Wireguard über myfritz-DNS?

Es gibt 19 Antworten in diesem Thema, welches 811 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • Hallo,


    bei mir hängt das CGU hinter einer Fritzbox am WAN Port. Das Doppel-NAT stört mich bisher nicht und macht auch keine Probleme.


    Jetzt würde ich gerne einen VPN Server für WireGuard auf dem CGU einrichten um mich mit dem Handy per Wireguard mit dem CGU zu verbinden.


    Klar ist, dass ich die Fritzbox als Exposed Host einstellen muss.
    Aber für Wireguard brauche ich doch bei einer wechselnden IP-Adresse eine DynDNS.....


    Die Fritzbox bietet allerdings auch einen internen DNS Service mit der Adresse xxxxxxxxxxxxxxxxx.myfritz.net

    Dieser Fritz Service wäre mir aus Datenschutzgründen schon recht sympatisch gegen irgendeinen Anbieter.


    Kann ich die myfritz-DNS für den Wireguard Server auf dem CGU irgendwie nutzen oder brauche ich hier einen externen DNS-Anbieter?

    Falls ja, welchen DNS-Anbieter könnt ihr ohne sicherheitsbedenken empfehlen?

  • Networker88

    Hat den Titel des Themas von „Wireguard über myfritzDNS?“ zu „Wireguard über myfritz-DNS?“ geändert.
  • Ich würde keinen AVM Fritz DNS Service verwenden, sondern Duckdns odere ipv64.net
    Wenn Du mal einen anderen Router als AVM verwendest, musst Du nichts umstellen.
    Für die jeweiligen Dienste würde ich nur die benötigten Ports weiterleiten, da braucht es keinen exposed Host.

  • Ich nutze auch die myfritz Adresse, um auf Wireguard der UDM Pro zuzugreifen.


    Exposed Host idt meine Fritz! Box allerdings nicht. Ich habe nur den Wireguard Port auf die UDM Pro weitergeleitet.

    Cool, das klingt ja super.
    Hast du das dann in etwa so gemacht:


    • CGU:
      • Aufsetzten Wireguard Server
        • Bei DNS Server: Auto deaktivieren und bei DNS Server 1 die xxxxxxxxxxxxxxxxx.myfritz.net
          Richtig so?
    • Fritzbox
      • MyFritz aktivieren und aktivieren, dass sie aus dem Internet erreichbar ist
        • Wie und Wo hast du in der Fritzbox den Port an die UDM Pro weitergeleitet? :winking_face:
          Ich vermute bei Internet/Freigaben:
          dann hier das CGU oder UDM Pro auswählen, aber was leitest du dann weiter die xxxxxxxxxxxxxxxxx.myfritz.net
          Also was hast du hier für Einstellungen gemacht? :winking_face:
    • CGU:
      • Aufsetzten Wireguard Server
        • Bei DNS Server: Auto deaktivieren und bei DNS Server 1 die xxxxxxxxxxxxxxxxx.myfritz.net
          Richtig so?
    • Fritzbox
      • MyFritz aktivieren und aktivieren, dass sie aus dem Internet erreichbar ist
        • Wie und Wo hast du in der Fritzbox den Port an die UDM Pro weitergeleitet? :winking_face:
          Ich vermute bei Internet/Freigaben:
          dann hier das CGU oder UDM Pro auswählen, aber was leitest du dann weiter die xxxxxxxxxxxxxxxxx.myfritz.net
          Also was hast du hier für Einstellungen gemacht? :winking_face:

    DNS Server ist an dieser Stelle der DNS, den die Wireguardclients später nutzen sollen. Der einfachheithalber auf Auto lassen, das ist dann die Wireguard Tunnel IP vom UCG oder wenn man hat kann man dort auch einen Pihole eintragen (Auf Firewallregeln achten!)


    Den myFritz hostnamen kannst Du eintragen, wenn Du den Haken bei "Use Alternate Adress for Clients" setzt und dann den hostnamen in das Feld einträgst. Das sorgt dafür, dass in der Konfig für die Clients als Endpoint der DDNS Hostname statt der IP eingetragen ist.


    Die Weiterleitung wird entsprechend bei Internet/Freigabe eingestellt. Dort wählst Du das Gerät aus wohin Du weiterleiten willst, also die UCG oder UDM oder was Du da hast. Du möchtest eine Portweiterleitung(freigabe) für eine andere Anwendung erstellen. Namen für die Anwendung eingeben z.B. Wireguard. als Protokoll trägst Du in diesem Fall UDP ein und dann den Port des Wireguardservers (Der ist beim Wirguardserver im Unifi sichtbar und einstellbar) Default ist der Port 51820 der muss glaube ich bei der Fritzbox in 3 Felder (von, bis und weiterleitungsport oder ähnlich). Dann alles Bestätigen und übernehmen. Da sollte dann nachher in der Übersicht die Weiterleitung grün sein.

  • Also die IP Adresse deiner Fritzbox welche die UDM Pro über den WAN Port bezieht?


    Ich finde leider die Einstellung Endpunkt/Endpoint nicht. Wo ist die genau in der UDM Pro?

    Das umgehst Du mit "Use Alternate Adress for Clients" wie erklärt.

    Der Endpoint steht in der Clientkonfiguration drin, die man runterlädt odr per QR importieren kann. Den kann man also nur hinterher anpassen oder eben gleich dafür sorgen, dass da was sinnvolles drin steht.

  • Den myFritz hostnamen kannst Du eintragen, wenn Du den Haken bei "Use Alternate Adress for Clients" setzt und dann den hostnamen in das Feld einträgst.

    Wenn ich hier https://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.myfritz.net:xxxxx eintrage, dann kommt die Meldung:
    Please enter a valid IPv4 adress or hostname


    Was muss ich hier eintragen?
    Peterfido was hast du hier als Endpoint eingetragen oder hast du es direkt in die Konfig Datei geschrieben?

  • OK ich glaube ich habe es selbst gefunden es muss hier nur xxxxxxxxxxxxxxxxxxxxxxxxxx.myfritz.net rein.

    Port muss ich hier wohl doch keinen angeben?

    genau nur uhrefpoiuhwrefiouhi.myfritz.net das ist der hostname. Das https:// ist die Angabe eines zu verwendenden Protokolls z.B. im Browser, der den dahinterstehenden hostnamen verwendet. Wir brauchen aber bei DNS immer nur den Namen und auch keinen Port.


    Einen Port musst Du da nicht eintragen, der steht ja darüber bei Server Adress, erst die IP und daneben der Port (das ist auch der Port für die Weiterleitung in der Fritte).

  • So das Handy hat sich jetzt per Scannen des QR-Codes mit dem Wireguard VPN verbunden.

    Leider kann ich damit aber nicht auf das Internet zugreifen. Der Browser öffnet keine Seite.
    Muss ich hier im CGU noch etwas aktivieren?

  • So das Handy hat sich jetzt per Scannen des QR-Codes mit dem Wireguard VPN verbunden.

    Leider kann ich damit aber nicht auf das Internet zugreifen. Der Browser öffnet keine Seite.
    Muss ich hier im CGU noch etwas aktivieren?

    Das sollte eigentlich mit den Default Einstellungen funktionieren. Checke mal ab ob Wireguard wirklich verbunden ist. In der Clientliste des UCG sollte bei aktivierter VPN ein entsprechender Wireguard Client auftauchen. Im Wireguard Client selbst müsste man auch gesendete und empfangene Daten sehen können. Oftmals steht der Tunnel aus etwaigen Gründen nicht und dann siehst Du nur gesendete Daten und empfangen bleibt bei 0 stehen.


    Hast Du im UCG evtl. das NAT aus gestellt um doppeltes NAT zu vermeiden? Die Idee kam mir gerade so eben. Ich hab das noch nie gemacht aber falls Du NAT deaktiviert hast, könnte es nötig sein auch das Wireguard Netzwerk der UCG noch als statische Route in der Fritzbox einzutragen.

  • In der Clientliste des UCG sollte bei aktivierter VPN ein entsprechender Wireguard Client auftauchen.

    Du hast recht. Hier wird nichts aufgezeigt obwohl das Handy sagt es ist verbunden. Aber es werden keine Daten empfangen. :frowning_face:


    ast Du im UCG evtl. das NAT aus gestellt um doppeltes NAT zu vermeiden?

    Nein, da habe ich nichts gemacht.
    Allerdings habe ich meinem CGU statt der 162.168.1.1 eine andere IP gegeben.

    Kann das der Grund sein?

  • Allerdings habe ich meinem CGU statt der 162.168.1.1 eine andere IP gegeben.

    Kann das der Grund sein?

    An welcher Stelle. Das UCG hat mehr als eine IP Adresse ... leider kommen dann immer solche Aussagen mit einer IP ohne Schnittstelle oder ähnliches.


    Kannst Du bitte auch mal die Wireguard Konfiguration des Clients posten? BITTE DIE KEYS UNKENNTLICH MACHEN!

  • Kannst Du bitte auch mal die Wireguard Konfiguration des Clients posten? BITTE DIE KEYS UNKENNTLICH MACHEN!

    Ich habe den Fehler soeben selber gefunden. Ein wirklich dummer Fehler. Ich hatte im Wireguard Server als Port nicht 51820 sondern 51821. Kann natürlich nicht funktionieren tut mir echt leid euch deshalb zu nerven, aber ich habe es nicht gesehen. :frowning_face:


    Jetzt hätte ich nur noch eine Frage zu den Zulässigen IPs in der Client-Config. Hier habe ich aktuell 192.168.2.1/32, 192.168.2.2/32, 0.0.0.0/0 ist das so korrekt oder muss man hier noch ändern?
    So ganz verstehe ich den sinn noch nicht 0.0.0.0/32 heißt doch allein schon, dass eigentlich alles durch geht?!

  • Ich habe den Fehler soeben selber gefunden. Ein wirklich dummer Fehler. Ich hatte im Wireguard Server als Port nicht 51820 sondern 51821. Kann natürlich nicht funktionieren tut mir echt leid euch deshalb zu nerven, aber ich habe es nicht gesehen. :frowning_face:


    Jetzt hätte ich nur noch eine Frage zu den Zulässigen IPs in der Client-Config. Hier habe ich aktuell 192.168.2.1/32, 192.168.2.2/32, 0.0.0.0/0 ist das so korrekt oder muss man hier noch ändern?
    So ganz verstehe ich den sinn noch nicht 0.0.0.0/32 heißt doch allein schon, dass eigentlich alles durch geht?!

    0.0.0.0/0 steht da :smiling_face: ja das sind defacto alle IP Adressen. Wenn das da so drin steht erreichst Du nichtmal mehr die IPs in deinem lokalen Netzwerk (Im Windows Wireguard Client heißt das irgendwie NOTAUS.


    192.168.2.1 und .2 sind die VPN Tunnel Enden. Prinzipiell wären die im 0.0.0.0/0 auch enthalten wenn es denn hier nur ums routing gehen würde. Das bezieht sich hier aber darauf was da rein darf und von wo was raus darf. Ich für meinen Teil habe die 0.0.0.0/0 eigentlich nie in Nutzung bei einem Client.


    Entweder habe ich nur explizit eines oder mehrere der lokalen Netze hinter dem Wireguard drin stehen, weil ich von Unterwegs auf dortige Netzwerkresourcen zugreifen will ohne das mein Internettraffic da mit durch muss.


    Oder ich habe statt 0.0.0.0/0 die 0.0.0.0/1 und 128.0.0.0/1 drine. Dann kannst Du im lokalen Netzwerk (gleiches IP Netz wie die WLAN oder LAN Schnittstelle) alles nutzen und alles andere wie surfen geht durch den Tunnel.


    Alles eine Frage der Nutzung.

  • 0.0.0.0/0 steht da :smiling_face:

    Genau, das war wieder ein Schreibfehler.



    Oder ich habe statt 0.0.0.0/0 die 0.0.0.0/1 und 128.0.0.0/1 drine.

    Das heißt, dass ich jetzt über den VPN Tunnel immer noch in meinen Home Assistent rein komme oder meine Kamerase sehe liegt daran, dass er nicht direkt über eine IP angesprochen wird, wenn ich bei 0.0.0.0/0 ein Gerät in meinem lokalen Netzwerk per IP ansprechen wollte, dann hätte ich ein Problem.
    Dieses lässt sich durch Eintragung von 0.0.0.0/1 und 128.0.0.0/1 lösen.
    Ist das soweit richtig?

  • Ich nutze nicht die Wireguard app, sondern WG Tunnel. Daher möglich, dass der Port gar nicht direkt hinter die myfritz-Adresse kommt. Als gültige IP habe ich 0.0.0.0/0 damit ich erreiche ich auch alles im Heimnetzwerk. Ob ich da jetzt noch Firewall Regeln, oder Routen angelegt hatte, kann ich gar nicht sagen.

    Das mit der 0.0.0.0/0 Notausgeschichte kann eine Eigenart des Wireguard Windows Clients sein. Die myfritz Adresse ist allerdings ein ganz normaler DDNS Dienst wie all die vielen anderen. Das Ding löst nur den Namen in eine IP Adresse auf. Und wenn die Portweiterleitung korrekt ist, dann kommt auch WG Tunneln damit klar. Ich habe auf dem Handy beide Apps. Was allerdings durchaus sein kann, hast Du IPv6 aktiv in der Fritte? Falls ja dann könnte es daran liegen, dass der Client die IPv6 nutzt und die ist von der Fritte und nicht von der UDM.



    Das heißt, dass ich jetzt über den VPN Tunnel immer noch in meinen Home Assistent rein komme oder meine Kamerase sehe liegt daran, dass er nicht direkt über eine IP angesprochen wird, wenn ich bei 0.0.0.0/0 ein Gerät in meinem lokalen Netzwerk per IP ansprechen wollte, dann hätte ich ein Problem.
    Dieses lässt sich durch Eintragung von 0.0.0.0/1 und 128.0.0.0/1 lösen.
    Ist das soweit richtig?

    Angenommen Du bist in einem WLAN an Standort A. Dein Heimnetz ist Standort B und dort ist HA und Kamera verortet. Du aktivierst die VPN und kannst dann mit 0.0.0.0/0 nicht mehr auf Geräte an Standort A zugreifen. Auf die Geräte von B kannst Du zugreifen. Nimmst Du stattdessen 0.0.0.0/1 und 128.0.0.0/1 dann kannst Du auf beides zugreifen. Wie es ja nach @Peterfidos Aussage scheint, ist das ein Wireguard Client verhalten und ggf. sogar nur Windows. Ich habe gerade in der Handy App enteckt, dass dort "Private IPs ausschliessen" anhakbar ist und entsprechend andere Subnetze gesetzt werden.


    Probiere es einfach mal aus. Alternativ kannst Du auch Wireguard Tunneln benutzen. Da kannst Du dein Heim WLAN festlegen und beim verlassen des selbigen aktiviert sich der Tunnel automatisch. Du bist also immer mit Zuhause verbunden. Vielleicht mal so als kleiner zusätzlicher Bonbon.