Wireguard Fritzbox DS Lite zu Fritzbox Dual Stack nur Zugriff auf NAS

[usmave]

Hallo,

folgende Ausgangssituation:

Standort A
Glasfaser Ruhr, 600/300 mbit, wohl mit DS-Lite (Anschlusstermin 12/24)
Fritzbox 7530 AX
Windows NAS

Standort B
Dual Stack 1000/50
Fritzbox 6951
Diverse Clientes wie Shield, iPad etc

Ziel:
Die clients sollen auf das NAS zugreifen können
Der restliche Traffic an B soll über die eigene Leitung laufen und nicht getunnelt werden
Möglich sollen nicht auf allen Clients separate wireguard Installationen vorgenommen werden, sondern es ist als LAN-to-LAN zwischen den beiden Fritzboxen angedacht.

Optimal wäre es, wenn auch ein Fire TV Stick von unterwegs drauf zugreifen kann, manchmal via Mobilfunk, manchmal via Hotel-WLAN


Klappt das vorgehen so:
nach Anleitungen LAN-to-LAN wireguard Verbindung herstellen, und bei "Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden" den Haken rausnehmen? Wobei da steht explizit ipv4. Klappt das mit DS-Lite bei Standort A?

Vielen Dank

 

[CrazyT]

Hab ähnliche probleme, kompletter wireguard tunnel, nur die fritte sonst nix im netz erreichbar bekomm ne macke, ähnliche konstellation wie du.

 

[till69]

Wireguard Tunnel über IPv6 geht in beide Richtungen.
IPv4 nur von A nach B (sofern B eine öffentliche IP hat)

clients sollen auf das NAS zugreifen können

AllowedIPs (bei A) = NetzB/24
AllowedIPs (bei B) = IP des NAS

 

[h00bi]

Optimal wäre es, wenn auch ein Fire TV Stick von unterwegs drauf zugreifen kann, manchmal via Mobilfunk, manchmal via Hotel-WLAN

Grundsätzlich gibts für den FireTV Stick auch eine Wireguard App.
Ich würde hier aber einen Reiserouter vorschlagen, der dich dann auch vom Hotelnetz abkapselt und gleichzeitig das VPN übernimmt.
In Hotels kann es sein, dass du keine IPv6 bekommst und dann per IPv4 nicht auf dein heimsches Netz kommst. Hier könnte dann ggf. ein IPv6 Portmapper helfen.

Per Mobilfunk kannst du IPv4/IPv6 das teilweise über den APN steuern.

 

[Nero FX]

Hast du getrennte LAN IP Bereiche eingestellt?
192.168.178.xxx darf nicht genutzt werden.
192.168.179.xxx darf nicht genutzt werden.

Standort A: 192.168.10.0/24
Standort B: 192.168.20.0/24

Einschränkungen:
Erst ab Fritz!OS 08.00 kann Wireguard intern auch IPv6 transportieren.
Ins Internet geht IPv6 auch mit Fritz!OS 08.00 nicht.

Wireguard Box to Box Verbindung über die Fritz!Box Oberfläche herstellen.
Wichtig: MyFritz! muss aktiviert sein für DynDNS da es auch IPv6 können muss..

"Gesamter Datenverkehr" muss auf beiden Seiten abgeschaltet sein.
An der DualStack Leitung kannst du auf das NAS Limitieren.
Wenn du Netflix etc. nutzt dann auch die Fernseher/Tablets für VPN Verbindungen erlauben.

 

[till69]

Erst ab Fritz!OS 08.00 kann Wireguard intern auch IPv6 transportieren

Der Transport interessiert hier aber nicht. Der Tunnel selbst geht über IPv6.

 

[usmave]

Einschränkungen:
Erst ab Fritz!OS 08.00 kann Wireguard intern auch IPv6 transportieren.
Ins Internet geht IPv6 auch mit Fritz!OS 08.00 nicht.

Sind die Einschränkungen relevant für mein Vorhaben?

 

[till69]

@usmave
Nein

 

[usmave]

Standort B hast ja dual stack, ist aber zur zeit ipv6 deaktiviert, weil das ipv6 routing bedeutend schlechter ist.
also müsste ich es wieder aktivieren.

kann ich den clients bei B irgendwie dennoch eine ipv4 zuweisen und nur den tunnel mit ipv6?

 

[Nero FX]

@usmave

Das VPN sollte so direkt wie möglich sein daher unbedingt IPv6 am DualStack Anschluss aktivieren.

 

[till69]

kann ich den clients bei B irgendwie dennoch eine ipv4 zuweisen und nur den tunnel mit ipv6?

Die clients(B) haben eine IPv4 aus dem Netz der 6951, da musst Du nix zuwiesen.
Und VPN Clients (z.B. Handy) bei (B) erhalten eine IPv4 aus dem selben Netz.

 

[usmave]

wenn ich ipv4 und ipv6 aktiviere auf B, dann verbindet sich der pc von B über ipv6.
deswegen hatte ich es eigentlich ausgestellt, damit ich nur eine ipv4 am pc habe.
auch war der speedtest mit beiden aktiv bedeutend langsamer

 

[till69]

dann verbindet sich der pc von B über ipv6

Das sollte sich einstellen lassen:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-ipv6-in-windows

Oder IPv6 einfach im Netzwerkadapter deaktivieren

 

[usmave]

Hab ähnliche probleme, kompletter wireguard tunnel, nur die fritte sonst nix im netz erreichbar bekomm ne macke, ähnliche konstellation wie du.

Netbios aktiviert bei der Einrichtung von wireguard?

 

[CrazyT]

@usmave
Jop, erreiche ja auch sämtliche Fritten die dahinter sind, selbst repeater aber direkte IPs von den anderen clienten, nope... egal was ob windows oder linuxkiste.... nix

Also Hauptbox hat bei mir 192.168.1.1 kann ich alles anwählen, pingen auch ins interface komme ich
2. Box mit .54 am ende, ebenfalls erreichbar, pingbar und interface kann ich aufrufen

Homeserver mit .3 am ende nicht geschweige denn irgendein anderer pc oder sonstiges endgerät im netz. Bekomm noch die motten.
Beide boxen laufen mit FritzOS 8.00 eine 7590 AX und eine 7530

Das andere netz hat noch die standard ip range von der fritzbox also 192.168.178.0-255

Edit: Hab gelogen, zumindest auf das Webinterface vom drucker komm ich und anpingen kann ich auch die fire-tv sticks... nur pc's machen faxen.
Kann aber auch leider nicht weiter testen, ist bei meiner besseren hälfte in der wohnung und die pennt grad, will da jetzt nicht die computer anfeuern.

Edit2: Hmmm bin mir grad doch nicht mehr so sicher mit dem netbios... ich glaub das bedarft eines tests morgen früh.
Hab ja ganz vergessen das ich meine kisten mit ner 2.5ghz netzwerkkarte aufgewertet habe (speziell der kleine homeserver/nas/plexhost)



Also, das hier sind die clienten vom anderen netz:

Ich kann alle pingen bis auf die .54 (den Mini pc) und die .23 (ist ne wifi lampe)
Ich komme von mir aus auf das webinterface vom drucker und der ist auch pingbar (die .69)


Umgekehrt isses übrigens ähnlich.
Kann so ziemlich alles anpingen bis auf die PCs und zwar egal welchen davon.
Erreiche meine raspis, erreiche meine geräte hinter meiner 2. fritzbox die als AP dient ebenfalls... selbst die geräte hinter dem repeater der noch HINTER dem ap ist.

Ich komme per SMB auf meinen raspberry-pi mit HA übrigens auch drauf nur windowsgeräte haben keinen bock zu antworten.


LÖSUNG:
Also, ich habe zumindest mein problem gelöst und zwar wie folgt:
1. WIN+R -> wf.msc - Das öffnet die Windows firewall
2. Eingehende Regeln
3. Datei- und Druckerfreigabe (SMB eingehend) doppelt anklicken (ob privat, öffentlich oder Domäne kommt auf euer netz an)
4. Karteireiter Bereich auswählen
5. Remote-IP Adrressen hinzufügen
6. Euren IP bereich freigeben, dort könnt ihr entweder nur ein einzelnes gerät freigeben, ip-bereiche oder euren kompletten bereich mit 192.168.178.0/24 (ip kann auch 192.168.1.0/24 sein, ist halt abhängig von eurem netz)
7. Mit okay bestätigen und dann per \\CLIENT-IP im explorer mal versuchen auf eure freigaben zuzugreifen, bei mir hat's jedenfalls geklappt