Wireguard @ FritzOS 7.5

[Avenger84]

Hallo, ich kann nun endlich die FritzBox 7590 auf´s 7.5 updaten, hier gibt es ja Wireguard.
Kann die FritzBox dann den Raspberry vollständig ersetzen ?

Hier die config:

[Interface]
Address = 192.168.99.10/24, fd08::10/64
ListenPort = 51820
PrivateKey = *******=
MTU = 1412

PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -A FORWARD -o %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -A FORWARD -o %i -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -o %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -D FORWARD -o %i -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *******=
AllowedIPs = 192.168.99.6/32, 192.168.168.0/24, fd08::6/128, fd00:aaaa::/32
[Peer]
PublicKey = *******=
AllowedIPs = 192.168.99.11/32, fd08::11/128
[Peer]
PublicKey = *******=
AllowedIPs = 192.168.99.12/32, fd08::12/128
[Peer]
PublicKey = *******=
AllowedIPs = 192.168.99.13/32, fd08::13/128
[Peer]
PublicKey = *******=
AllowedIPs = 192.168.99.14/32, fd08::14/128

Ich vermute eher nicht. Der 1. Eintrag ist eine dauerhafte Verbindung zwischen 2 Netzwerken.
Der Rest Handys.

Alleine schon die iptables wird es vermutlich nicht auf einer FritzBox geben.

Wie ist die Geschwindigkeit ? Schafft die FritzBox 400MBit/s ?

Über eure Erfahrungen würde ich mich freuen, bevor ich anfange und nachher enttäuscht bin.

P.S. die FritzBox hängt an einem DG Anschluss, wird also nur über IPv6 von außen angesprochen.

 

[Pummeluff]

Ich nutze Wireguard über die Fritzbox. Du hast dort ein Häkchen, dass sämtlicher Traffic über die Fritzbox gehen soll/darf für einzelne Geräte. Hab ich aber nicht aktiviert. Im Grunde genommen entspricht das aber Deinem NAT-Router.

Den Rest macht die Fritzbox genauso wie der Raspi.

Was mich etwas stört bei der Wireguard-Fritzbox-Lösung:
Die senden einen Persistent Keep Alive alle 25 Sekunden ab. Das steht auch in der Config so drin. Eigentlich ist die Philosophie von Wireguard, dass man so wenig wie möglich Rauschen im Netzwerk erzeugt.

Was meinst du mit: "Schafft die Fritzbox 400 MBit/s"
Über Wireguard konnte ich das nicht testen, da die Smartphones Wireguard im Userland-Modus verwenden, was schon mal ausbremst. Außerdem gibt das mein Mobilfunktarif nicht her. Wireguard sollte aber per default schneller als IPSec sein.

Ich möchte nicht mehr zu IPSec zurückwechseln.

Generell (außerhalb von VPN) schafft die Fritzbox bei mir 1Gbit/s aktuell.

 

[Christian1297]

Die 7590 schafft bei WireGuard je nach Anzahl der Verbindungen und ob Download oder Upload so zwischen und 100 und 300 Mbit/s. Die MIPS CPU in der 7590 kommt da einfach schnell an das Limit des erreichbaren. Eine 7530 mit ARM CPU schafft da schon mehr und eine 4060 oder 5590 mit richtig schneller ARM CPU schafft dann sogar 1000 Mbit/s.

Ergänzung (2. Dezember 2022)

Wireguard sollte aber per default schneller als IPSec sein.

Auf der 7590 wird IPSec in Hardware beschleunigt. WireGuard muss hingegen auf der lahmen MIPS CPU in Software abgewickelt werden. Dadurch entsteht tatsächlich der Fall das IPSec hier schneller ist.

 

[riversource]

Der 1. Eintrag ist eine dauerhafte Verbindung zwischen 2 Netzwerken.

Du hast eine dauerhafte Verbindung zwischen 2 Netzen und arbeitest mit NAT Regeln? Das ist aber ein komisches Setup. Damit blockierst du ja eine Kommunikationsrichtung.

Wie ist die Geschwindigkeit ? Schafft die FritzBox 400MBit/s ?

Ein Raspi schafft mit Wireguard aber auch nicht 400 MBit/s. Nicht mal ein Raspi4.

Ansonsten wirst du dein Szenario - eine LAN Anbindung und eine handvoll Roadwarrior - auch in der Fritzbox abbilden können.

 

[Holzkopf]

Was mich etwas stört bei der Wireguard-Fritzbox-Lösung:
Die senden einen Persistent Keep Alive alle 25 Sekunden ab. Das steht auch in der Config so drin. Eigentlich ist die Philosophie von Wireguard, dass man so wenig wie möglich Rauschen im Netzwerk erzeugt.

Das wirst du so aber in Netzen wo eine Statefull-Firewall zum Einsatz kommt aber brauchen.
Und das sind die Masse an Firewalls.

 

[Pummeluff]

Du hast eine dauerhafte Verbindung zwischen 2 Netzen und arbeitest mit NAT Regeln? Das ist aber ein komisches Setup. Damit blockierst du ja eine Kommunikationsrichtung.

Soweit mein Verständnis von iptables reicht, ist das ein NAT-Router. Das brauchst du, wenn du den Wireguard-Server als Exitpoint für die angeschlossenen Geräte nutzen willst. Also praktisch ein Proxy.

Das wirst du so aber in Netzen wo eine Statefull-Firewall zum Einsatz kommt aber brauchen.
Und das sind die Masse an Firewalls.

Ja, aber…
Ich komm von meinen Smartphones direkt auf die Fritzbox, da brauch ich das nicht. Ich hab auch eine LAN2LAN-Verbindung eingerichtet, bei der beide Seiten direkt erreichbar sind. Da brauch ich das Keep Alive auch nicht.

Bei einer anderen Verbindung, wo der Client tatsächlich hinter einer Firewall liegt und der Server ein Wireguard-Server (keine Fritzbox) ist, hab ich die Zeit von 25 auf 300 Sekunden geändert. Funktioniert wunderbar.

Vielleicht kommt's ja noch in einer der späteren Versionen, dass man die Zeit anpassen kann.

 

[Holzkopf]

Ja, aber…

Auch deine FritzBox hat eine Statefull Firewall.
Sobald du eine VPN Verbindung über das Internet aufbaust wirst du in den meisten fällen durch eine Statefull-Firewall durch müssen.
Und um sicherzustellen das die Firewalls nicht zu machen ist eben das Keep-Alive drin.

 

[Avenger84]

Du hast eine dauerhafte Verbindung zwischen 2 Netzen und arbeitest mit NAT Regeln? Das ist aber ein komisches Setup. Damit blockierst du ja eine Kommunikationsrichtung.


Ein Raspi schafft mit Wireguard aber auch nicht 400 MBit/s. Nicht mal ein Raspi4.

Nein ich blockiere nichts.
300-400 MBit/s schaffe ich, wenn es das Netz DG<->Telekom denn zu lässt.
Leider greift nach kurzer Zeit eine Drosselung, das sieht man auch wenn man direkt per ftp überträgt.

 

[Olunixus]

Ich nutze Wireguard über die Fritzbox. Du hast dort ein Häkchen, dass sämtlicher Traffic über die Fritzbox gehen soll/darf für einzelne Geräte.

Wo ist dieses Häkchen?

 

[riversource]

Soweit mein Verständnis von iptables reicht, ist das ein NAT-Router. Das brauchst du, wenn du den Wireguard-Server als Exitpoint für die angeschlossenen Geräte nutzen willst. Also praktisch ein Proxy.

Das NAT ins Internet kann ja der Internet Router machen, der vor dem VPN Raspi hängt. Das muss ja nicht der VPN Node sein. Voraussetzung dafür ist lediglich, dass der Internetrouter eine Route ins gegenüberliegende VPN Netz hat.
Ohne die NAT Regeln hättest du halt unmittelbaren Zugriff von einem LAN ins andere. Das ist ja eigentlich der Grund, warum man eine LAN-LAN Verbindung aufsetzt. Das kann mit den NAT Regeln halt nicht klappen. Du machst aus der LAN-LAN Verbindung im Grunde einen getunnelten Internetzugang - warum auch immer.

300-400 MBit/s schaffe ich, wenn es das Netz DG<->Telekom denn zu lässt.

Ein Raspi 4 schafft so gut 320-350 MBit/s mit Wireguard über die Zeit. Gegenstelle ist ein VPS, die reine Internetverbindung ohne VPN schafft über 400 MBit/s zwischen beiden Gegenstellen.

Leider greift nach kurzer Zeit eine Drosselung, das sieht man auch wenn man direkt per ftp überträgt.

Welche Drosselung?

 

[Mounti64]

Wo ist dieses Häkchen?

Das kannst du setzen wenn du in der fritte die benutzerdefinierte Einrichtung auf rufst.

 

[Holzkopf]

Nein ich blockiere nichts.
300-400 MBit/s schaffe ich, wenn es das Netz DG<->Telekom denn zu lässt.
Leider greift nach kurzer Zeit eine Drosselung, das sieht man auch wenn man direkt per ftp überträgt.

Mal MTU von 1408 ausprobiert ?