Wireguard Fritzbox 7583

[Greg09]

Hallo,
ich hab eine Fritzbox 7583 aber nur einen DS-Lite Anschluss.
Hab über die Fritbox eine Wireguard-Verbindung erstellt und auf dem Laptop Wireguard installiert. Will einfach auf die NAS von außerhalb zugreifen.
Jetzt hab ich es von 2 verschiedenen W-Lan-Netzen probiert. Bei W-Lan-A hat es ohne Probleme funktioniert. Bei W-Lan-B hab ich aktivieren des Wireguard-Tunnels dann die Meldung bekommen "Angeforderte Name ist gültig. Es wurden jedoch keine Daten des angeforderten Typs gefunden".
Hab darauf hin die Verbindung gelöscht und nochmal erstellt. Das Ergebnis war das gleiche.
Muss ich an der Fritzbox noch was einstellen?

Besten Dank

 

[Harrdy]

Ich geh davon aus das du in WLAN b kein ipv6 zur Verfügung hast, in WLAN a schon.

Dann klappt die Verbindung natürlich nicht

 

[Athlonscout]

Melde dich bei deinem Provider und verlange eine dynamische IPv4-Adresse.
IdR richten die das kostenlos ein.

 

[conf_t]

Nicht jedes WLAN hat auch IPv6 und ohne läuft dein WG nicht

 

[NightfireNES]

Bist du dir sicher, dass du unterschiedliche IP Adress Bereiche hast. Standard bei der Fritzbox ist 192.168.178.x. Wenn die anderen Netzwerke ebenfalls diesen Bereich benutzen funktioniert der vpn nicht. Also muss es z.b 192.168.177.x sein.

 

[till69]

IdR richten die das kostenlos ein

IdR ist extrem providerabhängig. Bei manchen unmöglich bis zu 4,90€/mtl. bei M-Net.

 

[cbtaste420]

Bist du dir sicher, dass du unterschiedliche IP Adress Bereiche hast.

Wird man bei der Einrichtung vom VPN nicht von der FB gezwungen einen anderen Bereich zu wählen?

 

[NightfireNES]

@cbtaste420 also bei mir kam eine Warnung, aber ich musste nichts ändern. Habe es erst vorgestern eingestellt.

 

[Greg09]

Bist du dir sicher, dass du unterschiedliche IP Adress Bereiche hast. Standard bei der Fritzbox ist 192.168.178.x. Wenn die anderen Netzwerke ebenfalls diesen Bereich benutzen funktioniert der vpn nicht. Also muss es z.b 192.168.177.x sein.

Wo genau muss ich das denn ändern?
Nicht dass ich die FB danach überhaupt nicht mehr erreichen kann.
Ich dachte eigentlich dass man mit Wireguard keine IPv4 Adresse mehr braucht. Kostet ja 5€ pro Monat.

 

[Harrdy]

Da muss man nun unterscheiden.

Zum einen hast du die Transportebene. Die kann über IPv4 oder IPv6 realisiert werden. Hier ist auch entscheidend ob ein Anschluss via IPv4 erreichbar ist oder nicht.

Dann gibt es aber auch noch die Tunnelebene. Auch hier muss man sich entscheiden ob im Tunnel IPv4, IPv6 oder sogar beides gesprochen wird.

Es ist also möglich das der Tunnel zwar über IPv6 aufgebaut wird. Im Tunnel selbst aber ausschließlich via IPv4 gearbeitet wird. IPv4 im Tunnel dürfte wohl am verbreitesten sein.

Wenn du nun aus einen WLAN eine Verbindung nachhause via IPv6 aufbaust, aber die IPv4 LAN Bereiche aus dem Quell und Zielnetz identisch oder überlappend sind, dann weiß dein Client trotz stehender Wireguard Verbindung nicht wo die daten hin sollen. Sollen die ins lokale LAN wo sich der Client aktuell befindet oder über Wireguard in das Netzwerk bei dir zuhause. Daher müssen auch die Tunneladressen/bereiche einzigartig sein.

 

[Greg09]

Also, wenn ich keine dynamische IPv4 Adresse hab dann werde ich, von diesem Quell-Netz dass wohl die gleiche IPv4 Adresse hat, niemals auf mein Netzwerk zugreifen können?
Dann muss ich das wohl beim Netzanbieter hinzubuchen?
vielen Dank

 

[Avenger84]

Nein, das wäre das gleiche Dilemma.
Du musst in beiden Fällen den IP Bereich deines LAN ändern z.B. in 192.168.175.x, da 99% der Nutzer von FB diesen nicht verstellen.

 

[Harrdy]

Obwohl die IPv6 Verbindung via Wireguard aufgebaut ist, wirst du Zuhause keine Geräte erreichen. Die überlappenden Bereiche sind rot markiert.

In diesem Szenario hat man keine Probleme.

Und auch hier hätte man keine Probleme.

Dafür ist es nicht nötig eine von extern erreichbare IPv4 vom ISP zu haben. Weil selbst in diesem Fall hat man bei sich überschneidene LAN Bereiche die gleichen Probleme.

 

[00Julius]

Soweit ich weiß, läuft man auch in das Problem, wenn man Zuhause nur IPv6 hat, aber das Netz, in dem man sich gerade befindet, nur IPv4 kann. Das ist z.B. oft in Hotels so. Ich zumindest komme dann nicht auf meine Fritte.

 

[Harrdy]

Das ist korrekt, damit muss man allerdings leben wenn man selbst zuhause keine IPv4 zur Verfügung hat.

 

[Avenger84]

... Das ist z.B. oft in Hotels so.

ich würde aus oft immer machen, habe noch kein Hotel gesehen welches IPv6 hat.

 

[zero135]

Ich weiß nicht, ob ich einen eigenen Threat hierfür aufmachen soll, aber eig. passt es ganz gut dazu - wisst ihr ob man ein beliebiges Netz für die Wireguard Fritzbox nehmen darf? Ich hab z.B. ein 10er Netz (statt der 192) in Verwendung, habe aber das blöde Gefühl, dass das nicht im Sinne des Erfinders ist, ich bekomme den Tunnel zwar aufgebaut, aber keine Antwort, nur Data Sent wird sporadisch größer.

 

[riversource]

Grundsätzlich sollte das kein Problem sein, aber bei 10er Netzen mit großen Subnetzmasken steigt natürlich die Gefahr der Überlappung. Ist es eine LAN-LAN oder eine Client-LAN Verbindung? Wie sieht deine Konfiguration exakt aus?

 

[zero135]

Vielen Dank für die schnelle Antwort!
Entschuldige, das hätte ich natürlich schreiben können. Ich würde gerne mit einem Laptop von außerhalb des Heimnetzes darauf zugreifen also Client-LAN. Ich habe die Default Config genommen, die Fritzbox dann auswirft. Eig. sollte das Netz, gerade mit der 24er Maske keine Überlappung haben:

[Interface]
PrivateKey =
Address = 10.10.10.201/24
DNS = 10.10.10.1
DNS = fritz.box
[Peer]
PublicKey =
PresharedKey =
AllowedIPs = 10.10.10.0/24,0.0.0.0/0
Endpoint =
PersistentKeepalive = 25

(Die leeren Attribute sind in der echten Konfig natürlich befüllt und sowieso von der Fritzbox generiert)
Ich erhalte auch keine Antwort wenn ich nur die 0.0.0.0/0 als allowed definiere.
Kann das auch mit dem IPv4 bzw. IPv6 Problem zusammen hängen?

 

[riversource]

Ich tippe eher darauf, dass entweder die 10.10.10.201 doppelt vergeben ist (kommt schon mal vor in Fritzboxen), oder dass dein lokales Netz, von wo aus du mit dem Laptop die Verbindung aufbaust, mit dem 10er Netz kollidiert.