Wireguard von Fritzbox zu VPS an einem DS-Lite Anschluss

    Hallo,

    Ich möchte Dienste in meinem internen Netz auch für IPv4 an einem DS-Lite Anschluss verfügbar machen, und versuche dazu einen VPN Tunnel mit Wireguard von meiner Fritzbox (Client) zu einem VPS (Server) bei Ionos aufzubauen. Eigentlich ist m.E. alles eingerichtet, aber der Tunnel kommt einfach nicht zustande. Ich habe, so denke ich, mich an dieser Anleitung orientiert. (Variation mit WireGuard auf der FritzBox): IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Das grüne Lämpchen in der Fritzbox bleibt grau und auf dem VPS sieht man es auch. Der Tunnel wird nicht aufgebaut.

    Wo ist der Fehler?


    VPS-Seite (Server)


    FritzBox 7530 AX (Client)


    Ich wäre für jedewede Hilfe sehr Dankbar

    Da sind einige Merkwürdigkeiten.

    Zitat von egehlhaar

    Address = 10.7.0.1/24

    Generell sind deine Adress-Informationen inkonsistent. Entweder nimmst du Adressen aus dem Fritzbox Bereich, oder ein eigenes Transfernetz, aber nicht von beidem etwas. Bei Fritzboxen kann es durchaus sinnvoll sein, Adressen aus ihrem Bereich zu nehmen, beachte dabei die Anleitungen von AVM.

    Ansonsten würde ich da /32 setzen.

    Zitat von egehlhaar

    AllowedIPs = 192.168.178.0/24,10.7.0.2/32

    Hier sollte es dann /24 sein, nach der Korrektur der Adress-Informationen.

    Zitat von egehlhaar

    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE

    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

    Wofür die NAT Regeln? Hast du einen Anwendungsfall dafür? Wenn es nur darum geht, von außen auf dein Heimnetz zuzugreifen, brauchst du sie nicht.

    Zitat von egehlhaar

    Address = 192.168.178.1/24

    Wie gesagt: Passt nicht zur anderen Seite.

    Zitat von egehlhaar

    DNS = 192.168.178.1

    DNS = fritz.box

    Warum gibst du der Fritzbox DNS Einstellungen zur Fritzbox mit auf den Weg? Merkst du selber, macht keinen Sinn. Weg damit.

    Ich denke es liegt an der Client Config und hier im speziellen am Endpoint.

    Denke Du wirst nei IPv4 über ein CGNat geroutet, da wird das nix.
    Hats Du auf dem VPS eine IPv6 Adresse? dann gib die mal als Endpoint an.
    Dann sollte das mit dem Input from frank_m funktionieren.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Da wäre ich mir nicht so sicher, dass das klappt. Wireguard ist UDP und damit gibt es so seine Probleme via CGNat.

    Er sollte es auf jeden Fall mal per IPv6 versuchen, falls IPv6 vorhanden auf VPS.

    Ist ja nur ne kleine Änderung am WG Config-file.

    Zitat von bananajoe

    Wireguard ist UDP und damit gibt es so seine Probleme via CGNat.

    Aber nur, wenn der NAT Router schlecht umgesetzt ist. Aus Erfahrung kann ich dir sagen, dass es an DG Anschlüssen kein Problem ist, ausgehend über IPv4 Wireguard Verbindungen aufzubauen. Auch in allen Mobilfunknetzen hatte ich diesbezüglich bislang keine Probleme.

    Zitat von bananajoe

    Er sollte es auf jeden Fall mal per IPv6 versuchen, falls IPv6 vorhanden auf VPS.

    Das kann man natürlich immer machen. Ist auch sinnvoll als Fallback, falls mal eine der beiden IP Verbindungen Probleme macht.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich habe selbst herausgefunden, woran es lag.

    Es lag an der Firewall von Ionos. Im Portal in der Fw. 51820/udp erlaubt, und schon ging es.

    frank_m Die Einstellungen wie DNS zB in der conf Datei der Fritzbox wird von der Fritzbox selbst so gesetzt, und da hat man auch keinen Einfluss. Das macht AVM so. Es muss auch die Address so gesetzt werden, weil es die Fritzbox so verlangt. Es steht auch in der Doku von AVM.
    Die NAT Regeln braucht man, um ipv4 Dienste im internen Netz zur Verfügung zu stellen. Natrülich auch noch ein Portforwarding, sowie natürlich net.ipv4.ip_forward=1

    AllowedIPs habe ich tatsächlich noch auf AllowedIPs = 192.168.178.0/24,10.7.0.0/24 gesetzt.

    So läuft es.

    Vielen Dank für die Tips.

    Zitat von egehlhaar

    Die Einstellungen wie DNS zB in der conf Datei der Fritzbox wird von der Fritzbox selbst so gesetzt, und da hat man auch keinen Einfluss.

    Das ist dann aber die conf Datei für die andere Seite.

    Zitat von egehlhaar

    Es muss auch die Address so gesetzt werden, weil es die Fritzbox so verlangt.

    Schrieb ich ja oben. Diesbezüglich solltest du dich an den AVM Anleitungen orientieren. Wenn du einen solchen Anwendungsfall hast, dann befolge das.

    Zitat von egehlhaar

    Die NAT Regeln braucht man, um ipv4 Dienste im internen Netz zur Verfügung zu stellen.

    Was genau meinst du damit? Die NAT Regeln braucht man nur, wenn Clients aus dem Fritzbox LAN über VPN ins Internet kommunizieren sollen.