Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)

[koma]

Ich habe zwei Fritzboxen.

Fritzbox 7490
an einem reinen "old school" IPv4 Anschluss
IP: 192.168.78.1

Fritzbox 7530 AX
an einem neuen DS-Lite IPv6 Anschluss
192.168.178.1

Ist es möglich diese per Wireguard zu verbinden? Momentan laufe ich immer in verschiedene Fehlermeldungen.

Von AVM gibt es dazu widersprüchliche Informationen:

Auch VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken (LAN-LAN-Kopplung) sind möglich, wenn eine der beiden FRITZ!Boxen über eine öffentliche IPv4-Adresse verfügt. Ebenfalls möglich sind VPN-Verbindungen von der FRITZ!Box an einem DS-Lite-Internetzugang zu einem Firmen-VPN. https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/1306_Sind-VPN-Verbindungen-zur-FRITZ-Box-mit-IPv6-oder-DS-Lite-moglich/#:~:text=Fernzugang oder einem Smartphone, zu,DS-Lite möglich sein werden.

FRITZ!Box B (Zentrale) muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten. FRITZ!Box A (Filiale) muss vom Internetanbieter eine IP-Adresse derselben Protokoll-Version (IPv4 oder IPv6) erhalten. https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Ergänzung (14. Januar 2024)

PS: Eine Meldung die ich zB bekomme:

Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei der WireGuard-Gegenstelle löst einen Schlüsselkonflikt mit bestehenden Verbindungen aus.
Klicken Sie auf „Schließen“, um zur WireGuard®-Übersicht zu gelangen und erstellen Sie die WireGuard®-Verbindung bitte erneut.

Dabei habe ich alle anderen VPN Verbindungen geloescht.

Ergänzung (14. Januar 2024)

PS: bei beiden Fritzboxen liegt das Gast WLAN auf 192.168.179.1
"
Das Gastnetz der FRITZ!Box hat einen eigenen IP-Adressbereich, aus dem die FRITZ!Box den Gastgeräten die IP-Adressen vergibt. Der Adressbereich wird von der FRITZ!Box festgelegt und ist nicht veränderbar.
"

 

[maxxam85]

Der Tunnel muss auf dem gleichen Protokoll basieren.
Also IPv6<>IPv6 oder IPv4<>IPv4.

Entweder an beiden Anschlüssen gleiche IP-Version oder einen vServer als "Übersetzer".

 

[xexex]

Von AVM gibt es dazu widersprüchliche Informationen:

Inwiefern sind die widersprüchlich?

Aussage A - Auch VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken (LAN-LAN-Kopplung) sind möglich, wenn eine der beiden FRITZ!Boxen über eine öffentliche IPv4-Adresse verfügt.
Aussage B - FRITZ!Box B (Zentrale) muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten. FRITZ!Box A (Filiale) muss vom Internetanbieter eine IP-Adresse derselben Protokoll-Version (IPv4 oder IPv6) erhalten.

Beide Aussage stimmen doch und widersprechen sich nicht. Wenn eine von den Boxen eine öffentliche IPv4 Adresse hat, sollte eine VPN Verbindung über IPv4 möglich sein. Ergänzend bei der Aussage B kommt noch hinzu, wenn die Zentrale eine IPv6 Adresse hat, kann die Verbindung von der Filiale auch über diese Protokollversion erfolgen.

 

[till69]

Ist es möglich diese per Wireguard zu verbinden?

Ja, aber nur wenn DS-Lite der Client ist und IPv4 der Server (Zentrale)

 

[koma]

Ich habe es in beide Richtungen versucht bisher kommen leider immer Fehlermeldungen.
Die Subnetzmaske ist bei beiden 255.255.255.0

Ergänzung (14. Januar 2024)

Zuerst habe ich bei beiden FB alle VPN Verbindungen geloescht. Dann habe habe ich die Wireguard Verbindung an der Fritzbox 7490 mit IPv4 Anschluss erstellt und die config heruntergalden, nun versuche ich die Config bei der 7530 am IP-V6 Anschluss zu importieren.

Ergänzung (14. Januar 2024)

Inwiefern sind die widersprüchlich?

Laut Aussage A genuegt es wenn eine der FB IPv4 beherrscht.
Laut B muessen beide FB das selbe Protokoll sprechen und es ginge auch nur IPv6?

 

[xexex]

Laut Aussage A genuegt es wenn eine der FB IPv4 beherrscht.

Laut Aussage A muss eine der FB eine öffentlich erreichbare IPv4 Adresse haben.

Laut B muessen beide FB das selbe Protokoll sprechen und es ginge auch nur IPv6?

Richtig! Es sprechen ja beide IPv4... IPv6 würde immer gehen, aber laut deinen Angaben wird es an einem Anschluss nicht unterstützt.

 

[koma]

Die FB 7490 haengt an einem reinen IPv4 Anschluss ohne IPv6 support.

Die FB 7530 haengt an einem DS-Lite Anschluss, hat also eine IPv6 aber keine oeffentlich erreichbare IPv4.

Ergänzung (14. Januar 2024)

Momentan versuche ich die Verbindung so zu erstellen:

das führt dann zu obiger Fehlermeldung.

 

[riversource]

Entweder sind da noch IPsec Verbindungen oder Reste der alten VPN Tunnel. Da bleibt nur, auf beiden Seiten einen Werksreset auszuführen.

 

[koma]

Als ich auf IPsec geclickt habe wurde da tatsaechlich eine alte Verbindung angezeigt, habe sie mal geloescht. Leider kommt weiterhin die selbe Fehlermeldung.

UPDATE: Allerdings zeigt die 7490 nun einen gruenen Punkt bei Wireguard:

So erstelle ich die VPN Verbindung auf Seite der 7490:

Ergänzung (14. Januar 2024)

UPDATE: ich glaube nun hat es geklappt! Danke fuer den Tip nach IPsec zu sehen!

Gerade bin ich im Wifi der 7490 und versuche meinen NAS zu erreichen der am LAN der 7530 haengt:

Momentan ist der nur ueber die IP ereichbar. Gibt es einen Trick, dass die Geraetenamen, hier neon aufgeloest werden?

(base) neuronflow@hai ~ % ping neon
ping: cannot resolve neon: Unknown host
(base) neuronflow@hai ~ % ping 192.168.178.49
PING 192.168.178.49 (192.168.178.49): 56 data bytes
64 bytes from 192.168.178.49: icmp_seq=0 ttl=62 time=24.085 ms
64 bytes from 192.168.178.49: icmp_seq=1 ttl=62 time=23.994 ms

 

[xexex]

UPDATE: Allerdings zeigt die 7490 nun einen gruenen Punkt bei Wireguard:

Die FB 7490 haengt an einem reinen IPv4 Anschluss ohne IPv6 support.

Wie kommt dann das zustande?

 

[koma]

Ja, das war sehr merkwürdig. Aber nachdem ich IPsec gelöscht hatte und die Verbindung nochmal auf Seiten der 7490 eingerichtet hatte, hat es nun scheinbar geklappt.

Siehe oben. Sollten die Netzwerkgeräte der 7530 nun irgendwie in der grafischen Oberfläche der 7490 auftauchen?

 

[riversource]

Aber der eine Anschluss hat doch angeblich kein IPv6.

Sollten die Netzwerkgeräte der 7530 nun irgendwie in der grafischen Oberfläche der 7490 auftauchen?

Nein. Und DNS wird auch komplex.

 

[koma]

Tatsache wir haben nun IPv6. Anfang Dezember war das noch nicht so. In den Weihnachtsferien hat ein Baum unsere Telefonleitung zerstört, kann es sein, dass das als Anlass genommen wurde umzustellen?

 

[riversource]

Nein.

 

[koma]

Wenn ich nun in Zukunft von einem reinen IPv4 Anschluss an meinen NAS an der 7530 kommen moechte, kann ich mich nun per Wireguard mit der 7490 verbinden und dann den NAS per IP Adresse ereichen oder?

Gibt es einen Trick, dass die Netzwerknamen aufgelöst werden?

Würde meinen NAS gerne immer als neon oder neon.local erreichen.

Ergänzung (14. Januar 2024)

Aber der eine Anschluss hat doch angeblich kein IPv6.


Nein. Und DNS wird auch komplex.

Okay dann war das wohl Zufall, dass vor kurzem umgestellt wurde. So wie es aussieht gibt mir 1und1 hier auch einen vollwertigen v4 und v6 Anschluss nicht wie M-Net einen DS-Lite.

Auf etwas Komplexitaet wuerde ich mich dafuer gerne einlassen. Ich habe einige rsync Skripte etc. bei denen es am schoensten waere wenn sie unabhaengig vom Netzwerk in dem ich bin funktionieren.

 

[riversource]

Wenn ich nun in Zukunft von einem reinen IPv4 Anschluss an meinen NAS an der 7530 kommen moechte, kann ich mich nun per Wireguard mit der 7490 verbinden und dann den NAS per IP Adresse ereichen oder?

Wenn die Allowed IPs entsprechend eingerichtet werden auf allen Verbindungen und die 7490 wirklich eine öffentliche IPv4 hat, dann geht das.

Gibt es einen Trick, dass die Netzwerknamen aufgelöst werden?

Ja, aber das wird sehr aufwendig. Du musst DHCP und DNS-Server in der Fritz!Box durch eigene Implementierungen ersetzen, in mindestens einem der beiden Heimnetze die lokale Domain ändern und dann alles komplett neu einrichten. Wichtig ist, dass die Installation dann auch gewartet wird, mit Updates etc. Das kostet jede Woche mindestens 1 Stunde Pflegeaufwand. Willst du das?

Okay dann war das wohl Zufall, dass vor kurzem umgestellt wurde. So wie es aussieht gibt mir 1und1 hier auch einen vollwertigen v4 und v6 Anschluss nicht wie M-Net einen DS-Lite.

Wenn du bei 1&1 bist, hast du seit Jahren IPv6, jedenfalls seitens des Providers. Die machen schon seit mindestens 5 Jahren Dual-Stack oder DS-Lite. Konntest du es nicht nutzen, waren deine Router oder Endgeräte falsch eingerichtet.

Ich habe einige rsync Skripte etc. bei denen es am schoensten waere wenn sie unabhaengig vom Netzwerk in dem ich bin funktionieren.

Ein Eintrag in der hosts Datei der betroffenen Rechner? So viele werden es ja nicht sein.

 

[TomH22]

Gibt es einen Trick, dass die Netzwerknamen aufgelöst werden?

Würde meinen NAS gerne immer als neon oder neon.local erreichen.

Wenn der Tunnel immer steht, kannst Du die interne IP der FB 7530 als DNS in der 7590 eintragen. Dann gehen allerdings alle DNS Anfragen über den Tunnel, was normalerweise nicht stört, sofern der Tunnel stabil genug ist.

Ergänzung (14. Januar 2024)

Gerade noch mal nachgeschaut: Wenn man den DNS hier einträgt:

hat man zwar erst mal ein „Henne/Ei“ Problem, da man ja DNS für die Auflösung der myfritz Adresse braucht, um den Tunnel aufzubauen. Wenn aber gleichzeitig der Haken bei „öffentliche DNS Server“ gesetzt ist, dann müsste es eigentlich gehen, weil dann die Auflösung zunächst über google oder Cloudflare DNS läuft. Die würden dann auch als Fallback dienen, wenn der Tunnel ausgefallen ist.

BTW: Viel einfacher (und letztendlich auch sicherer) ist es eigentlich, wenn die Endgeräte, die auf das NAS zugreifen sollen, einfach einzeln per Wireguard verbunden werden. Dann funktioniert auch der lokale Fritz DNS automatisch.

 

[koma]

Danke für die Antworten.

Wenn du bei 1&1 bist, hast du seit Jahren IPv6, jedenfalls seitens des Providers. Die machen schon seit mindestens 5 Jahren Dual-Stack oder DS-Lite.

Nein, wir haben hier seit Jahren nur IPv4 gehabt, die Umstellung war ursprünglich für 2020 geplant, wurde dann aber immer wieder verschoben. Anfang Dezember 2023 war sie noch nicht vollzogen, da hatte ich zuletzt geschaut und begonnen mir das mit der Verbindung der Fritzboxen anzuschauen. Die 7490 ist in einem kleinen Dorf in Oberbayern. An unser Hardware / Konfiguration hat sich nichts geändert ist seit einer ganzen Weile die Fritzbox. Aber in den Weihnachtsferien wurde eben eine neue Telefonleitung gelegt nachdem der Schneedruck einen Baum umgeworfen und die alte zerstört hatte.

BTW: Viel einfacher (und letztendlich auch sicherer) ist es eigentlich, wenn die Endgeräte, die auf das NAS zugreifen sollen, einfach einzeln per Wireguard verbunden werden. Dann funktioniert auch der lokale Fritz DNS automatisch.

Du meinst dann mit Wireguard zur 7530? Bisher dachte ich, das würde von der 7490 nicht gehen, da sie ja bis vor kurzem nur IPv4 hatte, aber jetzt wäre das tatsächlich eine Alternative. An der 7490 hängt mein zweiter kleiner NAS für off-site backups.

 

[riversource]

Nein, wir haben hier seit Jahren nur IPv4 gehabt, die Umstellung war ursprünglich für 2020 geplant, wurde dann aber immer wieder verschoben.

Wer ist denn der Netzanbieter unten drunter? 1&1 selber bietet wirklich seit Jahren IPv6, von daher kann ich diese Aussage nicht glauben.

 

[koma]

Die Telekom betreibt hier die letzte Meile. Ausserdem gibt es Glasfaser von Deutsche Glasfaser. Momentan reicht uns aber DSL an dem Anschluss aus deswegen haben wir noch nicht gewechselt.