Fritz!Box verbindet nicht mit VPS

[Xiaolong]

Hallo zusammen,

ich habe hier ein kleines Problemchen. Da ich hinter einer CGNAT sitze mit meinem Starlink, das NAS und mein Rechner aber noch von außen zugänglich sein müssen, habe ich mir bei Strato einen kleinen Linuxserver gemietet. Auf diesem läuft aktuell Ubuntu 22.04. Wireguard ist installiert.

Als Hardware zu Hause habe ich eine Fritzbox 7590 AX im Einsatz. Diese sitzt hinter dem Starlink. Nun war meine Idee:

Fritzbox verbindet sich mit Stratoserver
Endgeräte verbinden sich mit Stratoserver
Das interne Netz (172.16.1.x) wird von außen nach innen über den Stratoserver geroutet.

Allerding lässt sich die Verbindung mit der Fritzbox nicht einrichten und die AVM Supportseiten geben keine weiteren Infos her. Mein Vorgehen:

Internet » Freigaben » VPN (WireGuard) » Verbindung hinzufügen » Netzwerke koppeln oder spezielle Verbindungen herstellen » Ja (Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt?) » Name + Config auswählen und dann:

Nehme ich exakt die selbe Datei und schiebe diese in den Windows Desktopclient läuft die Verbindung sofort.

Spoiler: siehe hier

Handshake ist da und alles ist sauber. Hier noch die configs:

Spoiler: server.conf

[Interface]
Address = 10.0.0.1/24
ListenPort = 12000
PrivateKey = ServerPrivateKey=
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = Peer1Key
PresharedKey = PreShareKey1
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = Peer2Key
PresharedKey = PreShareKey2
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = Peer3Key
PresharedKey = PreShareKey3
AllowedIPs = 10.0.0.4/32

[Peer]
PublicKey = Peer4Key
PresharedKey = PreShareKey4
AllowedIPs = 10.0.0.5/32

[Peer]
PublicKey = Peer5Key
PresharedKey = PreShareKey5
AllowedIPs = 10.0.0.6/32

Spoiler: client0001.conf

[Interface]
Address = 10.0.0.2/24
ListenPort = 12000
PrivateKey = Private1Key

[Peer]
PublicKey = ServerPublicKey
PresharedKey = PreShareKey1
AllowedIPs = 172.16.1.0/24
Endpoint = XXX.XXX.XXX.XXX:12000

Weiß jemand warum die selbe Config auf dem Rechner funktioniert aber nicht in der Fritte?

Beste Grüße
Xiao

 

[M-X]

Warum nicht einfach über IPv6 erreichbar machen und sich das ganze gefummel sparen ?

 

[Xiaolong]

Weil Starlink keine IPv6 zur Verfügung stellt

 

[M-X]

Oh wow das wusste ich nicht. Okay Wahnsinn da schießt man ein neues system ins all und hat kein Ipv6. Dann kannst du meinen Post natürlich ignorieren, das ist nicht hilfreich.

 

[Azghul0815]

Alternativ mal statt mit der fritte mit einem dedizierten Wireguardserver testen? Könnte ja zum testen irgendein Laptop oder dein PC sein.

 

[Xiaolong]

Hab ich oben beschrieben, funktioniert 1a

Sowohl am Rechner mit Windows 11 als auch meinem Laptop mit Linux mint.

 

[Bob.Dig]

Erstelle doch die Verbindung zu erst in der Fritte.

 

[Azghul0815]

Ah sorry, überlesen @Xiaolong

 

[Xiaolong]

@Bob.Dig: Das bringt mir nichts, da die Fritte dann der Server ist und die sitzt hinter dem CGNAT ist also von draußen nicht erreichbar.

 

[Bob.Dig]

Sicher? Denn normalerweise gibt es ja keinen Server/Client bei WireGuard, aber ich hab mir die Implementierung von AVM nicht näher angesehen.


Die "Erklärungen" bei dein einzelnen Punkten sind ein Armutszeugnis.

 

[riversource]

Unbedingt dieser Anleitung folgen:
https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/

Achte vor allem auf die Vergabe der IP Adressen! Du darfst bei Fritzboxen kein Transfernetz nutzen. Deshalb klappt es nicht.

 

[till69]

Weiß jemand warum die selbe Config auf dem Rechner funktioniert aber nicht in der Fritte?

Den ListenPort 12000 mag die FB evtl. auch nicht. Ich der Regel wird ein Port ab 51200 vergeben.

 

[Xiaolong]

@riversource Ich schaue mir das mal an morgen. Verstehe nur nicht warum das DHCP die WG Adresse haben soll und nicht die des eigentlichen Netzes. Komische Implementierung seitens AVM. Mein DHCP ist aus, habe nur feste Adressen für feste Geräte im Netz.

@till69 Hat in meiner alten Wohnung ohne Starlink als die Fritte Server war anstandslos funktioniert.

 

[GaborDenes]

das NAS und mein Rechner aber noch von außen zugänglich sein müssen,

Das würde ich ganz schnell sein lassen, Zugriff von aussen aufs NAS nur per VPN (google mach nach QNAP und Deadbolt)
Ich weiß, das ändert nichts an den Problemen mit CGNAT usw. aber meine Daten von extern verschlüsseln zu lassen ist wesentlich unkomfortabler.

 

[riversource]

Verstehe nur nicht warum das DHCP die WG Adresse haben soll und nicht die des eigentlichen Netzes.

DHCP? Das gibt es bei Wireguard nicht.

Mein DHCP ist aus, habe nur feste Adressen für feste Geräte im Netz.

Das ist völlig egal.

 

[Bob.Dig]

Hab jetzt etwas mit der Fritte rumgespielt, sie erlaubt mir nur ein einziges fremdes Netz in der Konfig, es sei denn, ich wollte gleich alles tunneln...

Allerdings gibt es im weiteren Verlauf dann noch eine Import-Funktion, die ich nicht weiter getestet oder verstanden hätte.

Interessant, dass die Fritte gleich einen PSK vergibt, immerhin. 😉

 

[Xiaolong]

Soooo.... führen wir das mal fort
Also, ich habe mir jetzt einen RaspberryPi geholt, den ich jetzt in mein Heimnetz eingehängt habe und den ich als WG Peer benutze, aktuell sieht das Netzwerk so aus:

Tunnel von Raspberry zu VPS funktioniert. Tunnel von Device X zu VPS funktioniert auch. So weit so gut.
Nun ist es aber so, dass ich von Device X keinem im WG verbundenem Device etwas im nichts im 172.16.1.0/24 Netz anpingen kann.
Aus dem internen Netz, habe ich den RasPi, sobald er sich mit WireGuard verbindet, nicht mehr verfügbar. Ich kann ihn nicht anpingen und auch sonst nichts erreichen. Configs sind im ersten Post oben.

Nun würde ich gerne einmal es zuerst so hinbekommen, dass erstmal Device X von außen den RasPi anpingen kann, so dass ich weiß dass der erreichbar ist.
Im zweiten Schritt müsste man von außen auf das Netz 172.16.1.0/24 zugreifen können. Wie muss hier die Route aussehen?

Beste Grüße
Xiao

 

[riversource]

Dann zeige mal alle Wireguard Konfigurationen (Schlüssel anonymisieren, IPs drin lassen, die sind das entscheidende). Möglicherweise bist du bei den Allowed IPs zu großzügig.

 

[Bob.Dig]

So wie es jetzt aussieht, hast Du jeweils nur ein Subnet auf jeder Seite. Das sollte wirklich kein Problem sein. Einen Pi braucht es da nicht.

 

[Xiaolong]

@riversource: Configs sind im ersten Post.

@Bob.Dig: Doch da ich keine IPv6 habe und hinter einem CG NAT von Starlink sitze. Die Fritzbox kriege ich nicht zum VPS verbunden, damit ich hat das Thema angefangen.