Wireguard - das klappt aber nicht

Hallo Dieter,

ob wir das übers Forum so hinbekommen wage ich ein bischen zu bezweifeln.

Wireguard sagt meines Wissens auch dann AKTIV wenn die Verbindung selber noch Fehler hat, also keine Verbindung stattgefunden hat.

Ist Dein Endpunkt, zu dem Du Dich verbindest, eine feste IP-Adresse die sich nicht ändert?

Wenn Deine Verbindung stabil und erfolgreich ist, dann solltest Du zumindest auf die Wireguard-Adressen Deiner Fritzboxen zugreifen können.

Sprich, wenn die eine Fritzbox die IP 172.13.10.1 und die andere 172.12.10.2 in Wireguard hat (VPN ist ja ein eigener Adressbereich) und Du kannst von der einen auf die jeweils andere zugreifen, dann passt auch die Verbindung.

Um auf das lokale Netz dann über Wg zuzugreifen muss Masquerading aktiviert werden, so zumindest auf meinen Raspis, oder Routern die ich so verwende, ne Fritzbox ist da allerdings nicht dabei.

Gruß

Martin

Die IP Adressbereiche müssen unterschiedlich sein, z.B.:

1. FritzBox: IP 172.13.10.1

2. FritzBox: IP 172.13.11.1

Maske: 255.255.255.0

Im Netz findest du viele Beschreibungen, wie man 2 FRITZ!Boxen verbindet.

Ich habe das seit langer Zeit über Myfritz gemacht, da gab es die direkte Möglichkeit mit Wireguard noch nicht…

Gruß Martin

Quote from dieterpapa

Hi Martin, die FBs haben unterschiedliche IP-Kreise

Natürlich haben sie das, und das VPN hat einen dritten unterschiedlichen IP-Kreis (zumindest bei mir).

Hier mal ein Beispiel einer Server-Konfiguration, zur Verdeutlichung, mit 2 Clients und einem Router mit Netz dahinter:

[Interface]
ListenPort = 51999
PrivateKey = <pk1>
Address = 10.6.3.1/24, 2a01:4f8:c0c:70e5::1/24

#macbook
[Peer]
PublicKey = <pbk1>
AllowedIPs = 10.6.3.2/32

#handy
[Peer]
PublicKey = <pbk2>
AllowedIPs = 10.6.3.3/32

#router
[Peer]
PublicKey = <pbk3>
AllowedIPs = 10.6.3.4/32, 192.168.178.0/24

Die Client-Konfig auf Macbook sähe dann so aus:

[Interface]
PrivateKey = <pk2>
Address = 10.6.3.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = <pbkserver>
AllowedIPs = 0.0.0.0/0
Endpoint = 90.90.90.90:51999
PersistentKeepalive = 15

In dem Beispiel hier muss der Server unter der IP-Adresse 90.90.90.90 aus dem Internet heraus erreichbar sein, sprich er braucht eine öffentliche IPv4-Adresse die sich bestenfalls nicht ändert.

Das kann meines Wissens auf ne dynamische DNS-adresse sein, aber diese muss erreichbar sein.

Läuft nun Wireguard auf dem Server korrekt und baut der Client seine Verbindung korrekt auf, dann sind der Server über die VPN-Verbindung mit der IP 10.6.3.1 und das Macbook über die IP 10.6.3.2 anpingbar, sprich erreichbar.

Über die IP des VPN.

Wählt sich jetzt der Router noch mit ein, dann hat er die IP 10.6.3..4 und hinter ihm steht das Netz 192.168.178.0/24.

Kann man dann die 10.6.3.4 anpingen kommt aber nicht auf das Netz sondern erreicht nur den Router ist dort kein Masquerading aktiviert.

Kommt man auf die IP 10.6.3.4 nicht dann hat was mit der Verbindung nicht geklappt.

Ich kann dir auch mal helfen beim Einrichten, Dieter.

Gruß

Martin

Wichtig ist dass die FB im WoMo die Verbindung nach Hause aufbaut. Du wirst im WoMo keine Public IP bekommen - ist der Normalfall für SIM-Karten. Ja ich weiss, es gibt welche die haben ne Routebare Public IP. Aber einfacher ist das andersherum... Das ist schon mal das wichtigste.

Beim Rest mit den FB!en bin ich wie immer raus....

Hallo Dieter.

Wenn DU bei O2 einen reinen Datenvertrag abgeschlossen hast kannst Du eine Öffentliche IPV4 für einmalig 50,00EUR beantragen.
Bitte wende Dich dazu an die O2 Hotline.
Die IPV4 ist aber "nur" öffentlich - keine feste IPV4 - macht aber nichts wenn beide Fritten eine myFritz! DNS Zuordnung haben.

Hast Du zuhause einen Glasfaser Anschluss?

Wenn ja, dann hast Du bestimmt einen "Dual Stack lite" Anschluss.

Nur die neuesten Fritz!OS Varianten unterstützen Wireguard VPN mit IPV6!

Zusätzlich wirst Du im Ausland Probleme bekommen, da im Ausland die meisten Mobilfunknetze (noch) kein IPV6 unterstützen.

Wenn das der Fall ist musst Du leider einen "Portmapper" nutzen da Dein Anschluss zuhause nur IPV6 hat.
Die event. in der Fritte angezeigte IPV4 Adresse ist nur virtuell.

Google mal nach "DS lite VPN"

Ich habe einen vServer mit Ubuntu-Linux bei IONOS für 1,00EUR/monatl. als Portmapper laufen

beste Grüße,

Hilger

Quote from dieterpapa

Was ich möchte, ist, von außerhalb des WoMos, egal wo ich bin, auf Homeassistant zuzugreifen.

Das ist schon klar - aber wie gesagt hast Du vermutlich keine Public IP im WoMo - dann geht das nur von hinten durch die Brust ins Auge. Oder Du machst das wie Hilger. Dazu müsstest Du Dich allerdings ein bisschen auskennen mit Linux usw. um einen Server im Internet entsprechend so zu konfigurieren, dass Du über diesen ins WoMo kommst.

Das Them WireGuard in Verbindung mit den FB! ist ein leidiges Thema. Genau deshalb mag ich die Dinger nicht so gerne. Wenn WireGuard so konfiguriert wird wie es AVM vorsieht dann geht der gesamte Traffic durch den WireGuard Tunnel und das will man eigentlich nicht...