AVM FritzBox FW7.50 und existierendes Wireguard?
-
Hi
hab gestern meine 7590 auf FW 7.50 upgedated und dachte alles wäre ok. Heute stelle ich Probleme mit der Wireguard-Verbindung fest. Bisher und erstmal auch weiterhin läuft hinter der FB ein Wireguard-Server.
Beim manuellen Auf/Abbau der Verbindung bilde ich mir ein seit Neustem eine IPv6 zu sehen, wo vorher eine IPv4 bzw. auch eine DynDNS Adresse stand.
Es sieht also so aus als ob ein Tunnel (irgendwohin) steht, aber Traffic bekomme ich keinen darüber.
Hatte nun den Standardport von WG 51820 in verdacht und hab mal einen anderen Port konfiguriert mit ähnlich schlechten Ergebnis. Der Port ist natürlich in der FB weitergeleitet und WG in der FB komplett unkonfiguriert/abgeschaltet. Das Problem ist erst durch das FW update aufgetreten.
Hab ihr eine Idee bzw. ähnliche Effekte bemerkt?
Thx!
-
@dieter_p In der FW 7.5 ist Wireguard implementiert.
Kommt sich da evtl. etwas in die Quere mit Deinem Wireguard hinter der Fritzbox? -
@andreas-5 said in AVM FritzBox FW7.50 und existierendes Wireguard?:
@dieter_p In der FW 7.5 ist Wireguard implementiert.
Kommt sich da evtl. etwas in die Quere mit Deinem Wireguard hinter der Fritzbox?Das ist auch meine Vermutung und erster Ansatz war den (Standard)Port meiner bisherigen Konfiguration zu wechseln und Wireguard in der FB möglichst deaktiviert zu lassen, aber anscheinend klappt das nicht.
Stimmt die These dürften noch mehr Leute mit Wireguardnutzung und jetzt FW7.50 damit Probleme bekommen. Darum frag ich mal ob wer mehr weiß oder ähnliches feststellt? -
@dieter_p
Hallo, eben getestet, selbes Problem. Am Handy baut sich der Tunnel zwar noch ohne Fehler auf, aber dann kommen keine Daten. -
vielen Dank. Genau wie auch bei mir am Client und auch am Smartphone. Du nutzt den Standardport oder was Anderes?
-
@dieter_p
Also ich habe einen anderen Port genommen, aber ich weiß nicht mehr aus dem Kopf welcher es war. Ich werde später Mal nachsehen -
Danke schon OK. Ist sicher auch nicht gut, wenn jeder seine offenen Ports postet. Mir ging es nur um den Nicht-Standard. Hat mich nur interessiert und da mag mein Verständnis auch falsch sein, aber wenn die FB den Standardport "ablauscht" hätte ich es noch vermutbar verstehen können. So weniger.
-
@dieter_p
Wenn ich es richtig im Kopf habe enabled die FB ab 7.50 IPv6 per default.
Wenn du bisher IPv6 abgeschaltet hattest könnte das auch mitspielen.Aber wie gschreieben - ich nur ein Hintergrundwissen und ich habe jetzt nicht nachgeschlagen wo ich das gelesen habe (glaub es war 'ct)
-
@mcm57
Danke, mmh eine Thematik die ich bisher vor mir her geschoben hab. Wird es jetzt Mal Zeit dort tiefer einzusteigen und etwas zu verstehen. Ganze Netzwerke umzubauen und gleichzeitig dabei Troubleshooting zu betreiben klingt aber sportlich in einem Rutsch. Da juggt es in den Finger temporär nochmal ein Downgrade der FW zu prüfen...
-
@dieter_p
So wie ich es verstanden habe ist IPv6 nur per default aktiv. Kann aber durchaus abgeschaltet werden! -
@mcm57
Thx, konnte es leider noch nicht finden. Taumel gerade zwischen FritzBox und DDNSS Account Settings hin und her. Im DDNSS bin ich mir nicht sicher ob die IPv4 Infos noch übermittelt bei Update oder ob ich die gerade selber durch meinen Account-LogIn erzeugt hab. Dual-Stack hab ich mal aktiviert und in der FritzBox finde ich noch Infoangaben zur IPv4, dass die FritzBox hierüber erreichbar wäre. Mir kommt es aktuell vor, als ob die IPv6 vorrangig oder alleinig von DDNSS verwendet werden. Wenn ich da auf IPv4 zürück käme wäre das auch eine Lösung.
Aber defintiv der richtige Weg in die Zukunft wäre die IPv6 meines WG-Servers irgendwie im DDNSS zu hinterlegen oder direkt den WG-Server auf der FritzBox zu nutzen. Den reinen Konfi-File meines derzeitigen WG-Servers möchte die FB aber nicht annehmen. Suche aktuell Beispiele für Konfi Files die die FB akzeptiert um meine Settings entsprechend dort so einzufügen.
-
@mcm57
Da mein Anschluss auf an der FritzBox scheinbar voll IPv4 und IPv6 unterstützt und entweder die Umstellung auf IPv6 oder auch Umzug des WG-Servers auf die FB nicht mal so eben vollziehbar ist für eine bestehende Site-To-Site Verbindung habe ich in der FB unter Internet/Zugang/IPv6 diese Option deaktiviert.
Schon zeigt mein DYNDNS Anbieter DDNSS wieder die IPv4 an und der Tunnel funktioniert wieder wie zuvor.
Also schön, aber in Richtung Zukunft geschaut, werde ich mich wohl oder übel mal mit IPv6 und der FB beschäftigen müssen.......wenn Zeit dafür ist
-
@dieter_p
Zum IPv6 ein paar Anmerkungen:-) Du hast derzeit sicher ein Portforwarding in IPv4 eingerichtet. Für IPv6 musst die Freigaben neu eintragen (sollte unter Internet->Freigaben gehen)
-) Unter IPv6 haben alle deine Geräte im Internet eindeutige Addressen. Dein Router ist daher nicht unter der IPv6 der FB sondern unter seiner eigenen IP erreichbar. Möglicherweise ist dein IPv6 Prefix sogar fix und du brauchst gar keinen DDNS Anbiete mehr. Aber das kann dir nur dein Provider sagen
Wenn du dein ganzes Netzwerk erreichen willst würd ich aber zuerst versuchen das VPN auf der FB terminieren zu lassen.
-
@mcm57
Danke, bin heute daran gescheitert die IPv6 des WG-Servers im DynDns zu hinterlegen. Das DynDns ist auf der FB konfiguriert und somit kennt DynDns die IPv6 des Servers gar nicht. Hab irgendwo was von ID-Hosts gelesen was der DynDns Anbieter unterstützen muss, ob DDNSS das kann und wie hab ich nicht verstanden.
Danke, guter Hinweis die Ports nochmal zu öffnen wäre sicher ein Stolperstein geworden.
Nach dieser "Stolperrei" ist es aber wohl am sinnvollsten direkt die FB als WG-Server einzurichten. Dies würde ich am liebsten über bestehende oder angepasste Config-Files tun, da ich dann grob weiß was passiert. Aber die FB nimmt meine Files nicht an. Kennt jemand Beispiele was die Fritzbox annimmt.
Sonst bleibt nur komplett neu anfangen. Bei einer Site-to-Site Verbindung aber immer nervig, da man nie an beiden Orten gleichzeitig ist und höllisch aufpassen muss sich Remote nicht selbst auszusperren.
-
@dieter_p
Bei Heise gibts ne Anleitung:
https://www.heise.de/ratgeber/Fritzbox-VPN-Was-WireGuard-ausmacht-und-wie-man-es-konfiguriert-7313143.html?seite=allAllerdings ist dei Abbonenten vorbehalten. Ev. hast du ja ein Abo oder kennst wen mit Abo ...
Würd aber erwarten dass AVM auch ne Anleitung auf der Seite hat.
