VPN Fritzbox WireGuard nicht möglich

[muka1993]

Hallo zusammen,

folgende Hardware benutze ich:
FritzBox 5590 Fiber (Gelsen-NET)
Galaxy Z Fold4 (O2-Vertrag)

Leider kriege ich es nicht hin eine VPN Verbindung über die mobilen Daten meines Handys mich über einen WireGuard VPN Tunnel mit meiner FritzBox zu verbinden.

Im Anhang findet ihr die Einstellungen in meiner FritzBox und die Einstellungen des VPN-Tunnels auf meinem Handy.

Bitte Bescheid sagen, falls ich etwas vergessen oder zu viel geschwärtzt habe.

Kann einer von euch erkennen, wo der Fehler liegt? Mein Handy kann laut WireGuard-App Daten senden aber nicht empfangen.

Vielen Dank im Vorraus

 

[Heen]

Ich verstehe nicht, wie es dazu kommen sollte, dass die Daten nicht passen. Wie hast du das Telefon eingerichtet, manuell? Es geht über QR-Code oder über den Download einer Config doch idiotensicher.

 

[Acanthophis]

https://avm.de/service/wissensdaten...eine-VPN-Verbindung-zur-FRITZ-Box-herstellen/

 

[technik_el]

Während des Tests auch das WLAN ausgestellt und nur die mobilen Daten genutzt?

 

[Key³]

Wie hast du die Wireguard App auf dem handy konfiguriert?

Mit der ConfigDatei hatte ich schon das ein oder andere mal Probleme, aber der QR Code hat bisher immer funktioniert, wenn ich es jemand eingerichtet habe.

 

[Heen]

Aus der Liste von @Acanthophis Link fiele mir v.a. myfritz ein. Dort mal prüfen, ob noch alles passt und das Konto auf der Fritzbox als verbunden angezeigt wird.
Im Zweifel die Wireguard-Konfig löschen und neu erstellen, natürlich nur wenn gerade physischer Zugang zur Fritzbox besteht.

 

[muka1993]

Ich habe die Konfiguration mit der WireGuard App gescannt.

Während des Tests habe ich WLAN ausgeschaltet und die mobilen Daten eingeschaltet.

Ich habe einen Glasfaseranschluss von Gelsen-NET. Es wird über die IPv6-Adresse die Verbindung ins Internet hergestellt. Evtl. Muss ich dann meine mobile Datenverbindung auf reines IPv6 einstellen.

Edit #1: Auch das hat leider nicht funktioniert.

Edit #2: Was ich merkwürdig finde ist, dass ich mit der MyFritz!-App Geräte aus dem Heimnetzwerk sehen kann, allerdings nicht mit der MyFritz-Adresse anmelden kann. Fehlt hier noch eine bestimmte Freischaltung?

Edit #3: Ich glaube, dass ich dieses Carrier-grade NAT habe. In dem Wikipedia-Artikel, der auf dieser Webseite von AVM verlinkt ist (https://avm.de/service/wissensdaten...eichbarkeit-der-FRITZ-Box-im-Internet-prufen/), steht folgendes:
"Es ist in der Regel unmöglich, von einem Anschluss hinter einem CGN einen unter einer IPv4-Adresse erreichbaren Dienst anzubieten, heißt also: Port-Forwarding zu einem eigenen Server ist unmöglich und auch der Router wie z. B. eine Fritz-Box selbst (z. B. mit der eigenen NAS-Funktion) ist aus dem Internet nicht erreichbar."

 

[DLMttH]

Hast du überhaupt funktionierendes mobiles und Festnetz IPv6-Internet? Öffnet sich mobil und zu Hause diese Seite?: https://ipv6.icanhazip.com

 

[muka1993]

Ja, die Seite zeigt mir eine IPv6-Adresse sowohl über WLAN als auch über die mobilen Daten an.

Edit #1: In den FritzBox-Einstellungen konnte ich herausfinden, dass diese Seite den IPv6-GUA-Temporary anzeigt. Leider weiß ich nicht was das zu bedeuten hat.

Edit #2: Das ist laut dieser Webseite (https://www.oreilly.com/library/view/ipv6-fundamentals-a/9780134670584/ch05.html) eine IPv6-Adresse, die wie eine öffentliche IPv4-Adresse ist. Der Unterschied ist nur, das jedes Gerät eine in meinem Netzwerk eine andere Adresse hat und nicht wie bei IPv4 die öffentliche IPv4-Adresse des Routers teilen.

 

[Heen]

Nochmal zu myfritz, schaut es bei dir auch so aus? Zugriff mittels Benutzer brauchst du erstmal nicht einrichten, Wireguard sollte es auch so tun.

 

[hildefeuer]

Schau mal in die apn des Smartphones. Dort wird nur via ipv6 verbunden.
Normal ist ipv4/ipv6.
Der dchp Bereich wo endet der? Stell den mal auf 10 bis 200.
Die Clients bekommen IP oberhalb des dchp Bereichs. Wenn da 255 drin ist, geht's nicht. Auch händisch feste IP im Heimnetz in diesem Bereich sind dann nicht ratsam.
Ich habe DG Zugang ebenfalls ipv6 und gcnat. Wireguard ist möglich. Nicht vergessen die IP des Routers zu ändern.
Ist aber für Deinen Test via Mobilnetz nicht relevant.

 

[muka1993]

Anhang anzeigen 1575898

Nochmal zu myfritz, schaut es bei dir auch so aus? Zugriff mittels Benutzer brauchst du erstmal nicht einrichten, Wireguard sollte es auch so tun.

Bei mir sieht es genauso aus.

Schau mal in die apn des Smartphones. Dort wird nur via ipv6 verbunden.
Normal ist ipv4/ipv6.
Der dchp Bereich wo endet der? Stell den mal auf 10 bis 200.
Die Clients bekommen IP oberhalb des dchp Bereichs. Wenn da 255 drin ist, geht's nicht. Auch händisch feste IP im Heimnetz in diesem Bereich sind dann nicht ratsam.
Ich habe DG Zugang ebenfalls ipv6 und gcnat. Wireguard ist möglich. Nicht vergessen die IP des Routers zu ändern.
Ist aber für Deinen Test via Mobilnetz nicht relevant.

Ich habe die Einstellungen der mobilen Daten auf IPv4/IPv6 gestellt. Der DHCP-Bereich liegt zwischen 2 und 200. Ich habe gerade ein paar Geräte, zwischen 2 und 9 sind und die gerade die Netzwerkverbindung nicht verlieren dürfen. Das werde ich dann mal zu einem anderen Zeitpunkt ändern und ausprobieren.
Was ist ein DG Zugang?

Die Änderung von IPv6 zu IPv4/IPv6 hat leider nichts gebracht.

Edit #1: @Heen
Sind diese Einstellungen bei dir genauso? Oder gibt es hier etwas, dass fehlerhaft ist?

 

[Heen]

DG ist Deutsche Glasfaser.

Hattest du zwischenzeitlich mal probiert, den Wireguard-Zugang zu löschen und eine neue Konfig zu erzeugen?

Edit:
Zu den Einstellungen: Ich habe jüngst meine 7590AX neu an Glasfaser angeschlossen, ich habe am Benutzer nichts gemacht, der Wireguard-Verbindung sollte dennoch nichts im Weg stehen.

 

[hildefeuer]

Kontrolliere mal die Rechte des FB Benutzers. Ob der vpn erstellen darf.
Kenne gerade die Werks Einstellung des Standard Users nicht.
Dchp range 2 bis 200 passt. Ich lasse halt unterhalb einige frei für händische feste IPs.

 

[muka1993]

@Heen Ich habe bei jeder Änderung einer Einstellung den WireGuard-Zugang neu erstellt, damit ich weiß welche Änderung zur Lösung des Problems beiträgt.

@hildefeuer Der Haken ist hier gesetzt. Allerdings werden dann VPN-Daten für eine IPSec-Verbindung dargestellt. Irgendwie passt das nicht zusammen.

 

[chrigu]

Zwei doofe Fragen von mir.
1. bist du sicher das du dualstack hast?
2. ist bei der anderen Fritz das netzwerk umgestellt? Weil zweimal 192.168.178.x geht nicht respektive wird die Suche nach gerät z.b. 192.168.178.33 im eigenen Netzwerk hängen bleiben

 

[hildefeuer]

Kommt der Router vom Provider? Wurde der zurück gesetzt, bevor der eingerichtet wurde?

 

[Heen]

Er hatte ein Huawei-Router vom Provider, siehe anderer Thread.

 

[muka1993]

@chrigu Ich denke diese Ansicht beantwortet die erste Frage.

Zu deiner anderen Frage: Ich versuche nicht zwei FritzBoxen über VPN miteinander zu verbinden. Ich versuche es mit einem Client (meinem Handy). Falls das aus dem Ursprungsbeitrag nicht ersichtlich ist, bitte ich das zu entschuldigen.

@hildefeuer wie @Heen schon sagt, habe ich vom Provider einen Huawei-Router bekommen. Da ich zuvor eine FritzBox hatte und mir der Huawei-Router aufgrund seiner mageren Einstellmöglichkeiten total auf die Nerven gegangen ist, habe ich mir die FB 5590 besorgt.

 

[hildefeuer]

Denke Dein Zugang ist falsch konfiguriert.
Du hast DS Lite konfiguriert.
Wir gehen hier aber von gcnat für ipv4 aus und ipv6.
Was hast Du denn jetzt für einen Zugang?