AVM Fritz!OS 7.50 WireGuard-Verbindung mit einem Gerät nicht möglich?

[Pummeluff]

@ghostp

Ich hab noch mal nachgesehen in meiner Config.

Du kannst nicht den gesamten Traffic für nur ein Gerät in einem LAN über das Wireguard-Gateway laufen lassen, wenn du eine LAN2LAN-Verbindung aufgebaut hast.

Was du machen kannst:
Auf dem einen Gerät müsstest du einen Wireguard-Client installieren, der sich zum V-Server verbindet. Allerdings wird das wieder zu einem Routing-Konflikt führen, wenn das gesamte Heimnetz über die Fritzbox ebenfalls mit dem V-Server verbunden ist.

Ich hab mir für einzelne Geräte (Smartphone) 2 Profile angelegt. Bei einem wird der gesamte Traffic über den V-Server geleitet, beim anderen nur der Traffic der Ziel-LANs. Aber die einzelnen Geräte befinden sich dann nicht in der LAN2LAN-Kopplung.

 

[ghostp]

Die kann es gar nicht geben, weil das natürlich individuell für deine Randbedingungen aufgesetzt werden muss. WAN auf WLAN? WAN auf LAN? WLAN Accesspoint erforderlich? Adressbereiche für WAN, LAN und VPN? VPN Anbieter? usw.

Hinweis: Geh Schritt für Schritt vor. Überleg dir, wie der Raspi in die Kette muss, welche Adressen es schon gibt, schau dir die Randbedingungen deines VPN Anbieters an und dann plane die Einrichtung.

Mein Setup ist ganz einfach. FritzBox----[LAN-Kabel]--->AppleTV.

Du könntest Dir auch einen vorgefertigten VPN-Router holen, also zum Beispiel was von GL.iNet. Die gehen sowohl LAN als auch WLAN. Und die Web-Oberfläche ist relativ einfach. Bekommst Du als eBay-Auktion vergleichsweise günstig, teilweise unter 20€, neu für 30€.

Nur das gelbe Modell Mango würde ich nicht nehmen, weil wohl kein WPA3-Transition-Mode mehr kommt. Also stattdessen ein Shadow, wie den GL-AR300M16 (oder direkt Hersteller-Shop versandt aus der EWR). Aber nicht dessen alte Variante „Lite“, denn die hat keinen LAN-Port. Und die Variante „Ext“ Veriante – also die mit externen Antennen – braucht man in Deutschland nicht. Nachteil: Wenig Speicher, wenn Du noch mehr als WireGuard machen willst, also weitere Software-Pakete installieren willst.

Und IPv6 ist auch noch ein Drama; aber mit viel Aufwand machbar.

Ich würde den Router daher zwischen FritzBox und AppleTV schalten?

@ghostp
Wenn ich das richtig sehe geht es darum ein AppleTV über VPN die Internet-verbindung deines VPS nutzen zu lassen ?

Falls ja gibts im Appstore den Wireguard Client mit dem du dich dann auf dem VPS als Endpoint verbinden kannst.

Korrekt! Ich möchte, dass mein AppleTV per WireGuard auf mein VPS zugreift! Im Appstore für den AppleTV gibt es kein WireGuard Client, leider.

Fang doch mal ganz vorne an. Was ist denn das echte Ziel?
Also was willst du erreichen?
Dass der "Wohnzimmer" CLient bei dir zuhause ständig mit dem WG Server verbunden ist?
Für was? Daten abholen per SMB? Zum streamen per Plex?
Was für ein Client ist "Wohnzimmer"?

Der Client "Wohnzimmer" ist das AppleTV :-) Ich möchte, dass dieser sich über WireGuard mit dem VPS verbindet.

@ghostp

Ich hab noch mal nachgesehen in meiner Config.

Du kannst nicht den gesamten Traffic für nur ein Gerät in einem LAN über das Wireguard-Gateway laufen lassen, wenn du eine LAN2LAN-Verbindung aufgebaut hast.

Was du machen kannst:
Auf dem einen Gerät müsstest du einen Wireguard-Client installieren, der sich zum V-Server verbindet. Allerdings wird das wieder zu einem Routing-Konflikt führen, wenn das gesamte Heimnetz über die Fritzbox ebenfalls mit dem V-Server verbunden ist.

Ich hab mir für einzelne Geräte (Smartphone) 2 Profile angelegt. Bei einem wird der gesamte Traffic über den V-Server geleitet, beim anderen nur der Traffic der Ziel-LANs. Aber die einzelnen Geräte befinden sich dann nicht in der LAN2LAN-Kopplung.

Ich will nicht den gesamten Traffic für nur ein Gerät in meinem LAN über das WG-Gateway laufen lassen. Es soll nur das AppleTV darüber laufen. Alle anderen Geräte ganz normal über mein Provider.

 

[h00bi]

Wenn der AppleTV keinen Wireguard Client hat, dann wäre das über policy based routing möglich, das geht aber nicht mit Consumer Routern wie einer Fritzbox. Da muss ein zusätzlicher Host her, der sich um dieses Routing kümmert.

 

[Holzkopf]

Korrekt! Ich möchte, dass mein AppleTV per WireGuard auf mein VPS zugreift! Im Appstore für den AppleTV gibt es kein WireGuard Client, leider.

oh stimmt nicht für den AppleTV ...
Es gibt da auf github ein fork Link
Falls du dir das zutraust

 

[ghostp]

Zutrauen ja aber ich möchte mein Gerät nicht jailbreaken :-)

Ergänzung (17. Januar 2023)

Ich finde die Lösung mit Gl.inet von norKoeri sehr interessant, auch von den Kosten her scheint es unschlagbar zu sein. Ich werde das Thema mal eben vertiefen.

 

[riversource]

Ich würde den Router daher zwischen FritzBox und AppleTV schalten?

Genau so ist es. Der Router müsste mit seinem WAN Port an die Fritzbox und sein LAN ist mit dem AppleTV verbunden.
Dann musst du nur noch IP Adressbereiche fürs LAN und das VPN-Transportnetz wählen und die VPN Verbindung konfigurieren. Dazu dann noch Routing und Forwarding auf dem VPS (NAT etc.). Dann sollte es auch schon klappen.

 

[ghostp]

Ich möchte euch mal eben feedback geben, wie ich mein Anliegen nun erfolgreich gelöst habe.

Die einfachste, günstigste und schnellste Lösung war die von @riversource , DANKE! ;-)

Ich habe mich schlussendlich für den GL-SFT1200 (Opal) bei AMZN für 44,50€ entschieden, auch wegen der WLAN-Funktion im Urlaub uns so. Das war mir die +15€ Wert.

Der Anschluss war problemlos und ich hatte schnell Zugriff auf die Admin-Einstellungen. Dank 2-3 YouTube Videos war der WireGuard-Client schnell konfiguriert und die Verbindung so, wie ich sie wollte, klappte direkt beim ersten Mal Die Möglichkeiten, die das Gerät bietet, sind schon enorm und es werden schon sehr viele Optionen angeboten.

Der Router hängt nun zwischen der FritzBox und mein AppleTV. Alle restlichen Geräte im Heimnetzwerk gehen ganz normal ins Internet, nur das AppleTV ist im VPN. Sehr geil finde ich den "On/Off"-Schieber am Gerät. Damit kann ich den WireGuard-Dienst mit einem Schieber aus- und wieder anschalten.

Was mir weniger gefällt ist die Geschwindigkeit. Ich habe einen 250 Mbit/s Anschluss. Mit dem WG-VPN-Tunnel sind maximal 50-60 Mbit/s drin. Eine WireGuard Konfiguration direkt über die FritzBox bringt 230 Mbit/s. Es scheint als wird hier per Hardware bzw. Software begrenzt. Wenn man mehr will, muss man tiefer in die Tasche greifen. Für 90 Mbit/s käme der GL-MT1300 (Beryl) mit 81€ in Frage respektive 190 Mbit/s GL-A1300 (Slate Plus) mit 99€.

Ein Support-Ticket bei AVM zu dem Thema läuft schon seit 14 Tagen. Vielleicht kriegen sie das hin mit der Konfiguration und ich kann den GL-Router dann wieder zurückschicken