Wireguard fritzbox mit vpn server verbinden

[Yogi666]

Hallo allerseits,
Ich hab mich mal mit der Möglichkeit beschäftigt den gesamten Netzwerk traffic meiner Fritzbox über meinen VPN Server zu leiten.
Seit kurzem supportet die Fritzbox dies. Leider sind die Informationen wie der Wireguard Server konfiguriert nicht vorhanden. Laut AVM doku "muss halt der vpn anbieter irgendwie so konfigurieren" ohne Details. Hab eine Firztbox 7590 mit aktuellestem OS.

Ich hab einen Wireguard Server auf einer Hetzner VM eingerichtet. Funktioniert mit bisher tadellos mit Win, Linux und android ohne Probleme. Wenn ich die Config in die Fritzbox lade für Network to network connection kommt nur "fehlerhafte Konfigurationsdatei". Die selbe Datei geht in allen andern Fällen ohne Probleme. Default config, allen traffic über vpn + DNS des vpn servers.

Hat es irgendjemand mal hinbekommen seinen ganzen Fritzbox Internettraffic über einen selbstgehosteten Wireguard VPN server zu leiten? Falls ja wäre ich für tipps wie die konfig des servers speziell beschaffen sein muss dankbar.

Grund: Habe clients die keine eigene netconfig machen können, aber schrecklich lahm sind durch Telekom Peering. Daher möchte ich auf Netzwerk ebene VPN Routing über Hetzner für alle anmachen können.

Ein paar Reddit threads hab ich gefunden die nur zum Ergebnis kamen, geht halt einfach nicht und gibt keine Infos um es sinnvoll zu debuggen.

 

[Simanova]

Die Wireguard Implementation auf der Fritzbox ist nicht Opensource, d.h die VPN Kommunikation zwischen 2 Fritzboxen ist technisch nicht nachvollziehbar, außer du arbeitest als Techniker bei AVM und hast das mitentwickelt. AVM verdient das Geld damit, Produkte zu entwickeln, deren Funktionsweise möglichst nicht kopiert werden kann.

Unternehmen lösen das Problem mit Produkten, die dafür entwickelt wurden. z.B einer Hardware Watchguard Firewall im Büro und einer virtuellen Watchguard Firewall im Rechenzentrum. (oder andere Produkte von Sophos, SonicWall, etc). VPN Technologien, Parameter und Performance Einstellungen sind hier frei konfigurierbar.

Du kannst aber jederzeit Wireguard als Software auf den Client-Betriebssystemen ausführen.
Spricht was gegen die Lösung?

Wenn dir dein Internetanbieter zu wider ist,
kannst du auch jederzeit wechseln, hindert dich keiner.

PS: Ich hab mal eine Fritzbox 7590 via ikev1 an einen OpenVPN Server angeschlossen, war aber nicht sehr performant. Ikev1 ist relativ gut dokumentiert bei AVM. Sobald die Route steht, kann man den VPN Server als Proxy konfigurieren.

 

[riversource]

Aber man kann ja beliebige Wireguard Clients an die Fritzbox bringen, so exklusiv ist deren Implementierung also auch nicht.

Was sie allerdings anders machen, als viele andere: Sie nutzen kein dediziertes Transportnetz, sondern machen Proxy-ARP auf der Box seite. Deshalb der fette Hinweis in der Anleitung:

Tragen Sie beim Erstellen der WireGuard-Verbindung für die FRITZ!Box keine IP-Adresse aus einem Transfernetz (Intermediate-Adresse), sondern die lokale IP-Adresse der FRITZ!Box ein (z.B. 192.168.20.1, Subnetzmaske 255.255.255.0).

Hast du das bedacht? Generell empfehle ich die folgende Anleitung, die dürfte deinem Szenario am nächsten kommen:
https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/
Der Wireguard Server braucht ansonsten keine besondere Konfiguration.

PS: Ich hab mal eine Fritzbox 7590 via ikev1 an einen OpenVPN Server angeschlossen, war aber nicht sehr performant.

Sorry, aber das ist kompletter Unsinn. OpenVPN ist ein SSL VPN und kann mit ikev1 absolut gar nichts anfangen. Will man einen OpenSource Server für ikev1, dann wäre es StrongSWAN.

 

[Yogi666]

Danke für die Infos.

Das mit der lokalen Fritzbox IP hab ich auch probiert. Hat leider nicht zum Erfolg geführt.

Client side Wireguard Lösung ist nicht machbar, da das entsprechende Endgerät ein Firmengerät ist und keine Änderungen erlaubt. Benutze es als client side auf anderen devices und das klappt super.

 

[gaym0r]

Client side Wireguard Lösung ist nicht machbar, da das entsprechende Endgerät ein Firmengerät ist und keine Änderungen erlaubt.

Und warum willst du den Traffic eines Firmengerätes unbedingt über Hetzner laufen lassen?

 

[chrigu]

hat den die firma irgendwelche einschränkungen implementiert, damit vpn geblockt werden?

 

[Yogi666]

Weil das Firmennetzwerk schlechtes Peering zur Tkom hat. Läd alles lange und langsam.
Hetzner hat gutes Tkom Peerin. Daher der Umweg.

Funktioniert Klasse für privatkram, hoffe das es für firmenkram dann auch was bringt.

Beispielsweise Apex legends zocken:
Tkom 5-30% loss jedes 2. game
VPN: nie loss, aber 5-8ms ping mehr.

 

[riversource]

Ich habs gerade mal getestet, das ganze ist überhaupt kein Problem. Ich nutze als Gegenstelle einen VPS bei netcup und lokal eine 5530 an einem Glasfaseranschluss.

Server Konfig:

[Interface]
Address = 192.168.112.1/24
ListenPort = 52521
PrivateKey = S[...]k=

[Peer]
#Fritz
PublicKey = r[...]E=
AllowedIPs = 192.168.113.0/24
Endpoint=fritz.com:52521

Fritz Konfig:

[Interface]
Address = 192.168.113.1/24
ListenPort = 52521
PrivateKey = Q[...]Q=

[Peer]
#serv1
PublicKey = 8[...]o=
AllowedIPs = 0.0.0.0/0
Endpoint = server.com:52521

Die jeweiligen Public/Private Key Pairs müssen natürlich zusammen passen. Und wichtig: Auf Fritz Seite ist die "Address" natürlich die lokale IP der Box!

Dann noch eine NAT Regel auf dem Server, und ab dafür.

iptables -t nat -A POSTROUTING -s 192.168.113.0/24 -o eth0 -j MASQUERADE

Klappt natürlich nur für IPv4, weil die Fritzbox kein IPv6 tunnelt. Aber mit der Konfig hatte ich auf den typischen Testeiten (https://www.wieistmeineip.de/ etc.) die Adresse meines Servers bei netcup.