Einrichten eines VPN auf die UDM über Fritzbox 5G

    Hallo,


    Ich benötige einmal eure Hilfe, Ich habe als Setup

    • eine Fritz Box 6850 5G
    • eine UDM SE

    Mein Problem besteht, Ich schaffe es nicht eine VPN Verbindung auf meine UDM herzustellen.

    Ich habe einen DynDNS eingerichtet über ipV64.net, hier steht die Verbindung. In der Fritzbox wird es als angemeldet angezeigt und ein test per NSChecker gibt meine ipv4 Adresse aus. Auf der Fritzbox habe ich auch eine WireGuard eingerichtet.

    Wenn ich Wireguard aktiviere, kann ich per IP auf die Fritz box von außen zugreifen, aber nicht über die eingerichtete DynDNS per URL.

    Und ich kann leider auch nur auf die IP zugreifen der Fritz Box aber nicht auf die der UDR

    ip der Fritzbox ist im Heimnetz 192.168.178.1 und UDR hat die ip 192.168.178.155


    was Muss ich hier noch einstellen um zum Ergebnis zukommen.

    Ich habe auch schon diverse Anleitungen aus dem Netz getestet mit Portfregabe und die UDM auf Exposed Host gestellt.

    leider ohne den gewünschten Erfolg


    Gruß Tom

    Moin, es gibt hier ein paar grundlegende Designfehler bzw. einen falschen Planungsansatz. Wenn Deine UDM-SE der eigentliche Router in Deinem Netzwerk ist, wovon man wohl ausgehen kann, muss Wireguard hier und nur hier laufen. Folgendes wäre abzuarbeiten:

    - Fritzbox so einstellen, dass sie ausschließlich die PPPoE-Einwahl und Dyndns macht, jegliches VPN komplett löschen (Telefonie-Kram darf sie auch weiterhin machen)

    - Wireguard-Ports von der Fritzbox auf die UDM-SE weiterleiten oder UDM-SE als Exposed Host konfigurieren

    - Wireguard-Server in UDM-SE einrichten und als Adresse für die Clients Deine Dyndns-Domain angeben


    Damit wird es dann ganz sicher funktionieren.

    Hallo Networker, erst einmal danke für deine Rückmeldung.

    • Ja das der wireguard auf der UDM laufen muss das war mir klar und habe ich auch schon umgesetzt,
    • Die Fritzbox nur als PPPoE einrichten, so das sie nur Als Modem läuft habe ich auch getestet bin aber dann an den Einstellungen gescheitert die laut Anleitung im Netz durchführen soll.
    • Wie kann ich die Ports für Wireguard weiterleiten?
    • Wie kann ich die Wireguard Adresse im DynDNS Dienst angeben?
    Quote from ossilampe

    Die Fritzbox nur als PPPoE einrichten, so das sie nur Als Modem läuft habe ich auch getestet bin aber dann an den Einstellungen gescheitert die laut Anleitung im Netz durchführen soll.

    Die Fritzbox läuft bei Dir sicherlich nicht nur als Modem, diesen Betrieb können Fritzboxen mittlerweile gar nicht mehr. Sie läuft als vollwertiger Router vor dem eigentlichen Router und nur deshalb sind ja auch all die zusätzlichen Schritte notwendig. Woran genau scheiterst Du denn? Man konfiguriert die Fritzbox an dieser Stelle einfach ganz genauso, als wäre sie der einzige Router, schaltet WLAN etc. ab und mehr ist auch nicht zu tun.


    Quote from ossilampe

    Wie kann ich die Ports für Wireguard weiterleiten?

    In der Fritzbox Internet-->Freigaben-->Portfreigaben


    Quote from ossilampe

    Wie kann ich die Wireguard Adresse im DynDNS Dienst angeben?

    Ich weiß nicht, was Du damit meinst. Wenn Du Dir einen Dyndns-Dienst eingerichtet hast, hast Du mindestens eine Domain erhalten. Diese trägst Du in der Konfiguration des Wireguard-Servers in der UDM-SE ein.

    Auf der Fritz Box ist alles Aus außer Internetzugang per 5G ist eingerichtet und Lan-port 1 zur UDM.

    in der Fritz box habe ich eine Portweiterleitung sie Bild eingerichtet.

    in der UDM habe ich WireGuard so eingerichtet

    und hier auch die Domain von DynDNS eingegeben..

    Das sieht grundsätzlich richtig aus. Den Dyndns-Account hast Du aber schon auch in der Fritzbox hinterlegt, ja?

    Worüber ich stolpere: Internetzugang ausschließlich per Mobilfunk? Verstehe ich das richtig? In diesem Fall wird Dein Vorhaben sehr wahrscheinlich scheitern, weil Mobilfunkprovider in der Regel keine öffentlich erreichbaren Adressen verteilen. Das müsstest Du mal mit Deinem Anbieter abklären.

    Ja ich habe bei DynDNS die Fritz Box hinterlegt, und wenn ich ein Wireguard auf der Fritz box einrichte und starte (zum testen) kann ich auf meine Fritz Box zugreifen per der ip 192.168.178.1, daher gehe ich davon aus das das mit der öffentliche ip klappt. in der Adminoberfläche des DynDNS dienst sehe ich auch das die ip Adresse korrekt hinterlegt ist im A-Record.

    Das heißt wenn Wireguard auf der Fritz Box läuft klappt der zugriff von außen auf die Fritz Box. Aber ich denke ich benötige eine Weiterleitung von der Fritz Box ip 192.168.178.1 auf die UDM ip 192.168.178.155.

    Falls in der Fritzbox schonmal der Wireguard Server an war, dann benutze bitte in der UDM jetzt einen anderen Port als den Standard ... Den fängt die Fritzbox ggf. ab, weil selbst genutzt oder aber mal genutzt gewesen. Die machen manchmal son Unfug.

    Was ist das für ein Mobilfunkanschluss??? Dualstack, CGNAT, DSlite oder was hast Du da an öffentlichen IPs auf der Fritzbox ??? Was zeigt dir die IPv64.net Seite so an? Wo ist der dyndns eigetragen in der Fritte oder in der UDM? Denn wenn das alles nicht zusammen passt oder Du keine öffentliche IPv4 hast, kannst Du soviel weiterleiten wie Du möchtest, das kommt gar nicht bei deinem Anschluss an.

    Quote from ossilampe

    Ja ich habe bei DynDNS die Fritz Box hinterlegt, und wenn ich ein Wireguard auf der Fritz box einrichte und starte (zum testen) kann ich auf meine Fritz Box zugreifen per der ip 192.168.178.1, daher gehe ich davon aus das das mit der öffentliche ip klappt. in der Adminoberfläche des DynDNS dienst sehe ich auch das die ip Adresse korrekt hinterlegt ist im A-Record.

    Das heißt wenn Wireguard auf der Fritz Box läuft klappt der zugriff von außen auf die Fritz Box. Aber ich denke ich benötige eine Weiterleitung von der Fritz Box ip 192.168.178.1 auf die UDM ip 192.168.178.155.

    Irgendwie sind deine Aussagen immer etwas konfus ... Kann es sein, dass Du in der Fritzbox eine öffentliche IPv6 Adresse auf dem WAN hast? Wenn die bei ipv64.net aktualisiert wird, und du ggf. auf dem Mobilfunkanschluss IPv4 mit CGNAT hast aber eine echte IPv6, dann verbindest Du dich per IPv6 auf die Fritzbox ... und bei IPv6 ist nix mit Portweiterleiten.

    Hallo DoPe

    Schön das du dich auch meinem Problem annimmst,

    wie oben schon geschrieben habe ich eine öffentliche ip sonst würde ich ja nicht auf meine Fritz Box zugriefen können wenn ich hier den WireGuard installiert habe.

    Ja in dem DynDNS Service ist meine öffentliche ip gleich wie in meiner Fritz Box.

    Wie du auch oben auf den Bildern sehen kannst kann ich in der Fritz box keine Ports zur Weiterleitung einstellen, lediglich das gerät unifi UDM und die Ip Adresse

    Doch kann man, aber nicht beim exposed host. Da sind ja schon alle ports weitergeleitet, die nicht anderweitig genutzt oder explizit ein anderes Weiterleitungsziel haben.

    Also nochmal auf Deutsch... nimm einen anderen port für Wireguard auf der UDM und benutze für den test die aktuelle ipv4 deiner Fritzbox, welche auch immer das ist.

    Also kleines Update:

    • FritzBox Portweiterleitung eingerichtet, Exposed Host mit Port 51830
    • DynDNS eingerichtet
    • UDM WireGuard eingerichtet mit Serveradresse von der UDM Port: 51830, Alternativ Adresse für Client verwenden: ist die DynDNS Adresse

    so funktioniert es, nur komisch das ich mit der DynDNS Adresse direkt über den Browser nicht auf meine UDM komme.

    Funktioniert aber auch nach dem ich die Fritz Box einmal neu gestartet habe und somit auch eine neue IP habe.


    Könntest du mir noch erklären warum ich nicht über die DynDNS im Browser auf meine seite komme?


    Gruss und Danke schon einmal

    Weil die dyndns Adresse auf die Internet IP zeigt, also aus Sicht der Firewall der UDM kommt der Zugriff aus dem Internet...

    Warum greifst Du nicht über den Tunnel auf die UDM zu? Dafür ist der da und hält den Rest der Welt draußen.

    Wenn Du das willst gibts sowas wie Direct Remote Access. Damit kann man den Zugriff aus dem Internet freischalten. Dann ist Wireguard bicht nötig und es kann jeder weltweit auf die GUI zugreifen, der sich dahin verirrt und das werden schnell viele sein. Da der Router ein zentraler Bestandteil für die Sicherheit des Netzwerks ist, macht man sowas halt nicht.

    Auf die Fritzbox willst Du? Dachte du redest von der UDM GUI.

    Fritzbox Zugriff aus dem Internet musste in der Fritzbox einschalten. Das geht dann auch nicht auf Port 80 bzw. 443 sondern einem separaten Port. Funktioniert mit den fritz ddns namen reibungslos. Obs mit der IP selbst oder einem anderen ddns host geht keine Ahnung. Kommt drauf an wie der Webserver in der Fritzbox konfiguriert ist, vonwegen virtueller host oder so.

    Nein.. ich will nicht auf die fritzbox und ich habe oben auch geschrieben das jetzt alles funktioniert.

    Ich bin aber der Meinung wenn ich meine öffentliche IP adresse aufrufe sollte ich doch auf die FB kommen.. oder..

    Und nein ich möchte das nicht ich will es nur wissen..

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login