Wireguard via Fritzbox und VPS

    Hallo,

    ich komme leider mit meinem Thema hier nicht weiter.

    Stand jetzt:

    1. VPS verbindet sich mit Wireguard via WG0.conf auf meine Fritzbox (WG Server).
    2. ich kann mit der VPS mein ganzes Heimnetzwerk pingen und alles funktioniert einwandfrei
    3. jetzt soll der VPS eine Wireguard Server Verbindung aufbauen „WG1“ welche auch startet und mein Client verbindet sich mit dem VPS und es gibt ein Handshake von ein paar bytes.

    Leider habe ich mit dem Client kein Zugriff auf meine Netzwerk / Internet. Die Frage ist wie kann ich eine Verbindung zwischen WG1 <-> WG0 herstellen? ist das überhaupt möglich?


    root@ubuntu:/etc/wireguard# ./allup.sh
    Warning: `/etc/wireguard/wg0.conf' is world accessible
    [#] ip link add wg0 type wireguard
    [#] wg setconf wg0 /dev/fd/63
    [#] ip -4 address add 192.168.178.252/24 dev wg0
    [#] ip link set mtu 1420 up dev wg0
    [#] ip -4 route add 10.99.99.0/24 dev wg0
    [#] wg set wg0 fwmark 51820
    [#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
    [#] ip -4 rule add not fwmark 51820 table 51820
    [#] ip -4 rule add table main suppress_prefixlength 0
    [#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
    [#] nft -f /dev/fd/63
    [#] ip rule add not from 192.168.178.0/32 table main
    Warning: `/etc/wireguard/wg1.conf' is world accessible
    [#] ip link add wg1 type wireguard
    [#] wg setconf wg1 /dev/fd/63
    [#] ip -4 address add 10.99.99.1/24 dev wg1
    [#] ip link set mtu 1420 up dev wg1
    [#] ip -4 route add 192.168.178.0/32 dev wg1
    [#] wg set wg1 fwmark 51821
    [#] ip -4 route add 0.0.0.0/0 dev wg1 table 51821
    [#] ip -4 rule add not fwmark 51821 table 51821
    [#] ip -4 rule add table main suppress_prefixlength 0
    [#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
    [#] nft -f /dev/fd/63
    [#] ip rule add not from 10.99.99.1/24 table main

    interface: wg0
    public key: *******
    private key: (hidden)
    listening port: 54731
    fwmark: 0xca6c

    peer: ******
    preshared key: (hidden)
    endpoint: [****
    allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0
    latest handshake: 31 seconds ago
    transfer: 188 B received, 4.96 KiB sent
    persistent keepalive: every 25 seconds

    interface: wg1
    public key: *****
    private key: (hidden)
    listening port: 52984
    fwmark: 0xca6d

    peer: *********
    endpoint: 80.187.102.130:24074
    allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0
    latest handshake: 12 seconds ago
    transfer: 16.32 KiB received, 12.77 KiB sent
    persistent keepalive: every 25 seconds
    root@ubuntu:/etc/wireguard#

    Bevor ich da jetzt genauer eintauche, findest du hier vielleicht etwas.

    Thema

    IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Einleitung

    Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

    Hintergrund

    Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…
    mbo77
    28. Oktober 2023 um 15:41
  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von mbo77

    Bevor ich da jetzt genauer eintauche, findest du hier vielleicht etwas.

    Thema

    IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Einleitung

    Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

    Hintergrund

    Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…
    mbo77
    28. Oktober 2023 um 15:41

    darauf basiert mein Setup, ist eine Top Anleitung

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von mbo77

    Auf die Schnelle anhand deiner Zeichnung: Wozu zwei Interfaces auf dem VPS? Warum auf der FB im "Server" Modus?

    Fritzbox hat WG mehr oder weniger gut implementiert und spart mir ein extra „server“ zuhause.
    Hätte auch gerne eine direkte IPv6 verbindung Handy <-> Fritzbox (was funktioniert) und eine IPv4 via VPS nur wenn ich im Ausland bin oder keine IPv6 habe

    Ich würde ebenfalls nicht zwei, sondern nur eine Wireguard Verbindung auf dem Server verwenden. Die Fritzbox und die mobilen Clients verbinden sich auf die gleiche wg Schnittstelle (die FB als Client, nicht als Server!). Dann kannst du über die allowed IPs sehr genau steuern, wer wohin Zugriff bekommt.

    Zu den Fehlern der vorhandenen Konfig:

    Zitat von zwozwo0neun

    allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0

    Das ist natürlich eine Katastrophe. Damit schickst du den kompletten Internettraffic des VPS über deine Fritzbox zu Hause. Das kann wohl kaum deine Absicht sein. Außerdem ist die 10.99.99.0/24 ja hinter dem anderen wg Interface, die hat hier also auch nichts verloren.

    Zitat von zwozwo0neun

    allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0

    Die hier ist genauso falsch:

    • Subnetzmaske /32 macht keinen Sinn für Allowed IPs Netzwerke
    • Subnetz 192.168.178.0/24 ist hinter dem anderen wg Interface
    • Du willst ebenfalls nicht den gesamten Intertrafic deines VPS auf dein Handy schicken.

    Gibt es eine statische Route für das wg1 Netz in der Fritzbox? Stimmen die Allowed IPs des Clients? Ein großes Risiko hat dieses Setup noch, denn meines Wissens ist es nicht möglich, in der Fritzbox ein zweites Subnetz für die Allowed IPs einzurichten, wenn man den Assistenten verwendet. Ich denke also, so rum wird es nicht funktionieren.

    Am Ende wird es dir egal sein, ob du direkt zur Fritzbox oder über den VPS kommunizierst.


    Von daher würde ich ein universelles und robustes Setup vorschlagen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Und in diesem Beitrag binde ich die FB direkt ein.

    Beitrag

    RE: IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Variation mit WireGuard auf der FritzBox

    Es ist natürlich auch möglich, dass man diese Verbindung ohne einen Raspberry Pi etabliert. Dafür übernimmt die FritzBox selbst die Rolle des WireGuard-Clients.



    Die Idee ist, dass die FritzBox die Konfiguration importiert, die wir für den Raspberry Pi vorbereitet haben.

    Da wir auf der FritzBox nicht die gleichen Möglichkeiten haben, dass System zu einzustellen, ist eine kleine Anpassung notwendig.

    (Quelltext, 9 Zeilen)

    Die Anpassung besteht darin, dass das…
    mbo77
    29. Oktober 2023 um 11:53
    Zitat von mbo77

    Und in diesem Beitrag binde ich die FB direkt ein.

    [post='27783'][/post

    hab ich gesehen.

    Komischerweise wenn ich an meiner FB 7530 die Verbindung wie beschrieben erstelle kann ich leider keine zweite direkte WG verbindung mehr erstellen. Solange ich eine IPv6 unterwegs habe würde ich gerne diese direkt ohne umwege über ionos nutzen.

    VPS sollte nur benutzt werden wenn ihc keine IPv6 adresse beziehe (zb Urlaub)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich würde ebenfalls nicht zwei, sondern nur eine Wireguard Verbindung auf dem Server verwenden. Die Fritzbox und die mobilen Clients verbinden sich auf die gleiche wg Schnittstelle (die FB als Client, nicht als Server!). Dann kannst du über die allowed IPs sehr genau steuern, wer wohin Zugriff bekommt.

    Werde das nochmals versuchen

    Zu den Fehlern der vorhandenen Konfig:

    Zitat

    Zitat von zwozwo0neun

    allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0

    Das ist natürlich eine Katastrophe. Damit schickst du den kompletten Internettraffic des VPS über deine Fritzbox zu Hause. Das kann wohl kaum deine Absicht sein. Außerdem ist die 10.99.99.0/24 ja hinter dem anderen wg Interface, die hat hier also auch nichts verloren.

    Also nur 0.0.0.0/0 ?

    Zitat

    Zitat von zwozwo0neun

    allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0

    Die hier ist genauso falsch:

    • Subnetzmaske /32 macht keinen Sinn für Allowed IPs Netzwerke
    • Subnetz 192.168.178.0/24 ist hinter dem anderen wg Interface
    • Du willst ebenfalls nicht den gesamten Intertrafic deines VPS auf dein Handy schicken.


    also nur 10.99.99.0/24 ?

    Zitat von zwozwo0neun

    Also nur 0.0.0.0/0 ?

    Nein. Das ist die Default Route.

    Frage dich: Was willst du auf der anderen Seite von wg0 erreichen? Genau: Das Netz der Fritzbox. Nur das und nichts anderes darf hier rein.

    Zitat von zwozwo0neun

    also nur 10.99.99.0/24 ?

    Ja. Und beachte die anderen Hinweise bezüglich der Allowed IPs in den Gegenstellen (vor allem in der Fritzbox) und den statischen Routen. Die brauchst du in dem Szenario.

    Zitat von zwozwo0neun

    Komischerweise wenn ich an meiner FB 7530 die Verbindung wie beschrieben erstelle kann ich leider keine zweite direkte WG verbindung mehr erstellen.

    Dann hast du entweder die Optionen in der Fritzbox falsch gesetzt oder einen Adress-Konflikt erzeugt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ja das ding meckert über einen Adress Konflikt - aber egal welche „Mondadresse“ ich eintrage -> es meckert.

    das hier ist in den Wireguard Einstellungen der Fritzbox :

    Interface]
    PrivateKey =*********
    ListenPort = 59076
    Address = 192.168.178.1/24
    DNS = 192.168.178.1
    DNS = fritz.box

    [Peer]
    PublicKey = ******
    PresharedKey =******
    AllowedIPs = 192.168.178.252/32
    PersistentKeepalive = 25

    Ich habe jetzt keine Zeit da tiefer einzusteigen.

    Aber die Konfiguration auf der FB kann mehrere Peers haben. Ausgehend (zum VPS) und eingehend über IPv6 vom Handy.

    Zitat von zwozwo0neun

    Ja das ding meckert über einen Adress Konflikt - aber egal welche „Mondadresse“ ich eintrage -> es meckert.

    Das deutet darauf hin, dass du die Optionen falsch gesetzt hast.

    Zitat von zwozwo0neun

    AllowedIPs = 192.168.178.252/32

    Jetzt denke mal 2 Minuten über diese Zeile nach. Wofür sind die Allowed IPs bei Wireguard? Was erreichst du folglich mit dieser Zeile? Und was willst du eigentlich erreichen? Du merkst es selber, oder? Das passt überhaupt nicht.

    Du hast eine Client Verbindung erstellt. Also das genaue Gegenteil von dem, was du brauchst. Aber im Assistenten der Fritzbox hast du keine Möglichkeit, die Allowed IPs anzupassen. Auch nicht für eine Routerkopplung. Und deshalb denke ich, dein Vorgegen mit der Fritzbix als Server wird nicht funktionieren.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von mbo77

    Das geht schon. Man kann eine vorbereitete Konfiguration beim Assistenten laden.

    Genau. Das ist z.B. der Modus, wenn die Konfiguration auf einem anderen Router erzeugt wurde, oder wenn man selber eine geschrieben hat. Ich weiß, der Begriff "Client" ist falsch bei Wireguard, aber in der Fritzbox fühlt es sich ein bisschen so an, als sei sie der Client, wenn man eine externe Konfig importiert, im Gegensatz zum "Server", wenn man den Assistenten benutzt und die Box die Konfiguration erstellen lässt.

    Aber man muss meines Erachtens diesen Weg gehen. Nur mit dem Assistenten wird es nicht klappen.