OpenWRT Router mit Wireguard Server hinter eine Fritzbox 7590AX

[redjack1000]

Ich schon. Der VOIP Verkehr darf nicht über den Tunnel laufen, benutze dafür die Option "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard-Verbindung erreichbar sein"

Nutze den AVM Link auf dem IP-Phone-Forum.

CU
redjack

 

[qiller]

mein Problem ist ich kann mich nicht mit einer DynDns Adresse zum Router verbinden damit ich auf mein NAS komme

damit der OpenWRT und die Klienten auch über eine DynDns aus dem Internet erreichbar ist

Wenn du den kompletten Internet-Traffic des OpenWRT-"Routers" durch den VPN-Anbieter tunnelst (und den OpenWRT-Router quasi zum VPN-Gateway machst), können der OpenWRT und die Clients dahinter nur über den VPN-Anbieter aus erreicht werden. Und der muss das dann auch noch in seiner Konfig zulassen. Das Problem ist, dass das Default-Gateway auf dem OpenWRT-Router nach dem Aufbau der VPN-Verbindung auf den VPN-Anbieter zeigt und nicht mehr auf die Fritzbox.

 

[till69]

können der OpenWRT und die Clients dahinter nur über den VPN-Anbieter aus erreicht werden

Nö, alle Clients der FB erreichen den OpenWRT, so auch Wireguard Einzel-Clients der FB.

 

[qiller]

Guck mal was ich zitiert habe. Es geht doch um die Verbindung von außen auf den OpenWRT und die Clients dahinter, nicht der Zugriff innerhalb des Netzes.

Was er natürlich machen kann, er macht einfach 2x Wireguard, einmal in der FB für seine Roadwarrior-Geschichten und halt sein VPN-Anbieter Wireguard im OpenWRT-Router.

Edit: Oder ich versteh nicht, was der TE machen will^^.

 

[Skudrinka]

Warum möchte man überhaupt den gesamten Traffic über eine VPN leiten?!

 

[qiller]

@Skudrinka Tja - die Frage wurde ja im verlinkten ip-phone-Thread auch heiß diskutiert^^.

 

[Tycoon187]

Wenn bei der FB ein VPN Client eingerichtet wird ( für ausgehende Verbindungen ) funktioniert Telefon nicht mehr, kann ich bestätigen.

 

[till69]

Warum möchte man überhaupt den gesamten Traffic über eine VPN leiten?!

Um Geoblocking zu um gehen.

Wenn bei der FB ein VPN Client eingerichtet wird ( für ausgehende Verbindungen ) funktioniert Telefon nicht mehr

Nur wenn die Default Route in den Tunnel zeigt.

Was er natürlich machen kann, er macht einfach 2x Wireguard, einmal in der FB für seine Roadwarrior-Geschichten und halt sein VPN-Anbieter Wireguard im OpenWRT-Router

Genau das ist das einfachste.
Und per statischer Route in der FB können dann auch beliebige IP-Bereiche in den OpenWRT Tunnel gelenkt werden.

 

[Skudrinka]

Um Geoblocking zu um gehen.

Gut, aber dafür muss nicht alles über eine VPN geleitet werden^^

 

[Tycoon187]

Nur wenn die Default Route in den Tunnel zeigt.

Selbst wenn ich nur ein Client über den Tunnel schicke ist das Telefon tot

 

[till69]

@Tycoon187
Der Tunnel darf kein 0.0.0.0 bei AllowedIPs haben.

dafür muss nicht alles über eine VPN geleitet werden

Aber der 0815 User findet die richtigen IP-Ranges nicht

Für zattoo.ch (RTL/Sat1/Pro7 umsonst) wären das z.B. 91.123.96.0/20 und 193.247.42.0/24

 

[digitalfrost]

Ich hab ein ähnliches Setup, nur setze ich zur Fritzbox gar keine Default-Route. Da der OpenWRT auch DHCP-Server ist, verhindert das, dass irgendwas außer der VoIP-Telefonie ins Internet kommt, wenn der VPN down ist. Das ist mir lieber wie ein "Kill Switch".

Um dafür zu sorgen, dass ich auch online bin wenn mal ein VPN ausfällt nutze ich 6 gleichzeitig:

Zwischen den Interfaces wird load-balanced und deren Qualität wird auch überwacht. Hat eines Packetloss oder hohen Ping fliegt es raus.

Einzelne IP-Ranges die Stress machen route ich zur Fritzbox, z.b. Google, damit spart man sich auch die Captchas beim googeln etc.


Man kann zwar in der Fritzbox nur einzelne Geräte via VPN routen, aber ich finde das keine gute Lösung, kommt was neues dazu, ist es erstmal nicht im VPN.

Der OpenWRT ist auch viel flexibler wie die Fritzbox.

 

[qiller]

Der Tunnel darf kein 0.0.0.0 bei AllowedIPs haben.

Das dürfte dann dieser Haken sein:

 

[till69]

dieser Haken

Richtig

nutze ich 6 gleichzeitig

Kostenpunkt?

 

[Tycoon187]

Der Tunnel darf kein 0.0.0.0 bei AllowedIPs haben

Muss man das in der VPN Konfigurationsdatei anpassen oder wo?

 

[till69]

Konfigdatei, oder siehe #33

 

[klaus333]

Wie gesagt ist also doch mit OpenWRT eine Lösung aber wie schaut dann die entsprechende IP kostelation aus um das mit den beiden Routern umzusetzen.
Noch eine Frage wie wäre den der AllowedIP Bereich von der Telekom Telefonie oder besser gesagt wo bekommt sie her, es wäre ja ein Versuch wert mit der Fritzbox.

 

[till69]

aber wie schaut dann die entsprechende IP kostelation aus

Am besten OpenWRT nicht als Router sondern als Client laufen lassen (ohne NAT/DHCP/Firewall):

https://openwrt.org/docs/guide-user/network/openwrt_as_clientdevice

 

[digitalfrost]

Du wirst doch eh schon portforwardings zum OpenWRT haben? Pack das Dyndyns einfach auf die Firtzbox und fertig? Oder verstehe ich was am Setup nicht?