ffw-bhh
May 04, 2023, updated at May 05, 2023 at 13:55:49 (UTC)
view6617
view5
0
Goto Top

WireGuard VPN mit Fritz!Box und Routing

GermansolvedQuestionVPNRouters, Routing
Hallo zusammen,

ich habe ein WireGuard-VPN zu einer Fritz!Box aufgesetzt, zu der ich mich mit meinem Client verbinde.
Das klappt soweit auch, ich kann mich bei bestehender WireGuard-Verbindung mit der Fritz!Box-Oberfläche verbinden:
network

Problem an der Sache ist nun, dass das "eigentliche" Netzwerk, in dem ich Geräte erreichen möchte, hinter einem zweiten Router (Cradlepoint E3000) sitzt.

Die Geräte dort kann ich aktuell nicht erreichen.

Ich "verzweifle" nun ein bisschen daran, was ich in WireGuard oder auf der Fritz!Box (statische Routen??) oder im CradlePoint-Router einstellen muss, um auf die Client-Geräte zugreifen zu können.

Kann mir hier jemand einen Tipp geben?


Besten Dank vorab dafür! face-smile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 7012149834

Url: https://administrator.de/contentid/7012149834

Printed on: June 3, 2024 at 08:06 o'clock

5 Comments
Latest comment
Goto Top
Member: aqui
Solution aqui May 04, 2023 updated at 09:15:38 (UTC)
Goto Top
In einer gemischten Umgebung mit der Fritzbox und ihrer leider nicht Wireguard Standard konformen Konfiguration muss man einige Fallstricke genau beachten auf die es ankommt:
S2S-Wireguard: AVM zu Mikrotik
Bzw. grundlegende Infos zur korrekten Wireguard Installation findest du im hiesigen Wireguard Tutorial.

Das ist bei dir aber nicht der Fall, denn du hast ja nur den simplen Client Access auf die FB und machst keine S2S Kopplung.
Im Grunde ist der 2te Router kein Problem, dort muss lediglich eine Default Route auf die FB eingetragen werden was vermutlich schon der Fall ist. Am WG Router (FritzBox) das Netz des 2ten Routers in den "AllowedIPs" eingetragen werden. Das ist aber nur dann erforderlich wenn dieser Router kein NAT macht! Leider machst du dazu keine Angabe. face-sad

Folgende statische Routen sind einzutragen:
  • Fritzbox: Ziel: 172.20.2.0 Maske: 255.255.255.0 Gateway: 172.20.20.200 (Achtung: diese Route ist nur dann erforderlich wenn der Router 2 kein NAT (IP Adress Translation) macht!! Alle Details zur NAT Thematik beim Routing von 2 IP Netzen findest du HIER!
  • 2ter Router: Default Route 0.0.0.0/0 Gateway: 172.20.20.1
Member: FFW-BHH
FFW-BHH May 04, 2023 at 09:29:23 (UTC)
Goto Top
Besten Dank für die schnelle Rückmeldung. face-smile

Auf der Fritz!Box hatte ich die entsprechende Route schon eingerichtet.
fritz!box-routen

Wenn ich mir die WireGuard-Konfig. der Fritz!Box anzeigen lasse, steht dort folgendes:
[Interface]
PrivateKey = xxxxxxxxxx
ListenPort = 51716
Address = 172.20.20.1/24
DNS = 172.20.20.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxx
PresharedKey = xxxxxxxxxx
AllowedIPs = 172.20.20.2/32
PersistentKeepalive = 25

Sprich, da müsste ich dann noch das 172.20.2.0/24 eintragen, richtig?
Die Frage ist dann nur ... wie mache ich das? In der Fritz!Box kann man das ja nicht "frei" bearbeiten.
Oder muss ich dann die WireGuard-Konfig. einmal löschen und neu anlegen?
Member: aqui
aqui May 04, 2023, updated at May 06, 2023 at 11:41:52 (UTC)
Goto Top
Wenn ich mir die WireGuard-Konfig. der Fritz!Box anzeigen lasse
Ist das die Konfig der FritzBox selber oder die die sie für den WG Client ausgespuckt hat??
Für die Fritzbox selber ist diese Konfig OK, denn die IP 172.20.20.2/32 ist dann die Client IP bzw. dessen Traffic sie dann in den Tunnel geroutet wird was ja auch soweit korrekt ist.

Spannend ist jetzt aber der "AllowedIPs" Parameter in der Setup Datei des WG Clients!
Dort sollte stehen:
AllowedIPs = 172.20.20.0/24, 172.20.2.0/24

Damit wird dann vom WG Client zusätzlich zum 172.20.20.0er Traffic auch IP Traffic mit den Zieladressen des 172.20.2.0er Netzes von Router 2 in den WG Tunnel zur FritzBox geroutet.
Die Fritzbox hat dann selber die von dir oben gesetzte statische Route die diesen .2.0er Client Traffic dann an den Router mit der .20.200 forwardet.
Alles richtig also wenn die AllowedIPs am Client so wie oben aussehen. face-wink

Bedenke nochmals das das alles nur Sinn macht wenn der Router-2 kein NAT am Koppelport macht!
Member: FFW-BHH
FFW-BHH May 05, 2023 at 06:08:00 (UTC)
Goto Top
Ich habe nun noch einmal im Internet geschaut und im Wiki des Herstellers eine Anleitung zur Deaktivierung von NAT gefunden => https://customer.cradlepoint.com/s/article/How-to-disable-NAT-use-standa ...

Danach bin ich vorgegangen und habe es entsprechend umgestellt:
cradlepoint

Dann habe ich noch die oben beschriebene Default-Route in "Router2" konfigurieren müssen, da diese noch nicht angelegt war - jetzt funktioniert der Zugriff wie gewünscht. face-smile

Danke für die Hilfe!
Member: aqui
aqui May 05, 2023 at 08:07:15 (UTC)
Goto Top
jetzt funktioniert der Zugriff wie gewünscht.
👍 👏
Die NAT Problematik wird leider immer und immer wieder übersehen, denn diese etabliert dann eine nicht überwindbare NAT Firewall am Koppelport.
Gut wenn's nun so rennt wie es soll.
GermansolvedQuestionVPNRouters, Routing