Lucas Mietke Posted October 11, 2023 Share Posted October 11, 2023 Hallo, Ich möchte folgendes Projekt realisieren. Ich habe eine entfernte Fritzbox mit Wireguard Support. Ich möchte in Unraid in einer VM per Wireguard eine Verbindung zum entfernten Internet. Diese Verbindung muss getrennt gesteuert werden können (deaktivieren aktivieren) Dann möchte ich eine 2. Wireguard Verbindung zum LAN der entfernten Fritzbox in Unraid selbst für einen Docker. Dieser muss aber als Gerät im Netzwerk des entfernten LAN auftauchen um diesen per Port nach außen hin erreichbar zu machen. Wie kann ich das ganze realisieren? Quote Link to comment
cyp2k Posted October 11, 2023 Share Posted October 11, 2023 Hi, ich kenne die Wireguard Implementierung der Fritzbox nicht, gehe aber davon aus, dass man dort ganz normale WG Konfigs einspielen kann? Die Fritzbox soll dann als "Server" für das gesamte Vorhaben dienen? Öffentliche IPv4 und/oder IPv6 an der Fritzbox vorhanden? Fangen wir mal mit dem ersten Thema an. Die VM auf Unraid soll einen Tunnel zu der Fritzbox aufbauen, dann über die öffentliche IP der Fritzbox ins Internet, nicht aber das LAN der Fritzbox erreichen können? Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 19 hours ago, cyp2k said: ich kenne die Wireguard Implementierung der Fritzbox nicht, gehe aber davon aus, dass man dort ganz normale WG Konfigs einspielen kann? das Wäre ja toll, so ist es leider nicht, es gibt einen Assistenten. 19 hours ago, cyp2k said: Öffentliche IPv4 und/oder IPv6 an der Fritzbox vorhanden? Öffentlich feste IPv4 vorhanden, kein IPv6. DynDNS (MyFritz) vorhanden. 19 hours ago, cyp2k said: Die VM auf Unraid soll einen Tunnel zu der Fritzbox aufbauen, dann über die öffentliche IP der Fritzbox ins Internet, nicht aber das LAN der Fritzbox erreichen können? das funktioniert einwandfrei mit dem Setup "Einzelgerät verbinden" in der Fritte. Dazu kann ich aber keine 2. Verbindung zum Server aufbauen da diese sich dann beißen, außerdem bin ich mit dieser Verbindung nicht im Lan. Also brauch ich eine gesamt verbindung zur Fritte mit 2 Peers. 1. Verbindung nur Internet, kein LAN (für VM) 2. Verbindung für LAN (richtig im Heimnetz für Portfreigabe) Anbei ein Screenshot vom Assitenten, er funktioniert per Frage Antwort System und man kann vorhande einstellungen Importieren die er dann bearbeitet, aber frag mich nicht wie ich das nun realisiere... Quote Link to comment
Ford Prefect Posted October 12, 2023 Share Posted October 12, 2023 59 minutes ago, Lucas Mietke said: das funktioniert einwandfrei mit dem Setup "Einzelgerät verbinden" in der Fritte. Dazu kann ich aber keine 2. Verbindung zum Server aufbauen da diese sich dann beißen, außerdem bin ich mit dieser Verbindung nicht im Lan. Komisch...eigentlich sollte das schon möglich sein, mit der LAN Verbindung...welche IPs hast Du auf der anderen Seite im Peer freigegeben...die IPs des LAN? 59 minutes ago, Lucas Mietke said: Also brauch ich eine gesamt verbindung zur Fritte mit 2 Peers. 1. Verbindung nur Internet, kein LAN (für VM) 2. Verbindung für LAN (richtig im Heimnetz für Portfreigabe) Das wird mMn mit der Fritte nicht gehen, da man eben keinen Zugriff auf die Firewall(-Regeln) hat. Evtl. könnte es gehen, wenn man ein WG-Peer als Gast verbinden kann und das zweite Peer als Heim....aber ich habe auch keine Fritte- mit WG zum testen. Plan B wäre einen RPi dazu stellen oder statt Fritte einen "richtigen" Router mit WG Support nehmen. Quote Link to comment
saber1 Posted October 12, 2023 Share Posted October 12, 2023 37 minutes ago, Ford Prefect said: oder statt Fritte einen "richtigen" Router mit WG Support nehmen Hast Du Beispiele? Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 1 hour ago, Ford Prefect said: statt Fritte einen "richtigen" Router mit WG Support nehmen. ich denke hier nicht das es ein Problem von der Fritte ist sondern eher der Konfiguration um hier aber mitzusprechen/helfen zu können muss man mit der Oberfläche Kontakt gehabt haben. Ich werd nun nicht den Router wechseln wegen eines Anwenderfehlers. reine Geldverschwendung. Ich selbst hab ne OPNSense laufen mit "richtigen" WG Support und bekomme da auch keine richtige LAN-LAN kopplung hin liegt bestimmt nicht an der Sense. 1 hour ago, Ford Prefect said: Plan B wäre einen RPi dazu stellen war auch mein Notfall Plan, aber eigentlich dumm wenn die Intrigration da ist und auch funktionieren wird, es nur eine Konfigurationsfrage ist. Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 3 minutes ago, Lucas Mietke said: ich denke hier nicht das es ein Problem von der Fritte ist sondern eher der Konfiguration um hier aber mitzusprechen/helfen zu können muss man mit der Oberfläche Kontakt gehabt haben. Ja, das ist wohl richtig und macht es nicht unbedingt einfacher zu helfen. Die Informationen auf dem Screenshot sind allerdings auch schon recht interessant. Poste doch mal die Config, die der Client bei der "Einzelgerät verbinden" Variante erhalten soll. Nächster Schritt wäre dann, eine Config für LAN-LAN Kopplung zu erstellen. Da steht ja was von "auf der zweiten Fritzbox importieren".... Vielleicht kann man ja die Config dann entsprechend modifizieren und auf der einen Fritzbox importieren Quote Link to comment
Ford Prefect Posted October 12, 2023 Share Posted October 12, 2023 34 minutes ago, saber1 said: Hast Du Beispiele? ...alles auf dem openWRT laufen kann sollte WG Support im Bauch haben. Fertige Hardware ootb: Mikrotik 8 minutes ago, Lucas Mietke said: ich denke hier nicht das es ein Problem von der Fritte ist sondern eher der Konfiguration um hier aber mitzusprechen/helfen zu können muss man mit der Oberfläche Kontakt gehabt haben. Habe ich ja oben auch gesagt....ich denke es liegt an den IP Access-Listen auf der einen oder anderen Seite, wenn es mit LAN-Verbindung nicht klappt. Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 (edited) 1 hour ago, cyp2k said: Poste doch mal die Config, die der Client bei der "Einzelgerät verbinden" Variante erhalten soll. Config anbei, das wäre jetzt die Config wenn man den "Oberen" Punkt anklickt, einen Verbindungsnamen eingibt und fertig, diese Verbindung funktioniert. Aber das Gerät wird in der Fritzbox als "Einzelgerät 32 Subnetz" angesehen mit 192.168.178.201/32 und diese Adresse liegt nicht im Heimnetz und somit geht keine Portfreigabe (Fehler Anbei) Edited October 12, 2023 by Lucas Mietke richtigesBild Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 Das wird so vermutlich tatsächlich nichts, da man anscheinend nicht an die WG Konfiguration auf der Fritzbox ran kommtn. Bliebe jetzt noch der Versuch LAN-LAN. Eine LAN-LAN Konfiguration auf der Fritzbox erstellen, exportieren, anpassen und auf der gleichen Fritzbox wieder importieren (vorher ggfs. Verbindungen, die die FB anlegt, wieder löschen). Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 5 minutes ago, cyp2k said: bliebe jetzt noch der Versuch LAN-LAN. Eine LAN-LAN Konfiguration auf der Fritzbox erstellen, exportieren, anpassen und auf der gleichen Fritzbox wieder importieren (vorher ggfs. Verbindungen, die die FB anlegt, wieder löschen). so dachte ich auch, aber ich weiß nicht wirklich wie, vielleicht hast du mal Zeit drüberzuschauen, ich kenne mich mit den einzelnen Variablen von Wireguard nicht aus Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 Geh mal diesen Aussistenten => "Für die Verbindung zweier Fritbox-Produkte (LAN-LAN) erstellen Sie hier die Wireguard Verbindung und importieren Sie diese auf der zweiten Fritzbox" durch und poste die zu importierende Datei. Die kann man dann ggfs. anpassen und auf der gleichen (nicht der Zweiten) FB wieder importieren. Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 3 minutes ago, cyp2k said: Geh mal diesen Aussistenten => "Für die Verbindung zweier Fritbox-Produkte (LAN-LAN) erstellen Sie hier die Wireguard Verbindung und importieren Sie diese auf der zweiten Fritzbox" durch und poste die zu importierende Datei. Die kann man dann ggfs. anpassen und auf der gleichen (nicht der Zweiten) FB wieder importieren. Der Assistent ist einwenig Komplexer Aufgebaut. Hier mal das "Fragen" Formular je nach Antwort hast du gewisse möglichkeiten Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 Also, das wird mit der Fritzbox nicht funktionieren. Der Export/Import hat so geklappt, wie ich mir das dachte. Man kann also die IP Adressbereiche frei definieren und dann importieren. Die Fritzbox routet jedoch keine Portfreigaben in andere Netze. Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 45 minutes ago, cyp2k said: Also, das wird mit der Fritzbox nicht funktionieren. Der Export/Import hat so geklappt, wie ich mir das dachte. Man kann also die IP Adressbereiche frei definieren und dann importieren. Kannst du mir erklären was du genau abgeändert hast und wie du die Datei Exportiert hast (also welche Fragen du wie beantwortet hast) 46 minutes ago, cyp2k said: Die Fritzbox routet jedoch keine Portfreigaben in andere Netze. Ich denke das geht mit einer Statischen Route, in deinen Fall wäre das 10.10.10./24 Netz dann einfach in den Routing Table eintragen und schwupp müsste es eigentlich gehen. Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 (edited) 57 minutes ago, Lucas Mietke said: Ich denke das geht mit einer Statischen Route, in deinen Fall wäre das 10.10.10./24 Netz dann einfach in den Routing Table eintragen und schwupp müsste es eigentlich gehen. Habe ich natürlich getestet, mag die FB aber auch nicht Was ich gemacht habe: 1. Alle WG Verbindungen in der FB löschen 2. Im WG Assistenten "Verbindung hinzufügen" 3. "Netzwerke koppeln oder spezielle Verbindungen herstellen" => Weiter 4. Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? => Ja => Weiter 5. Namen der Verbindung vergeben und unter Durchsuchen kannst du dann deine eigene Konfig einspielen Ich habe mir als Wireguard Server den kleinsten Ionos VPS angemietet für 1 Euro im Monat. Wenn du dir den ganzen Stress sparen möchtest, kann ich das wärmstens empfehlen Edited October 12, 2023 by cyp2k Quote Link to comment
Lucas Mietke Posted October 12, 2023 Author Share Posted October 12, 2023 13 minutes ago, cyp2k said: Habe ich natürlich getestet, mag die FB aber auch nicht Das ist natürlich kacka, aber heißt das nun allgemein das der Wireguard von der Fritzbox so stark begrenzt das ich keine Portfreigaben per Wireguard Client machen kann? 22 minutes ago, cyp2k said: Ich habe mir als Wireguard Server den kleinsten Ionos VPS angemietet für 1 Euro im Monat. Wenn du dir den ganzen Stress sparen möchtest, kann ich das wärmstens empfehlen das bringt leider in meinem Workaround gar nichts. Ich möchte eine StorJ Node aufbauen genauso wie ein anderer Dienst der sehr beliebt ist, diese benötigen eine "eigentständige" öffentliche IP Adresse. Die IP die ich von IONOS bekomm ist ja auf das ganze Rechenzentrum gespiegelt und die warscheinlichkeit ist sehr hoch das diese IP´s schon benutzt werden... Vorallem sind die "Rechenzentren IP´s" meistens geblockt / auf der "Blacklist". Meine letzte Idee wäre nun ein Raspberry PI aufzusetzen und diesen im entfernten Netzwerk einzuhängen, dort bräuchte ich 2 Peer Verbindungen die alle beide von einer gegenstelle betrieben werden müssen. (ich brauch für jeden Dienst einzeln einen "Anschluss") Quote Link to comment
cyp2k Posted October 12, 2023 Share Posted October 12, 2023 59 minutes ago, Lucas Mietke said: Das ist natürlich kacka, aber heißt das nun allgemein das der Wireguard von der Fritzbox so stark begrenzt das ich keine Portfreigaben per Wireguard Client machen kann? Naja, die üblichen Einsatzbereiche (Roadwarrior, Site-to-Site, etc.) kann man mit der FB schon abbilden. Über NAT rein und über VPN dann weiter in ein anderes Netz, ist wohl für den Großteil der User nicht relevant. 1 hour ago, Lucas Mietke said: Ich möchte eine StorJ Node aufbauen genauso wie ein anderer Dienst der sehr beliebt ist, diese benötigen eine "eigentständige" öffentliche IP Adresse. Die IP die ich von IONOS bekomm ist ja auf das ganze Rechenzentrum gespiegelt und die warscheinlichkeit ist sehr hoch das diese IP´s schon benutzt werden... Vorallem sind die "Rechenzentren IP´s" meistens geblockt / auf der "Blacklist". Meine letzte Idee wäre nun ein Raspberry PI aufzusetzen und diesen im entfernten Netzwerk einzuhängen, dort bräuchte ich 2 Peer Verbindungen die alle beide von einer gegenstelle betrieben werden müssen. (ich brauch für jeden Dienst einzeln einen "Anschluss") Weiß nicht was du mit gespiegelt meinst, aber üblicherweise erhälst du bei einem Server eine eigene dedizierte IPv4 Adresse, so auch bei der 1 Euro Kiste. Wenn man das mit den Anschaffungskosten von einem PI, laufender Stromkosten (2 Watt sind auch 50 Cent im Monat) verrechnet, kann man da ganz schön lange mieten (Gigabit Anbindung, unbegrenzt Traffic, Firewall...). Laut mxtoolbox ist meine IP auf keiner Blacklist. Ist natürlich nicht gesagt, dass das immer so ist. Wäre zumindest aus meiner Sicht die flexibelste Lösung und wüsste auch nicht, was ein PI hier besser oder anders machen könnte. Quote Link to comment
saber1 Posted October 13, 2023 Share Posted October 13, 2023 Hier gibt es Interessantes zu dem Thema: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html#toc-17 https://administrator.de/forum/s2s-wireguard-avm-zu-mikrotik-4495761391.html#comment-6874546842 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.