AVM Fritz!OS 7.50 WireGuard-Verbindung mit einem Gerät nicht möglich?

[ghostp]

Hallo,

den gesamten Netzwerkverkehr über die WireGuard-Verbindung zu senden funktioniert einwandfrei. Leider funktioniert nicht die Option "Nur bestimmte Geräte im Heimnetz.....".

Mein Ziel ist: Nur ein Gerät läuft über die WireGuard-Verbindung, der Rest über den Provider. Meine Box ist die FRITZ!Box 7590.

Konnte jemand den Fehler bereits reproduzieren beziehungsweise erfolgreich eine WG-Verbindung mit nur einem Gerät herstellen?

 

[Bob.Dig]

@ghostp Das ist kein Modus, den die Fritzbox unterstützen würde und wird.

 

[ghostp]

Also der Modus wird zumindest angeboten. Siehe screenshot.

 

[Holzkopf]

Nur bestimmte Geräte im Heimnetz..... und Gesamten Netzwerkverkehr über das VPN leiten wird nicht klappen.

 

[ghostp]

Das ist mir klar und ich möchte ja nur ein Gerät aus dem Netzwerk über WG laufen lassen. Das eben scheint nicht zu funktionieren.

 

[Holzkopf]

Laut der Fehlermeldung hast du in dem gerät das du konfigurieren möchtest allowedIP auf 0.0.0.0/0,::/0 konfiguriert, was gesamten Datenverkehr entspricht.

 

[ghostp]

Das ist korrekt :-) Wie stelle ich es ein, damit WG mit nur einem Gerät kommuniziert?

 

[Holzkopf]

erkläre mal die topologie des netzes und welches gerät von wo nach wo kommunizieren soll.

 

[ghostp]

Mein WG-Server läuft auf einem VPS mit Debian 11. Ich benutze hierfür das WireGuard Easy von https://github.com/weejewel/wg-easy

Damit habe ich eine *.conf generiert, die ich in die FB importiere. Siehe screenshot.

Im Heimnetzwerk der FB habe ich diverse Geräte drin. Es soll nur das eine Gerät "Wohnzimmer" (IP bsp. 192.168.100.50) im Heimnetzwerk mit dem WG-Server kommunizieren, mehr nicht. Restlicher traffic soll normal ins Internet gehen.

 

[h00bi]

Im Heimnetzwerk der FB habe ich diverse Geräte drin. Es soll nur das eine Gerät "Wohnzimmer" (IP bsp. 192.168.100.50) im Heimnetzwerk mit dem WG-Server kommunizieren

Die Einstellung in der Fritzbox bewirkt das Gegenteil.
Wenn man sich von außen per wireguard auf der FB einwählt, kommt man nur auf "Wohnzimmer" und sonst nirgends hin.
Mit dem ausgehenden Traffic von Wohnzimmer hat das nichts zu tun.

Wenn du eine conf von wg-easy auf der FB importierst, machst du eine ausgehende Verbindung in der FB, keine eingehende.

Also Mal abgesehen davon dass Traffic natürlich in beide Richtungen möglich ist.

 

[ghostp]

Daher ist das Ziel, wie bekomme ich es hin, dass nur das "Wohnzimmer" permanent mit dem WG-Server verbunden wird? :-)

 

[riversource]

Indem du den VPN Client auf "Wohnzimmer" installierst.

 

[ghostp]

Das macht doch keinen Sinn, denn wenn die FritzBox als WG(VPN) fungiert, dann gehen alle im netzwerk befindlichen Geräte über die WG-Verbindung, ohne dass auf allen Geräten der Client installiert ist. Die WG-VPN Einrichtung der FritzBox bietet eben diese "Filterungsfunktion" von bestimmten Geräten im Netzwerk an, nur ich kriege es nicht zum Laufen.

 

[norKoeri]

Post #3, Screenshot, dort steht „erreichbar“. Das ist die eingehende Richtung. Du willst abgehend. Ich wüsste keinen Trck, wie Du der FRITZ!Box sagst, dass eine abgehende VPN-Verbindung nur von einem LAN-Client genutzt werden soll.

 

[riversource]

Mit der Fritzbox bekommst du das nicht hin. Das liegt daran, dass AVM ein VPN immer noch wie ein richtiges VPN betrachtet, und nicht wie einen verkappten Proxy.

Wenn du dein Endgerät nicht direkt mit einem Client ausrüsten kannst, dann musst du einen Raspi oder ein anderes Gateway dazwischen hängen.

 

[ghostp]

Gibt's hier irgendwo eine einfache Anleitung, wie man den Raspi zusammenbaut und kofiguriert?

 

[riversource]

Die kann es gar nicht geben, weil das natürlich individuell für deine Randbedingungen aufgesetzt werden muss. WAN auf WLAN? WAN auf LAN? WLAN Accesspoint erforderlich? Adressbereiche für WAN, LAN und VPN? VPN Anbieter? usw.

Hinweis: Geh Schritt für Schritt vor. Überleg dir, wie der Raspi in die Kette muss, welche Adressen es schon gibt, schau dir die Randbedingungen deines VPN Anbieters an und dann plane die Einrichtung.

 

[norKoeri]

einfache Anleitung

Du könntest Dir auch einen vorgefertigten VPN-Router holen, also zum Beispiel was von GL.iNet. Die gehen sowohl LAN als auch WLAN. Und die Web-Oberfläche ist relativ einfach. Bekommst Du als eBay-Auktion vergleichsweise günstig, teilweise unter 20€, neu für 30€.

Nur das gelbe Modell Mango würde ich nicht nehmen, weil wohl kein WPA3-Transition-Mode mehr kommt. Also stattdessen ein Shadow, wie den GL-AR300M16 (oder direkt Hersteller-Shop versandt aus dem EWR). Aber nicht dessen alte Variante „Lite“, denn die hat keinen LAN-Port. Und die Variante „Ext“ Veriante – also die mit externen Antennen – braucht man in Deutschland nicht. Nachteil: Wenig Speicher, wenn Du noch mehr als WireGuard machen willst, also weitere Software-Pakete installieren willst.

Und IPv6 ist auch noch ein Drama; aber mit viel Aufwand machbar.

 

[Holzkopf]

@ghostp
Wenn ich das richtig sehe geht es darum ein AppleTV über VPN die Internet-verbindung deines VPS nutzen zu lassen ?

Falls ja gibts im Appstore den Wireguard Client mit dem du dich dann auf dem VPS als Endpoint verbinden kannst.

 

[h00bi]

Daher ist das Ziel

Fang doch mal ganz vorne an. Was ist denn das echte Ziel?
Also was willst du erreichen?
Dass der "Wohnzimmer" CLient bei dir zuhause ständig mit dem WG Server verbunden ist?
Für was? Daten abholen per SMB? Zum streamen per Plex?
Was für ein Client ist "Wohnzimmer"?