Fritzbox VPN Wireguard

[Neu2022]

Hallo zusammen,

ich bräuchte einmal ein bisschen Input zu Fritzbox und Wireguard.

Zunächst zu meiner Konfiguration:
Der Wireguard Client auf der Fritzbox 6591 ist soweit ich das sehe auf IPV4 eingestellt

Wireguard Einstellungen der Fritzbox:

Interface:
Adresse = IPV4-Adresse"1"/24
DNS = IPV4-Adresse"1"
DNS = fritz.box

Peer:
AllowedIPs = IPV4-Adresse"2"/32

Wireguard Einstellungen des Clinents:
Internet Adresse: "My-Fritz-Adresse":[port]
Entferntes Netzwerk: "IPV4-Adresse"2"/32"

Die Einstellungen in der Fritzbox kann ich nicht ändern;

In der App habe ich als Einstellung:
Interface:
Adresse: IPV4-Adresse"2"/24
Namensserver: IPV4-Adresse"1"
Search-Domains: Fritz.box

Teilnehmer:
Endpunkt: "My-Fritz-Adresse":[port]

--> Als Allowed IPs habe ich ausprobiert

• 0.0.0.0/0, ::/0
• 192.168.200.0/24 sowie das IPV6-Präfix des Heimnetzwerks ausprobiert (2aXX:XXX:XXXX:fa20::/64)

Ich habe echtes Dual Stack, also eine öffentliche IPV4 und eine IPV6 Adresse.

Problem:
Ich habe gelesen, dass es mit dem Layer 3 Prinzip von Wireguard möglich ist durch eine IPV4 Verbindung auch IPV6 Datentpakete zu tunneln.
Der Zugriff über IPV4 funktioniert; allerdings kann ich keine IPV6-Adressen im Heimnetz erreichen; Wenn ich bei aktiver VPN-Verbindung - aus dem Mobilfunk-Netz - einen Ping sende gehen alle Pakete verloren; wenn ich direkt im W-Lan bin - ohne VPN - klappt alles;

Ziel:
Ich benötige für eine Anwendung im Heimnetzwerk https; ich verwende daher Dyndns, das sowohl auf die lokale IPV4 als auch auf die IPV6 Adresse meiner Synology verweist. Ich möchte sicherstellen, dass ich die Synology von außerhalb über beide Verbndungen ansprechen kann.

Ich verstehe nicht woran es liegt; liegt es an der noch nicht ausgereiften Beta-Version, oder habe ich etwas nicht verstanden.

Zum Hindergrund: Ich befasse mich nur nebenbei mit IT und kenne mich nur bedingt aus, versuche aber dazu zu lernen. Ich weiß aber gerade nicht, in welche Richtung ich weiter denken muss, damit es funktioniert und bin daher über jeden Input dankbar.

Liebe Grüß

 

[Bob.Dig]

und bin daher über jeden Input dankbar.

Ziemliches Luxusproblem, dass Du dein Heimnetz per VPN auch für IPv6 erreichbar machen möchtest. In D unterstützt jeder Mobilfunk-Anbieter IPv4...
Dazu ist das von AVM noch nicht mal offiziell raus, also keine Ahnung, ob es überhaupt mit IPv6 geht. Und warum genau brauchst Du jetzt IPv6, weil Du im Heimnetz https verwendest oder dyndns?
🤔
Also mein Output für Dich: Solange es keinen zwingenden Grund für IPv6 gibt, sich mit etwas anderem auseinanderzusetzen.

 

[Holzkopf]

Versuch mal ob es klappt wenn du deinem Wireguard Interfaces noch eine ipv6 adresse gibst.
z.b.
FritzBox
Interface:
Adresse = IPV4-Adresse"1"/24, fd00::192:168:200:1/64 ( die stellen 192:168:200:1 kannst du durch die ipv4 des wireguard adressraumes ersetzen)

Client
Interface:
Adresse: IPV4-Adresse"2"/24, fd00::192:168:200:2/64 ( die stellen 192:168:200:1 kannst du durch die ipv4 des wireguard adressraumes ersetzen )


Allerdings zu deinem Ziel.
Wireguard ist es egal ob du dich von ausserhalb per v4 oder v6 mit dem VPN verbindest, die Privaten IPV4 addressen sind über beides Protokolle erreichbar.

 

[Renegade334]

Ich habe zwar noch nie Wiregaurd für IPv6 konfiguriert, aber:
Wo hast du die "Allowed IPs" konfiguriert?
Es gibt eine Einstellung für den Client und eine für den Server.
Wenn ich das richtig verstanden habe verwirft der Server alle Anfragen, die nicht unter die Allowed IPs des Servers fallen und der Client tunnelt nur IPs die unter die Allowed IPs des Clients fallen.

Ansonsten wäre noch interessant, ob man den Wireguard Tunnel komplett als IPv6 definieren kann, also für Clients und Endpunkt IPv6 Adressen vergeben. Ob man IPv6 über einen IPv4 Wireguard Tunnel routen kann habe ich selber noch nie getestet.

Aber für dein eigentliches Problem:
Du hast ein DynDNS was mit IPv4 (per Port Forwarding) und IPv6 (über Port Whitelist) auf deine Synology zeigt.
Oder habe ich das falsch verstanden und du gibst in DynDNS wirlich die lokale IPv4 an? Das wäre nicht wirklich sinnvoll.
Wireguard ist es jedenfalls egal, ob der Endpoint über IPv4 oder IPv6 erreicht wird. Die DNS Adresse reicht wenn du das richtig konfigurierst.

 

[Neu2022]

Danke für den Input!

Ich habe die Allowed IPs nur in der Wireguard-App konfiguriert, unter Teilnehmer, also Client;
Ich kann in der derzeitigen Beta-Version keine Änderungen an den Servereinstellungen vornehmen;

Zum Problem: Ich habe derzeit Portweiterleitungen auf der FB eingerichtet, um meine Synology zu erreichen (IPV4-Portweiterleitung/IPV6-Whitelist). Auf der Synology habe ich den Passwortmanager Vaultwarden laufen. Dieser benötigt https; dazu verweist der Synology-dyndyns derzeit auf die "freigegebenen" IPV4/IPV6 der Synology;

Ich denke darüber nach die IPV4-Portweiterleitung/IPV6-Whitelist zu schließen und nur noch per Vpn von außerhalb auf die Synology zuzugreifen;

Da ich viel "Gutes" über Wireguard gehört habe und es sehr einfach zu bedienen ist und weniger Strom am Handy saugt als IPSec gab die AVM-Beta den Anlass mich damit auseinanderzusetzen, ob es komfortabel umsetzbar ist. Ich habe auch gehört, dass es sicherer ist, das VPN auf der Fritzbox zu nutzen, als einen VPN-Server auf der Synology aufzusetzen.

Für Vaultwarden benötige ich in diesem Fall aber weiterhin https. Das wollte ich dadurch erreichen, dass der Synology-Dyndns nun einfach auf die "rein-lokalen" IPV4/IPV6 verweist. M.E. kann ich nur so ein Zertifikat bekommen (jedenfalls, wenn ich mir keine eigenen ausstellen will).

Zu meinen Gedanken: M.E. könnte es sein, dass Vaultwarden vom Synology DynDns nicht die lokale IPV4 sondern die IPV6 nimmt; dann müsste die IPV6 anfrage aber durch das VPN-geschickt werden;
Klar könnte ich es einfach umgehen, indem ich der Synology sage, dass sie auf den Dyndns nicht die IPV6 anzeigen soll. Da IPV6 aber die neueren IP-Adressen sind, wollte ich eine andere Lösung suchen.

Zudem hatte ich noch ein Nutzungs-Szenario vor Augen. Ich wollte das VPN-Nutzen können, wenn ich im öffentlichen W-Lan bin und dann meinen gesamten Internet-Traffic damit absichern. Auch hier kam mir die Überlegung, dass das nur möglich ist, wenn sichergestellt ist, dass alle anfragen über das VPN laufen und nicht nur die IPV4, die IPV6-Anfragen aber ihren Weg um das VPN herum suchen.

Vielleicht sind in meinen Überlegungen Denkfehler enthalten.... dann wäre ich über Aufklärung dankbar.

 

[Harrdy]

In wie weit die AVM Implementierung es kann weiß ich nicht. Wireguard kann den Endpoint aber über IPv4 oder IPv6 bereitstellen. Und gleichzeitig IPv4 und IPv6 Traffic über den Tunnel leiten. Alles nur eine Sache der Konfiguration.

peer: xyz
  endpoint: 8.8.8.8:51820
  allowed ips: ::/0, 0.0.0.0/0

peer: xyz
  endpoint: [2001:4860:4860:0:0:0:0:8888:51820]
  allowed ips: ::/0, 0.0.0.0/0

ggf. muss man Serverseitig noch IPv6 untypisch mit NAT arbeiten, sofern man keinen öffentlichen Prefix für die IPv6 Tunnel Client IPs nutzt.

Ob Wireguard am Handy nun weniger Strom saugt? Ich würde sagen nein, zumindest nicht mit einem aktuellen Android. Da ist der Verbrauch höher als bei meinen IPSec Ikev2 Tunneln