine Top Anleitung

Zitat von kammann

Schon mal https://tailscale.com/ angesehen? Basiert auf Wireguard, vereinfacht die Konfiguration aber erheblich.

ja, habe ich - hätte es aber gerne „native“ ohne irgendwelche Firmen dazwischen - finde den lernfaktor auch nicht unerheblich wenn man was selber aufbaut

Zitat von mbo77

Auf die Schnelle anhand deiner Zeichnung: Wozu zwei Interfaces auf dem VPS? Warum auf der FB im "Server" Modus?

Fritzbox hat WG mehr oder weniger gut implementiert und spart mir ein extra „server“ zuhause.
Hätte auch gerne eine direkte IPv6 verbindung Handy <-> Fritzbox (was funktioniert) und eine IPv4 via VPS nur wenn ich im Ausland bin oder keine IPv6 habe

Zitat von mbo77

Und in diesem Beitrag binde ich die FB direkt ein.

[post='27783'][/post

hab ich gesehen.

Komischerweise wenn ich an meiner FB 7530 die Verbindung wie beschrieben erstelle kann ich leider keine zweite direkte WG verbindung mehr erstellen. Solange ich eine IPv6 unterwegs habe würde ich gerne diese direkt ohne umwege über ionos nutzen.

VPS sollte nur benutzt werden wenn ihc keine IPv6 adresse beziehe (zb Urlaub)

Ich würde ebenfalls nicht zwei, sondern nur eine Wireguard Verbindung auf dem Server verwenden. Die Fritzbox und die mobilen Clients verbinden sich auf die gleiche wg Schnittstelle (die FB als Client, nicht als Server!). Dann kannst du über die allowed IPs sehr genau steuern, wer wohin Zugriff bekommt.

Werde das nochmals versuchen

Zu den Fehlern der vorhandenen Konfig:

Zitat

Zitat von zwozwo0neun

allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0

Das ist natürlich eine Katastrophe. Damit schickst du den kompletten Internettraffic des VPS über deine Fritzbox zu Hause. Das kann wohl kaum deine Absicht sein. Außerdem ist die 10.99.99.0/24 ja hinter dem anderen wg Interface, die hat hier also auch nichts verloren.

Also nur 0.0.0.0/0 ?

Zitat

Zitat von zwozwo0neun

allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0

Die hier ist genauso falsch:

• Subnetzmaske /32 macht keinen Sinn für Allowed IPs Netzwerke
• Subnetz 192.168.178.0/24 ist hinter dem anderen wg Interface
• Du willst ebenfalls nicht den gesamten Intertrafic deines VPS auf dein Handy schicken.

also nur 10.99.99.0/24 ?

Zitat von mbo77

Aber warum willst du es kompliziert machen?

Für den Fall bereitest du die Konfiguration für die FB manuell vor.

Ich versuche das mit der FB nochmal - jedenfalls funktionierte das einlesen der Config nicht wirklich überzeugend.

Ja das ding meckert über einen Adress Konflikt - aber egal welche „Mondadresse“ ich eintrage -> es meckert.

das hier ist in den Wireguard Einstellungen der Fritzbox :

Interface]
PrivateKey =*********
ListenPort = 59076
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = ******
PresharedKey =******
AllowedIPs = 192.168.178.252/32
PersistentKeepalive = 25