OpenWRT mit Wireguard Client und Server hinter FritzBox

[Kratzlos]

Hallo zusammen,

ich beschäftige mich aktuell mit OpenWRT und allgemein der Verbesserung meines Verständnisses von iptables etc. Ich habe mir folgende Aufgabe gesetzt:

Der OpenWRT-Router hängt hinter einer FritzBox 5530. Diese soll mittelfristig nur noch wenige Geräte verwalten. OpenWRT ist über den WAN-Anschluss an die FritzBox angeschlossen. Mein Ziel ist aktuell, dass alle Geräte, die an OpenWRT hängen, über ein Mullvad-VPN (Wireguard Client auf OpenWRT) ins Internet gehen. Zusätzlich möchte ich mich von unterwegs ebenfalls per Wireguard in das Heimnetz tunneln, um auf die Geräte dort und das ausgehende Mullvad-VPN zuzugreifen.

Die Verbindung von der Fritzbox zum OpenWRT steht. Hier habe ich eine statische Route angelegt, das klappt.

Der Mullvad-Wireguard-Client funktioniert ebenfalls bereits.

Was ich nicht hinbekomme: den Zugriff vom Smartphone auf den Wireguard-Server auf dem OpenWRT. Siehe hier, grüne gestrichelte Linie:

Ganz genau genommen funktioniert der Handshake zwischen Wireguard-Server und Peer nicht. In der FritzBox ist der Port 51820 für den WAN-Port des OpenWRT freigegeben.
Es wird wahrscheinlich ein Firewall-Problem im OpenWRT sein. Irgendwie ist diese Firewall aber noch zu unverständlich für mich.
Wo kann ich nach dem Fehler suchen, wer hat eine Idee?
Merci!

Edit: das sind die Interfaces und die Traffic Rule, die ich aktuell angelegt habe:

 

[rocka81]

Was sagen denn die Logs beim Zugriffversuch?

 

[Dale Nixon]

Hast Du evtl. 51820 TCP statt UDP freigegeben?

 

[Kratzlos]

Den Fehler mit TCP statt UDP hatte ich schon, der ist aber ausgemerzt

Ich habe oben noch zwei Screenshots ergänzt. Nach Logs schaue ich mal. Welche wollt ihr sehen? Die aus dem OpenWRT oder vom WIreguard-Client auf dem Smartphone?

 

[Dale Nixon]

Müsste nicht der Destination Port gesetzt werden statt des Source Ports?

 

[Kratzlos]

Genau das verstehe ich zum Beispiel nicht. Das Ziel ist doch das Wireguard-Interface bzw. Subnetz. Der Port 51820 soll doch aber am WAN geöffnet sein, oder? Darum ist bei mir der Source Port 51820 am WAN geöffnet.

In der Praxis ist der geöffnet Destination Port leider auch nicht die Lösung.

 

[till69]

Wo ist der Sinn des 10er Netzes? OpenWRT als LAN Client und VPN Gateway wäre einfacher.

 

[Kratzlos]

Mir geht es ja auch um den Lerneffekt, nicht darum, es möglichst einfach zu haben . Ich will das verstehen, vor allem die Konfiguration der Firewall. Irgenwann soll die Fritzbox nur noch alles an den OpenWRT weitergeben und dieser verschiedene VLANs bereitstellen. Aber das ist noch Zukunft.

 

[sandreas]

Das VPN-Device (Netzwerk) muss nach dem Hinzufügen von Clients auf dem OpenWRT Router neu gestartet werden. Sicherheitshalber kannste auch den kompletten Router rebooten.

Die Firewall arbeitet mit "zones"... das hier zu erklären, ist sinnlos. Einfach bei OpenWRT die Doku dazu lesen.

Der Wireguard Client für iOS ist auch sehr zickig. Teilweise hatte ich fehlerhafte Handshakes, wenn ich das über die Software / App gemacht habe. Unter Einstellungen, VPN gibt es so einen ON/OFF Schalter, damit hats meistens funktioniert.

Ich würd übrigens nach draußen auch nicht unbedingt den Port 51820 (Standard) nutzen. Der wird als erstes von Scannern abgegrast... da haste n großes Logfile. Nimm irgendwas zufälliges zwischen 30000 und 60000 und leite es mit der Fritzbox auf den 51820 um, dann kannste OpenWRT als Standard konfigurieren und musst nur die Client-Config anpassen.

Falls alles nix hilft, kannste dir mal haarklein dieses Video anschauen, da ist das Schritt für Schritt erklärt und auch die Probleme jeweils erläutert.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[till69]

Hier habe ich eine statische Route angelegt, das klappt

Bei einer statischen Route in der FB gehört NAT bei OpenWRT aus

 

[Kratzlos]

Du meinst das Masquerading an der Mullvad Zone? Ich hätte auch gedacht, dass das aus muss, dann klappt aber die Internetverbindung über Mullvad VPN nicht mehr.

Ergänzung (16. Dezember 2023)

dieses Video anschauen

Das Video kenne ich und ich denke und hoffe, dass ich das auch so umgesetzt habe bzw. hatte. Funktioniert aber trotzdem nicht. Wenn ich das Wireguard-Interface der LAN-Zone zuordne, klappt es trotzdem nicht. Und das ist der einzige Unterschied zum Video.