Beiträge von zwozwo0neun

so, habe die AVM Kiste in den Werkszustand geschickt.

Hat die konfigdatei sofort gefressen (nameegal.conf) und sofort eine Verbindung zur VPS aufgebaut.

Mit dem iPhone konnte ich mich erfolgreich über VPN verbinden

ABER sobald das VPN aktiviert war ging Internet seitig überhaupt nichts mehr, selbst mein Firmenrechner ist ausgestiegen.

Ich habe die Konfig 100% aus der Anleitung übernommen - was könnte das jetzt nun sein?

Zitat von mbo77

Und in diesem Beitrag binde ich die FB direkt ein.

Beitrag

RE: IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

Variation mit WireGuard auf der FritzBox

Es ist natürlich auch möglich, dass man diese Verbindung ohne einen Raspberry Pi etabliert. Dafür übernimmt die FritzBox selbst die Rolle des WireGuard-Clients.



Die Idee ist, dass die FritzBox die Konfiguration importiert, die wir für den Raspberry Pi vorbereitet haben.

Da wir auf der FritzBox nicht die gleichen Möglichkeiten haben, dass System zu einzustellen, ist eine kleine Anpassung notwendig.

(Quelltext, 9 Zeilen)

Die Anpassung besteht darin, dass das…

mbo77

29. Oktober 2023 um 11:53

habe es jetzt exakt nach dieser Anleitung versucht

Client kann die 10.99.99.1 Adresse der VPS pingen aber die Verdammte Fritzbox will die config Datei nicht importieren :-/

also irgendwas stimmt hier nicht.

habe jetzt mal den „Wireguard Client“ als Docker Image installiert.

Wenn ich genau die gleiche Konfig nehme welche ich nicht in die Fritzbox bekomme schmiert der ganze Container ab.

[Interface]
PrivateKey = iI
Address = 192.168.178.1/24
ListenPort = 52824

[Peer]
PublicKey = W
Endpoint = 85.215.155.106:52984
AllowedIPs = 10.99.99.0/24
PersistentKeepalive = 25

Kann leider erst wieder Mittwoch weiter experimentieren.

habe mir heute abend wieder schnell das 0815 direkt Wireguard Profil installiert - selbst da ist es bei der Einrichtung abgeschmiert.

Fritzbox scheint allgemein einfach schwierig zu sein.

kann erst um 16 uhr wieder weitermachen da die Box mir immer die Internetverbindung kappt wenn ich mich an einer config versuche.

Melde mich dann später nochmal

also nach fritzbox reboot und unbenannt nach wg_config.conf

erster Versuch -> ca 10 min „Bitte warten“ ich habe dann abgebrochen und es wurde ein Eintrag erstellt aber dieser beinhaltete nur den port des endpoints

alles danach führte wieder zur allseits bekannten Fehlermeldung

so ging es mir auch letzte Woche, das war der Grund wie ich auf oben beschriebenes setup kam.

Zitat von frank_m

Gibt es andere Wireguard oder IPSec Konfigs?

Nein, alles clean

ich boote die fritzbox heute mittag mal neu

vielleicht hilft das

Zitat von mbo77

Aus meiner Erinnerung war was, dass das File nicht willkürlich heißen darf.

Probier mal mit wg_config.conf

wenn man ein config file von der fritzbox runterlädt dann heißt es „peer-G12-wg0-1.conf“ so habe ich es jetzt auch benannt -> gleicher fehler

Die Config lese ich so, oder ? aber auch wenn ich das „smartphone“ Peer lösche und nur eins habe bekomme ich auch die Fehlermeldung

[Interface] ist für mich die Fritzbox also Lokal

[peer] die VPS

[peer] smartphone

habe jetzt alle wireguard settings in der Frizbox gelöscht und die zu importierende Datei erstellt und fritz.conf benannt

dann „Netzwerke koppeln oder spezielle Verbindungen herstellen“

„Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt?„. -> JA ******* auf der VPS habe ich noch nichts eingerichtet, ich gehe davon aus das die Fritzbox das im moment NICHT überprüft

beim importieren kommt dann :

hier die datei:

[Interface]
PrivateKey = iItD
Address = 192.168.178.1/24
ListenPort = 52824

[Peer]
PublicKey = W
Endpoint = 8:5
AllowedIPs = 10.99.99.0/24
PersistentKeepalive = 25

[Peer]
PublicKey = F
AllowedIPs = 10.99.99.2/32

vielleicht übertreibe ich es aber bisher halte ich es für einen Mehrwert nur über die VPS zu gehen wenn keine IPv6 vorhanden ist. So als Notnagel

ich werde morgen versuchen den anderen weg zu gehen

Ja das ding meckert über einen Adress Konflikt - aber egal welche „Mondadresse“ ich eintrage -> es meckert.

das hier ist in den Wireguard Einstellungen der Fritzbox :

Interface]
PrivateKey =*********
ListenPort = 59076
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = ******
PresharedKey =******
AllowedIPs = 192.168.178.252/32
PersistentKeepalive = 25

Zitat von mbo77

Aber warum willst du es kompliziert machen?

Für den Fall bereitest du die Konfiguration für die FB manuell vor.

Ich versuche das mit der FB nochmal - jedenfalls funktionierte das einlesen der Config nicht wirklich überzeugend.

Ich würde ebenfalls nicht zwei, sondern nur eine Wireguard Verbindung auf dem Server verwenden. Die Fritzbox und die mobilen Clients verbinden sich auf die gleiche wg Schnittstelle (die FB als Client, nicht als Server!). Dann kannst du über die allowed IPs sehr genau steuern, wer wohin Zugriff bekommt.

Werde das nochmals versuchen

Zu den Fehlern der vorhandenen Konfig:

Zitat

Zitat von zwozwo0neun

allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0

Das ist natürlich eine Katastrophe. Damit schickst du den kompletten Internettraffic des VPS über deine Fritzbox zu Hause. Das kann wohl kaum deine Absicht sein. Außerdem ist die 10.99.99.0/24 ja hinter dem anderen wg Interface, die hat hier also auch nichts verloren.

Also nur 0.0.0.0/0 ?

Zitat

Zitat von zwozwo0neun

allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0

Die hier ist genauso falsch:

• Subnetzmaske /32 macht keinen Sinn für Allowed IPs Netzwerke
• Subnetz 192.168.178.0/24 ist hinter dem anderen wg Interface
• Du willst ebenfalls nicht den gesamten Intertrafic deines VPS auf dein Handy schicken.

also nur 10.99.99.0/24 ?

Zitat von mbo77

Und in diesem Beitrag binde ich die FB direkt ein.

[post='27783'][/post

hab ich gesehen.

Komischerweise wenn ich an meiner FB 7530 die Verbindung wie beschrieben erstelle kann ich leider keine zweite direkte WG verbindung mehr erstellen. Solange ich eine IPv6 unterwegs habe würde ich gerne diese direkt ohne umwege über ionos nutzen.

VPS sollte nur benutzt werden wenn ihc keine IPv6 adresse beziehe (zb Urlaub)

Zitat von mbo77

Auf die Schnelle anhand deiner Zeichnung: Wozu zwei Interfaces auf dem VPS? Warum auf der FB im "Server" Modus?

Fritzbox hat WG mehr oder weniger gut implementiert und spart mir ein extra „server“ zuhause.
Hätte auch gerne eine direkte IPv6 verbindung Handy <-> Fritzbox (was funktioniert) und eine IPv4 via VPS nur wenn ich im Ausland bin oder keine IPv6 habe

Zitat von kammann

Schon mal https://tailscale.com/ angesehen? Basiert auf Wireguard, vereinfacht die Konfiguration aber erheblich.

ja, habe ich - hätte es aber gerne „native“ ohne irgendwelche Firmen dazwischen - finde den lernfaktor auch nicht unerheblich wenn man was selber aufbaut

Zitat von mbo77

Bevor ich da jetzt genauer eintauche, findest du hier vielleicht etwas.

Thema

IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

Einleitung

Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

Hintergrund

Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…

mbo77

28. Oktober 2023 um 15:41

darauf basiert mein Setup, ist eine Top Anleitung

Hallo,

ich komme leider mit meinem Thema hier nicht weiter.

Stand jetzt:

1. VPS verbindet sich mit Wireguard via WG0.conf auf meine Fritzbox (WG Server).
2. ich kann mit der VPS mein ganzes Heimnetzwerk pingen und alles funktioniert einwandfrei
3. jetzt soll der VPS eine Wireguard Server Verbindung aufbauen „WG1“ welche auch startet und mein Client verbindet sich mit dem VPS und es gibt ein Handshake von ein paar bytes.

Leider habe ich mit dem Client kein Zugriff auf meine Netzwerk / Internet. Die Frage ist wie kann ich eine Verbindung zwischen WG1 <-> WG0 herstellen? ist das überhaupt möglich?

root@ubuntu:/etc/wireguard# ./allup.sh
Warning: `/etc/wireguard/wg0.conf' is world accessible
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 192.168.178.252/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 10.99.99.0/24 dev wg0
[#] wg set wg0 fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63
[#] ip rule add not from 192.168.178.0/32 table main
Warning: `/etc/wireguard/wg1.conf' is world accessible
[#] ip link add wg1 type wireguard
[#] wg setconf wg1 /dev/fd/63
[#] ip -4 address add 10.99.99.1/24 dev wg1
[#] ip link set mtu 1420 up dev wg1
[#] ip -4 route add 192.168.178.0/32 dev wg1
[#] wg set wg1 fwmark 51821
[#] ip -4 route add 0.0.0.0/0 dev wg1 table 51821
[#] ip -4 rule add not fwmark 51821 table 51821
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63
[#] ip rule add not from 10.99.99.1/24 table main

interface: wg0
public key: *******
private key: (hidden)
listening port: 54731
fwmark: 0xca6c

peer: ******
preshared key: (hidden)
endpoint: [****
allowed ips: 192.168.178.0/24, 10.99.99.0/24, 0.0.0.0/0
latest handshake: 31 seconds ago
transfer: 188 B received, 4.96 KiB sent
persistent keepalive: every 25 seconds

interface: wg1
public key: *****
private key: (hidden)
listening port: 52984
fwmark: 0xca6d

peer: *********
endpoint: 80.187.102.130:24074
allowed ips: 10.99.99.0/32, 192.168.178.0/32, 0.0.0.0/0
latest handshake: 12 seconds ago
transfer: 16.32 KiB received, 12.77 KiB sent
persistent keepalive: every 25 seconds
root@ubuntu:/etc/wireguard#