Wireguard hinter Firtzbox

heiko · January 18, 2025 at 5:00 PM

Hallo zusammen,
ich habe seit heute ein UCG-Ultra (9.0.108) laufen.
Soweit funktioniert auch alles.

Der Aufbau ist wie folgt:

Glasfaser -> Firtzbox -> UCG

Im UCG habe ich das zusätzliche NAT abgeschaltet.

In der Fritzbox ist das UCG als Exposed Host eingerichtet.

Zudem sind in der Fritzbox Routen eingetragen:

192.168.0.0 -> 192.168.178.2 (Defaultnetz -> UCG)
192.168.192.0 -> 192.168.178.2 (Gästenetz -> UCG)
192.168.123.0 -> 192.168.178.2 (Wireguard -> UCG)

Jetzt will ich eine Wireguard-Verbindung vom Handy zum UCG aufbauen.

Dazu habe ich einen VPN-Server auf dem UCG eingerichtet. Unter "Alternative Adresse für Clients verwenden" habe ich noch meine Dyndns-URL eingetragen (sonst kennt das UCG ja nur die 192.168.178.2 die von der FB zugewiesen wurde).

Wenn ich jetzt aber versuche, mit mit dem Handy per Wireguard zu verbinden, funktioniert das nicht. Es wird nichteinmal eine Verbindung aufgebaut.

Muss ich noch etwas an der Firewall der UCG anpassen? Oder sonst etwas?

Hat jemand eine Idee?

Danke

Heiko

Peterfido · January 19, 2025 at 9:17 AM

Moin,

als DynDNS nutze ich einfach die Myfritz-Adresse. Die Fritzbox leitet die Wireguard Ports weiter zur UDM Pro. Mehr war da fritzboxseitig nicht notwendig. Exposed Host nutze ich nicht.

Wenn Du das Wireguard der Fritzbox nutzen willst, dann sind die Routen erforderlich. Allerdings muss dann auch die Firewall des UCG geöffnet werden, und alles, was an die Fritzbox kommt, kommt in Deine drei Netze. Wozu überhaupt ins Gästenetz?

heiko · January 19, 2025 at 10:26 AM

Moin,

da das UCG ja als ExposedHost in der Fritzbox eingetargen ist, sollten ja keine weiteren Freigaben auf der Fritzbox erforderlich sein.

Ich hätte aber erwartet, dass beim Einrichten von Wireguard auf dem UCG auch Firewall-Regeln erstellt werden. Ich kann da aber keine passenden sehen.
Muss ich im UCG noch irgendwelche Firewall-Regeln einrichten? (z.B. eingehenden Wiregard-Traffic zulassen)

**Networker** · January 19, 2025 at 10:31 AM

Für Wireguard sind keine weiteren Einstellungen nötig, auch nicht in der Firewall.

Wenn Du Dich nicht verbinden kannst, sitzt Du möglicherweise hinter einem Internetanschluss ohne öffentliche IPv4-Adresse.

heiko · January 19, 2025 at 10:38 AM

Ich habe eine öffentliche IPv4-Adresse.
Bisher habe ich ja Wireguard immer auf der FB genutzt. Das lief ohne Probleme.

**Networker** · January 19, 2025 at 10:49 AM

Dann poste mal Screenshots der Einstellungen aus Server und Client!

heiko · January 19, 2025 at 12:18 PM

Es hat sich erledigt. Danke für eure Hilfe.

Es lag an der Fritzbox. Ich habe einen Wireshark-Mitschnitt erstellt und dann gesehen, dass die FB die WG-Pakete noch an eine falsche IP gesendet hat. Warum auch immer. Selbst Neustart hat nicht geholfen. Nachdem ich den Eintrag für den ExposedHost (zeigte auf die richtige IP) gelöscht habe und dann das UCG wieder neu zur FB hinzugefügt habe, hat es funktioniert.

Ich habe jetzt auch nicht mehr ExposedHost eaktiviert. Nur eine Portweiterleitung für den WG-Port an das UCG.

Participate now!