Fritbox Wireguard + Pihole + u

[Bannister0946]

Hallo zusammen,

ich habe vor kurzem Wireguard an meiner Fritzbox 6660 aktiviert (Labor Version).
Bekomme folgende Config von der Fritzbox generiert:

[Interface]
PrivateKey = XXX
Address = 192.168.178.201/32
DNS = 192.168.178.250, 192.168.178.1, fritz.box

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.178.0/24, 0.0.0.0/0
Endpoint = vpn.meinDDNS.de:51589
PersistentKeepalive = 25

192.168.178.250 ist mein pihole + unbound

Habe die Config so angepasst, das als DNS Server, NUR die .250 angegeben wird.
Verbindnung klappt auch und kann auch alles erreichen.

Nach wenigen Minuten, klappt aber der Internetzugriff nicht mehr.
Keine DNS Auflösung mehr, 8.8.8.8 kann ich noch anpingen, traceroute bringt kein Ergbenis.

Wenn ich die VPN Verbindung dann kurz trenne und wiederherstelle, klappt es wieder.
Nicht Sinn der Sache.

Nun ist mir aufgefallen, wenn ich beim DNS Server nur fritz.box und 192.168.178.1 angebe (also alles ohne pihole), bleibt die Verbindung konstant.

Verstehe nur das Problem nicht.

Hatte vorher testweise Wiregurad als Server auf meiner Synology laufen, damit hat alles tadellos funktioniert (auch mit pihole).
Jemand eine Idee?

 

[Mr.Highping]

Eine Frage? Wo läuft der Pihole drauf? Wenn es nach einigen Minuten nicht mehr klappt klingt das danach, dass der lokale DNS-Cache auf dem Client in einen Timeout läuft.
Ist auf dem Pihole freigegeben, dass er DNS Anfragen von überall beantworten kann?

 

[Bannister0946]

der pihole läuft als docker auf meiner synology.
ja, permit all origins ist aktiviert.

 

[Burfi]

und wireguard hattest du wie auf der Synology ausgeführt? Auch per Docker?
Ich wollte das auch mal als Alternative zu OpenVPN testen.

 

[Bannister0946]

via dieser Anleitung:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Mr.Highping]

der pihole läuft als docker auf meiner synology.
ja, permit all origins ist aktiviert.

Siehst du die DNS Anfragen im Pihole Log von den VPN Clients? Oder kommt das gar nicht an?

 

[Bannister0946]

doch, zu Beginn klappt ja alles. Aber nach einigen Minuten => nix mehr

 

[h00bi]

Nach wenigen Minuten, klappt aber der Internetzugriff nicht mehr.
Keine DNS Auflösung mehr

NS-Cache auf dem Client in einen Timeout läuft.

das könnte man per nslookup testen, indem man manuell einen anderen Server angibt

nslookup heise.de

nslookup heise.de 9.9.9.9

 

[Bannister0946]

habe gerade im Fehlerfall einen nslookup gemacht.
mit angebage von meinem pihole, wurde auch vom pihole aufgelöst.

der name wurde auch aufgelöst, als ich die 9.9.9.9 angegeben habe oO

Aber kann keine Webseiten aufrufen

 

[Datax]

Wie führst du denn deinen WireGuard-Test durch?

Hast du ein Smartphone (mit getrennter WLAN-Verbindung), das du ins Mobilfunknetz einbuchst,
mit welchem du dich wirklich von extern mit dem WireGuard-Server der FritzBox verbindest?

 

[Bannister0946]

Genau. Nutze mein iPhone als Hotspot.
Am iphone habe ich aber das selbe Problem. Über mobile Daten drin und mit wireguard Client aktiv

 

[Datax]

Genau. Nutze mein iPhone als Hotspot

Und da ist auch sichergestellt, dass die Internetverbindung über den Hotspot stabil funktioniert?

In deinem 1. Post hast du die Client-Config gepostet:
-------------------------------------------------------------------------
[Interface]
PrivateKey = XXX
Address = 192.168.178.201/32
DNS = 192.168.178.250, 192.168.178.1, fritz.box


[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 192.168.178.0/24, 0.0.0.0/0
Endpoint = vpn.meinDDNS.de:51589
PersistentKeepalive = 25
-------------------------------------------------------------------------

Bin mir nicht zu 100 % sicher, ob das die Ursache für dein Problem ist,
aber vielleicht ist die Konfiguration "AllowedIPs = 192.168.178.0/24, 0.0.0.0/0"
im Bereich [Peer] nicht ganz in Ordnung.

Ändere diese Zeile doch einfach mal in Folgendes:
AllowedIPs = 0.0.0.0/0

Mit 0.0.0.0/0 routest du so oder so bereits alle IPv4-Ziel-IPs in den VPN-Tunnel.

Und danach einfach nochmal testen.

Dein Pi-Hole ist ebenfalls im 192.168.178.0/24-Netz und hat die FritzBox als Default-Gateway?

 

[Bannister0946]

Ja hostpot ist stabil. hatte bislang meine synology als openvpn server laufen in der Konstialation (ohne Probleme)

AllowedIPs = 0.0.0.0/0 hatte ich auch schon getestet - selbes Ergebnis
Pihole hat die Fritzbox als Gateway

 

[Datax]

Ja hostpot ist stabil. hatte bislang meine synology als openvpn server laufen in der Konstialation (ohne Probleme)

AllowedIPs = 0.0.0.0/0 hatte ich auch schon getestet - selbes Ergebnis
Pihole hat die Fritzbox als Gateway

Hm, okay. Hörst sich von der Konfiguration her alles tip top an.

Du hast eine Labor-Version auf deiner FritzBox installiert. Vermutlich funktioniert dein WireGuard-Setup problemlos, wenn WireGuard es in eine Stable-Version von FriztOS geschafft hat.

Wenn du WireGuard auf einem "Raspberry Pi" installierst, dann wird dein Setup ebenfalls funktionieren.

 

[Bannister0946]

Ja dachte ich auch!
hatte sogar testweise mal einen wireguard server auf meiner syno aufgesetzt, welcher ebenfalls tadellos funktioniert hat - mit pihole!

Deswegen dachte ich auch: ja, muss an der fritzbox liegen.
ABER, dann dachte ich mir wieder: Wenn ich den pi hole ja raus lasse und als dns die fritzbox lasse, klappt wireguard von der fritzbox ebenfalls tadellos!

Der einzige Unterschied:
Wireguard Server läuft auf der Fritzbox und nicht auf der syno (wo auch pihole läuft)

 

[Datax]

Ja dachte ich auch!
hatte sogar testweise mal einen wireguard server auf meiner syno aufgesetzt, welcher ebenfalls tadellos funktioniert hat - mit pihole!

Warum hast du es nicht einfach so belassen?

Wenn du bereits ein Setup hattest, wo der WireGuard-Server + Pi-Hole auf dem Synology-NAS betrieben wurden und alles funktioniert hat.... warum denkst du dann noch über eine Änderung deines Setups nach?

Alles funktioniert.... und dann reißt du einfach alles auseinander und baust es so um,
dass es nicht mehr funktioniert. Bei einer Labor-Version des FritzOS war ein möglicher Stolperstein bereits bekannt, bevor du dein Vorhaben mit WireGuard auf der FritzBox etc. angegangen bist.

Dein Abrücken von deinem alten Setup (das bereits funktioniert hat), verstehe ich nicht wirklich.

 

[Bannister0946]

Naja, ich habe ja nichts abgerissen, sondern ich baue mir etwas neues parallel auf - soviel zu Punkt 1.
Punkt 2. natürlich ist es sicherer / bessere den Router als VPN Einstiegspunkt zu nutzen, und nicht einen Port am Router zu öffnen, um dann die Cloud über das Internet erreichen zu können und dann erst die VPN Verbindung aufzubauen.

 

[Datax]

natürlich ist es sicherer / bessere den Router als VPN Einstiegspunkt zu nutzen, und nicht einen Port am Router zu öffnen, um dann die Cloud über das Internet erreichen zu können und dann erst die VPN Verbindung aufzubauen.

Also das sehe ich deutlich anders. Wenn man vergleicht wie leicht oder schwer ein Angreifer in dein Netzwerk kommt, wenn der VPN-Server auf deiner FritzBox oder auf einem Router hinter der FritzBox läuft, dann kann man zu diesem zu anderen Schlussfolgerungen kommen.

In beiden Fällen (VPN-Server auf FritzBox +VPN-Server auf Gerät hinter FritzBox) muss ein möglicher Angreifer den VPN-Server (VPN-Dienst) des Geräts "hacken", auf dem der VPN-Server läuft.

• ein Angreifer hackt den VPN-Server deiner FritzBox hackt -> der Angreifer ist in deinem Netzwerk.
• ein Angreifer hackt den VPN-Server eines VPN-Routers hinter deiner FritzBox -> der Angreifer ist in deinem Netzwerk.

Den VPN-Server auf einem Gerät hinter deiner FritzBox laufen zu lassen, würde dir (zum Beispiel bei einem Rasberry Pi) die Möglichkeit bieten die Quell-IPs einzuschränken, die eine VPN-Einwahl machen dürfen. In der Praxis wiederum beschränkt man die Quell-IPs wiederum selten, weil die Einwahl von unbekannten Quell-IPs (z. B. über das Mobilfunknetz) erfolgt. Folglich ist die Einwahl in beiden Fällen (VPN-Server auf der FritzBox + VPN-Server auf VPN-Router hinter der FritzBox) von x-beliebigen Quell-IPs möglich.

Fragt sich am Ende nur, welchen VPN-Server (VPN-Dienst) der Angreifer besser hacken kann, den der FritzBox oder den, der auf einem Gerät hinter deiner FritzBox läuft.

Noch ein Hinweis:
--------------------
Deine FritzBox ist von extern über mehr Ports erreichbar als ein VPN-Router hinter deiner FritzBox, an den nur genau 1 Port per DNAT (Portweiterleitung) durchgereicht wird. Die FritzBox bietet also eine größere Angriffsfläche als ein Raspberry Pi mit aktuellem Update-Stand und sicher konfiguriertem VPN-Server.