Ich habe gestern vergeblich versucht, Wireguard zwischen zwei Fritzboxen 6690 Cable mit aktuellem OS 8.03 einzurichten und hoffe auf Eure Mithilfe.
Ausgangssituation:
Ich habe schon seit geraumer Zeit auf einer der beiden Fritzboxen (Vodafone vormals Unitymedia NRW) Wireguard mit zwei Clients erfolgreich in Bettrieb genommen. Dabei handelt es sich um ein Macbook und ein iPhone.
Mein Ziel: Ich möchte eine zweite Fritzbox als Wireguard Client anbinden. (Laut AVM soll man das so machen, wenn nicht beide Netze für alle Geräte untereinander offen sein sollen). An der Client-Fritzbox sollen auch nur ein oder zwei Geräte über Wireguard laufen.
Meine Vorgehensweise:
An der Server-Fritzbox eine neue ClientConfig erzeugt und runtergeladen
An der Client-Fritzbox ein abweichendes IP-Netzwerk erstellt.
dort eine Wireguard- Freigabe unter Punkt 2 „Netzwerke koppeln“ angeklickt
dann den Punkt „wurde die Wireguard-Verbindung bereits auf der Gegenseite eingerichtet“ mit ja beantwortet.
Dort die config Datei geladen
dort ausgewählt dass nur bestimmte Geräte die Verbindung aufbauen sollen und testweise mein Iphone ausgwewählt.
Der Erfolg war der, dass an der Client-Fritzbox die Wireguard-Verbindung zwar auf grün sprang, mein iPhone aber keine neue IP erhalten hat.
EDIT: unter wieistmeineip.de wird wir noch immer die IP der Fritzbox vor Ort angezeigt und nicht die IP der entfernten Server-Fritzbox, über die ich in dem Moment ins Internet gehen sollte.
Das gleiche Ergebnis auch an meinem Macbook. Dann habe ich testweise mal den Haken bei „Alle Geräte“ gesetzt und schwupp funktionierte es. Zurück wieder nur auf ein einzelnes Gerät geswitcht, war da Ergebnis wieder negativ. Und dann wurde es ganz übel: Nochmals zurück auf „alle Geräte“ brachte dann auch keinen Erfolg mehr.
Fällt dazu irgendwem etwas ein?
Ist das extrem sensibel und man hat nur einen Versuch? Ich hatte wohl bei der ursprünglichen Einrichtung bei Fertigstellung im letzten Punkt gar kein einzelnes Gerät ausgewählt und danach erst mein Iphone angeklickt?
Kann es sein, dass die Server-Fritzbox ein Prob damit hat, dass es sich bei dem beim Versuch ausgewählten Geräte um die handelte, die auch an Ihr eine eigene ClientConfig besitzen? Dieser Umstand wurde mir leider erst heute bewusst.
Einmal wird es Dir Deine IPv4 und einmal die IPv6 anzeigen, würde ich meinen. Und gehst Du nicht beide Male über Deine FRITZ!Box online?
Was Du genau erwartest verstehe ich jedoch nicht.
Wenn Du die IP der entfernten FRITZ!Box sehen willst, wäre das eine Konfigurationssache von WireGuard. Wie weit die FRITZ!Box Dich jedoch ins Routing eingreifen lässt, keine Ahnung.
Ich habe meine damalige FRITZ!Box als das genutzt wofür sie gut ist. Als Modem im Bridge Mode.
Ich verstehe jetzt zwar das Problem nicht aber haben die beiden Boxen verschiedene IP-Bereiche? Also z.B. 192.168.178.1 und 192.168.188.1 ?
Die dürfen halt nicht beide im selben IP Bereich arbeiten.
Ja. habe ich auf der zweiten Fritzbox entsprechend geändert.
Da wird wahrscheinlich der Hund begraben sein.
Ich möchte, dass wenn ich am entfernten Standort ins Internet gehe, es für die Außenwelt so aussieht, als täte ich das von zuhause aus.
Und tatsächlich ist das in der oben geschilderten Ausgangssituation der Fall.
Ich richte an einer Fritzbox einen Wireguard-Client ein und lade die dabei erzeugte Config-Datei in die Wireguard-iOS-App. Wenn ich nun an diesem Client Wireguard über die App einschalte und über einen Browser im Internet unterwegs bin, mache ich das mit der IP meiner Fritzbox, egal wo ich mich befinde.
Das scheint aber in der unter Ziel geschilderten Konstellation halt genau nur einmal funktioniert zu haben. In dem Moment wo ich der zweiten Fritzbox unter Wirguard gesagt habe, dass alle dort angeschlossenen Geräte einen Tunnel zur „Zuhause-Fritzbox“ aufbauen sollen.
Warum mache ich das überhaupt? Weil es halt Geräte gibt, auf der man Wireguard nicht installieren kann, oder es nur auf Umwegen möglich ist.
Wie sieht die Config denn aus? In dieser müsstest Du doch das Routing bereits angeben können. Und wenn Du dies auf 0.0.0.0 setzt, müsste alles über die VPN Verbindung geroutet werden, inkl. den Nachteilen wie der Einbuße von Geschwindigkeit, weil Dein Downstream der Upstream des Gegenübers wird.
Das ist halt eine normale Config, die von der Fritzbox erzeugt wird.
Es kann ja vielfältige Gründe geben. Was mich aber stutzig macht ist der Umstand, dass es genau einmal funktioniert hat, und danach halt nicht mehr.
by HarryP: Code-/Logzeilen formatiert (bitte immer in </> einbinden)
Adress = 192.168.178.205/24 dürfte das Problem sein. Gehe davon aus, dass es Deine lokale IP bzw. Dein lokaler IP Bereich ist. Richtig?
Außerdem fehlt ein D.
Versuche mal
Address = 192.168.179.205/32
ausgehend davon, dass Deine gegenüberliegende FRITZ!Box in dem IP Bereich liegt. Und die .205 außerhalb des DHCP Bereiches, um keine Kollision zu riskieren.
Ach ja und dann natürlich
AllowedIPs = 192.168.179.0/24,0.0.0.0/0
Du dürftest dann nur einen DNS Leak haben. Aber das könnte man beheben bzw. kein Drama sein.
192.168.178.xxx ist der IP-Bereich der Fritzbox zu der ich hin möchte. Die also zuhause steht.
Die Fritzbox an der der Client hängt, der mit der Fritzbox zuhause einen Tunnel aufbauen soll, hat den IP-Bereich 192.168.10.xxx
Ich habe die Config abgeschrieben und das „d“ vergessen.
Warum da /24 steht, irritiert mich tatsächlich ein wenig. Wenn ich mir das in der GUI der FB angucke steht da auch /32.
Richtig.
Ich war heute nochmal vor Ort, habe alles nochmal neu konfiguriert. Leider klappt es noch immer nicht, so wie ich mir das vorstelle, aber wenigstens zeigt sich mir jetzt ein stabileres Bild:
Schalte ich die Client-Fritzbox, also die den Tunnel nach „Zuhause“ aufmacht, auf „Alle Geräte im Netz nutzen die VPN-Verbindung“ (o.ä.), dann klappt es so wie ich möchte (Und das immer). Ich bin dann mit der IP der „Zuhause-Fritzbox“ im Internet unterwegs. Schalte ich die Fritzbox aber auf „Nur bestimmte Geräte nutzen die VPN-Verbindung“ (o.ä.), können die ausgewählten Geräte entweder keine Verbindung zum Internet aufbauen oder sind mit der IP der Client-Fritzbox unterwegs, was darauf hindeutet, dass kein Tunnel aufgebaut wurde. Im letzteren Fall sieht man auch bei einem trace route, dass die entfernte Fritzbox zuhause nicht aufgeführt wird.
Warum ist das Bild heute ein anderes, als letzte Woche, obwohl die Config genau die gleiche ist?
Des Weiteren, habe ich den Eindruck, dass die Fritzbox je nach Zugriffsart auf deren GUI anders reagiert. Werden die Änderungen bei der Option „Nur einzelne Clients….“ über ein Samsung-Smartphone gemacht, passiert überhaupt nichts, also es wird kein Tunnel aufgebaut. Erfolgen die Änderungen über ein iPad, scheint es so, als würde der Tunnelaufbau scheitern und die entsprechenden Clients haben keine Zugang mehr zum Internet.
mein Problem hat sich bei genauem Hinsehen in Luft aufgelöst, bzw. es liegt bei mir selbst, da ich die AVM-Anleitung nicht hundertprozentig verinnerlicht habe:
" 10. Falls die VPN-Verbindung nicht nur für Zugriffe auf das entfernte Netzwerk genutzt werden soll, sondern auch sämtliche Internetanfragen über die VPN-Verbindung an FRITZ!Box B (Zentrale) gesendet werden sollen, aktivieren Sie die Option “Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden”."
Und eigentlich steht da auch nicht “alle Geräte” sondern der gesamte Netzwerkverkehr!
Also beide Häkchen an, und schon funktioniert es…
Sorry insbesondere @tarag , dass ich Eure Zeit umsonst in Anspruch genommen habe.
by HarryP: Code-/Logzeilen formatiert (bitte immer in </> einbinden)
