Wireguard - FritzBox <-> UDM

Es gibt 39 Antworten in diesem Thema, welches 11.140 mal aufgerufen wurde. Der letzte Beitrag () ist von turtle1987.

    Hallo,


    auch wenn es aktuell anderweitig disktutiert wird, helfen mir diese threads zu meinem problem nicht wirklich weiter.

    Mein setup ist auch gefühlt nicht so "aufgeblasen" wie die anderen hier.


    Netz 1 / Fritzbox 7590AX mit FRITZ!OS:7.39-102024 BETA:

    192.168.2.0/24


    Netz 2 / UDM-Pro:

    192.168.0.0/24


    Wireguard-Server auf UDM mit dem Netz subnetz 192.168.9.0/24

    UDM natürlich auf der 192.168.9.1

    Fritzbox wg-client hinter 192.168.9.8



    Was funktioniert:

    • Fritz-Netz -> UDM-netz, auf alle service im remote UDM Netz zugriff


    Was nicht funktioniert:

    • UDM-Netz -> Fritz-Netz , geht gar nicht, habe im UDM eine Statische route auf 192.168.2.0/24 mit Next Hop 192.168.9.8 bekomme aber immer "Destination host unreachable", ohne die Route geht gar nichts und der ping hängt ewig


    Grundsätzlich:

    • Zugriff wurde aktuell nur mit IP getestet, daher ist DNS aktuell nicht wirklich relevant - bzw dient als dns für den tunnel
    • Wireguard funktioniert, mit dem Client auf dem PC/Handy geht alles ohne Probleme, jeder Service ist erreichbar. Kompletten traffic tunneln funktioniert auch problemlos.
    • Ich habe mittlerweile über 8h in der UDM rumgeklickt und versucht routen und netze einzurichten, aber ohne erfolg. Habe es mit dem neuen und dem alten interface probiert.
    • Habe ewig versucht firewall-logs zu bekommen und zu analysieren die aber leider komplett wertlos sind und die entsprechenden daten/infos auch gar nicht beinhalten...



    Wireguard-Config für die Fritz-Box, ausgegeben von UDM-Pro:

    Code
    [Interface]
PrivateKey = yJ...Hs=
Address = 192.168.9.8/32
DNS = 192.168.0.252


[Peer]
PublicKey = f5..zc=
AllowedIPs = 192.168.9.1/32,192.168.9.8/32,192.168.0.0/24
Endpoint = hostname.de:51821

    Mein Test vom UDM Netz sieht aktuell so aus:

    Code
    PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
From 192.168.0.1 icmp_seq=1 Destination Host Unreachable
From 192.168.0.1 icmp_seq=2 Destination Host Unreachable
From 192.168.0.1 icmp_seq=3 Destination Host Unreachable




    Daher bin ich jetzt irgend wie deprimiert :tired_face: und dachte mir, ich frage einfach mal nach.

    Evtl kann da jemand helfen.

    3 Mal editiert, zuletzt von Professed75 ()

    Hallo und herzlich willkommen bei uns.

    1. FRITZ!Box 7590 auf Version 7.50 updaten (Link). Dann sehen wir weiter.
    2. Ich habe den Versuchsaufbau noch nicht ganz verstanden:
      1. Sind UDM-Pro und FRITZ!Box jeweils an einem eigenen Internet-Anschluss und wird die Verbindung so getestet? Die genannten IP-Bereiche (192.168.0.0/24 & 192.168.2.0/24) sind jeweils auf der LAN-Seite konfguriert - nehme ich an.
        ODER
      2. Hängt die FRITZ!Box mit hinter der UDM um Du versuchst nun aus dem LAN heraus eine Verbindung via VPN zur UDM herzustellen?
        Dieses Szenario ist aus meiner Sicht nicht sinnvoll. In diesem Falle solltest Du sicherstellen, dass die WireGuard-Ports auch via LAN zu erreichen sind. Auf meinem USG würde ich das mit z.B. netstat -antupl auf der Console machen - oder auch iptalbes -L.
    Zitat von Professed75

    Fritzbox wg-client hinter 192.168.9.8

    Wie ist das gemeint? Hat die FB diese Adresse im VPN-VLAN?

    Zitat von Professed75

    Was nicht funktioniert:

    UDM-Netz -> Fritz-Netz , geht gar nicht, habe im UDM eine Statische route auf 192.168.2.0/24 mit Next Hop 192.168.9.8 bekomme aber immer "Destination host unreachable", ohne die Route geht gar nichts und der ping hängt ewig

    Das sollte mMn nicht nötigsein, denn die UDM kennt ja das Netz 192.168.2.0/24 und weiß, wie es zu erreichen ist.


    ich habe mit einem AVM-Entwickler eine Verbindung zwischen seinter FB und meinem USG erfolgreich herstellen können. Wenn ich mich aber recht entsinne musst er in der Konfig etwas anpassen, damit die Kommunikation in beide Richtungen geht.

    Zitat von razor

    Hallo und herzlich willkommen bei uns.

    1. FRITZ!Box 7590 auf Version 7.50 updaten (Link). Dann sehen wir weiter.
    2. Ich habe den Versuchsaufbau noch nicht ganz verstanden:
      1. Sind UDM-Pro und FRITZ!Box jeweils an einem eigenen Internet-Anschluss und wird die Verbindung so getestet? Die genannten IP-Bereiche (192.168.0.0/24 & 192.168.2.0/24) sind jeweils auf der LAN-Seite konfguriert - nehme ich an.
        ODER
      2. Hängt die FRITZ!Box mit hinter der UDM um Du versuchst nun aus dem LAN heraus eine Verbindung via VPN zur UDM herzustellen?
        Dieses Szenario ist aus meiner Sicht nicht sinnvoll. In diesem Falle solltest Du sicherstellen, dass die WireGuard-Ports auch via LAN zu erreichen sind. Auf meinem USG würde ich das mit z.B. netstat -antupl auf der Console machen - oder auch iptalbes -L.

    Wie ist das gemeint? Hat die FB diese Adresse im VPN-VLAN?

    Das sollte mMn nicht nötigsein, denn die UDM kennt ja das Netz 192.168.2.0/24 und weiß, wie es zu erreichen ist.


    ich habe mit einem AVM-Entwickler eine Verbindung zwischen seinter FB und meinem USG erfolgreich herstellen können. Wenn ich mich aber recht entsinne musst er in der Konfig etwas anpassen, damit die Kommunikation in beide Richtungen geht.

    Die FritzBox 7590 AX ist nicht die gleiche wie die 7590, für die AX gibt es die 7.50 wohl noch nicht, desshalb die Laborfirmware für Wireguard.


    Es ist 1., UDM und Fritzbox sind phsyikalisch durch einige "hundert km internet" von einander getrennt und nur per wireshark verbunden.



    Das einzige geteilte Netz ist das 192.168.9.0/24 (VPN-VLAN) in dem die UDM der Wireguard-Server ist mit 192.168.9.1 und die FritzBox auf der anderen Seite von Deutschland die 192.168.9.8 hat wenn sie sich remote einloggt.

    192.168.2.0/24 ist das FritzBox Netz und der UDM nicht bekannt, und 192.168.0.0/24 ist das UDM Netz und wird der Fritzbox ja durch die Wireguard config mitgeteilt.


    Wenn ich keine statische Route anlege, woher weiß die UDM welche Netze sich hinter der 192.168.9.8 befinden?


    Von AVM habe ich leider nur die Antwort bekommen das die Laborfirmware keinen Support erhält.

    Zitat von Professed75

    Die FritzBox 7590 AX ist nicht die gleiche wie die 7590, für die AX gibt es die 7.50 wohl noch nicht, deshalb die Laborfirmware für Wireguard.

    Zitat von AVM (ganz frisch)

    :frowning_face:

    OK, dann stimmen meine Annahmen so weit.


    Ich habe nochmal die von mir oben angesprochene AVM-Config angefordert, um sie mit meiner UniFi-Config zu vergleichen; kommt...


    Ich habe bei mir das Interface wie folgt konfiguriert und keine statische Route gesetzt:

    So ist dann mein Interface konfiguriert:

    Code
    82: wg2: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN
    link/none
    inet 192.168.179.14/30 brd 192.168.179.15 scope global wg2
       valid_lft forever preferred_lft forever

    Und so die Routen, welche ich nicht manuell gesetzt habe:

    Code
    Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 pppoe0
#
#diverse weitere VLANs und sonstiges...
#
192.168.69.0    *               255.255.255.0   U     0      0        0 wg2
192.168.179.12  *               255.255.255.252 U     0      0        0 wg2

    Damit klappt es super.

    Ich habe leider keine Lösung für dein Problem, aber hänge mich hier mal mit meiner Frage dran. Ich bin leider noch einen Schritt hinter dir. Ich habe ein ähnliches Setup: Fritz!Box 7490 (7.51-102214 BETA) an eigenen Internetanschluss und UDM SE (Network 7.3.80) auch eigener Anschluss (beides Telekom mit IPv4). Die UDM ist als Server konfiguriert und die Fritz!Box als Client mit der durch die UDM generierten Config. Leider wird keine Verbindung aufgebaut (weder Fritz!Box noch UDM zeigen eine aktive Verbindung an). Gibt es eine Möglichkeit das zu debuggen?

    Hier die generierte Config:


    Code
    [Interface]
PrivateKey = XXX
Address = 10.0.20.2/32
DNS = 10.0.20.1

[Peer]
PublicKey = XXX

AllowedIPs = 10.0.20.1/32,10.0.20.2/32,10.0.1.1/24
Endpoint = IP:51820


    Mein Netzwerk Config sieht so aus, dass das normale UDM Netz die 10.0.1.0/24 ist. Das Netz für VPN ist 10.0.20.0/24. Die Fritz!Box soll später mal Hosts im 10.0.1.0/24 erreichen, aber soweit bin ich noch nicht.


    UDM-SE Config:





    An den Firewall Regeln habe ich bei der Einrichtung von Wireguard nichts geändert. Muss ich da manuell Regeln eintragen/ändern?

    EDIT: Die Wireguard Verbindung funktioniert problemlos mit einem iPhone als Client.

    Einmal editiert, zuletzt von Quatchi ()

    Frage wie hast Du Wireguard auf die UDM Pro bekommen ?

    Gibt es das schon offiziell oder hast Du dafür ein Workaround ?

    Ich möchte meine 2 UDM Pro Site to Site verbinden !

    Zitat von willybald

    Frage wie hast Du Wireguard auf die UDM Pro bekommen ?

    Gibt es das schon offiziell oder hast Du dafür ein Workaround ?

    Ich möchte meine 2 UDM Pro Site to Site verbinden !

    Ich habe die UDM SE mit dem OS & Network Firmware aus dem Early Access Programm (= Beta). Da wird dann Wireguard offiziell unterstützt, ohne dass man das händisch im Linux Unterbau nachinstallieren muss.

    Erstell' dir mal die Config auf der FRITZ!Box und vergleiche das Ergebnis von der UDM und von UniFi für die FRITZ!Box.

    razor das war ein guter Tipp. Es funktioniert zwar immer noch nicht, aber wenn ich die Fritz!Box Config runterlade, sehe ich, dass plötzlich ein PreShared Key eingetragen ist - auch wenn ich keinen eingetragen habe und der angezeigte nicht valide erscheint:

    PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=

    In der Oberfläche wird ist interessanterweise das Feld bei der Fritz!Box zu Vereinbarter Schlüssel leer. Vielleicht liegt das Problem daran, dass die Fritz!Box sich mit dem PreShared Key bei der UDM anmelden möchte, diese die Verbindung aber ablehnt, da sie keinen PreShared Key kennt...

    Ich werde mal in einem Fritz!Box Forum suchen, ob das ein bekanntest Problem mit der Beta firmware ist.

    Was ich bei der UDM allerdings noch suche, sind die Wireguard Logfiles (bzw. wie das Loglevel dafür einstellen kann). Darin müsste dann ja stehen, dass die Verbindung wegen des PreShared Keys abgelehnt wird (sollte meine Vermutung stimmen). Wo finde ich die Logfiles denn?

    Logfiles im Userinterface? Der war gut :smiling_face: Sorry aber das kennt UniFi nicht oder nur rudimentär.

    Zitat von thghh

    Logfiles im Userinterface? Der war gut :smiling_face: Sorry aber das kennt UniFi nicht oder nur rudimentär.

    Übers Terminal würd mir ja schon reichen. Unter /var/log oder mit journalctl finde ich aber nichts zu Wireguard. :frowning_face: Daher meine Vermutung, dass Logging für Wireguard erst irgendwo eingeschaltet werden muss. Im Netz finde ich dazu allerdings nur, dass ein Parameter ans Kernelmodul übergeben werden muss. Da bekomme ich aber auf der UDM SE die Fehlermeldung, dass es das Verzeichnis (dynamic_debug) nicht gibt.


    Code
    echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

    Daher meine Frage, wie ich bei der UDM SE an mehr Infos kommen kann.

    Als ich die VPN-Verbindung zwischen mir und meinem AVM-Spezi konfiguriert habe, da hatte er noch eine Einstellung in der Config manuell vorgenommen, welche nicht via GUI vorzunehmen ging - meine ich mich erinnern zu können. Die Verbindung war aufgebaut, aber ich konnte nicht auf sein NAS zugreifen, er aber via FRITZ!Box auf meines.

    Mist ey, Hirn wie Sieb. :frowning_face:

    Ich versuche es noch einmal mit ihm...

    …. Selbiges Problem konnte ich auch noch nicht lösen. Bei mir ist es die UDM zu meinem Wohnmobil (AVM 6850 5G). AVM zur UDM in die Netze kein Problem, umgekehrt will es einfach nicht.

    Gruß, Carsten


    ---------------

    Ja an der Stelle hängt es bei mir auch noch. Ich habe zwar manuell die Config auf der UDM mal angepasst (so das Wireguard auch von der Remote Seite weiß), aber geändert hat das nichts...


    Evtl muss man danach noch wireguard "reloaden" oder so, aber selbst dan wäre die config ja nicht "stabil" und würde wohl bei redem reboot manuell geändert werden da es vom GUI nicht supported wird.

    Das wird sicherlich noch dauern bis man Site2Site herstellerübergreifend hin bekommt - erst recht über GUI. Ich habe das noch nicht versucht. Site2Site Edge Router <-> UDM-Pro läuft hier gut ... aber eben nix mit GUI und angepasse der Configs.


    Offenbar bastelt AVM ja auch noch rum. sonst würde wohl der PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA= anders aussehen.

    Hallo! Ich glaube auf heise.de gelesen zuhaben, dass dein "VPN-Netzwerk" das Problem ist. Du müsstest Dir also auf der UDM eine Adresse aus dem lokalen Netz der Fritzbox geben. Die FW der Fritzbox blockt sonst die Zugriffe. Ich habe das gleiche Problem und habe aber diesen Ansatz noch nicht umgesetzt, weil der Zugriff aus dieser Richtung für mich erstmal nicht zwingend ist.

    Moin,

    Zitat von schraubl

    Hallo! Ich glaube auf heise.de gelesen zuhaben, dass dein "VPN-Netzwerk" das Problem ist. Du müsstest Dir also auf der UDM eine Adresse aus dem lokalen Netz der Fritzbox geben. Die FW der Fritzbox blockt sonst die Zugriffe. Ich habe das gleiche Problem und habe aber diesen Ansatz noch nicht umgesetzt, weil der Zugriff aus dieser Richtung für mich erstmal nicht zwingend ist.


    Na…. Das kann aber nicht funktionieren. Das wären 2 gleiche Netze und das Routing der UDM würde nicht funktionieren, da er die IP‘s im eigenen Netz versucht aufzulösen.

    Gruß, Carsten


    ---------------

    Gefällt mir 1
    Zitat von Loomis

    Moin,


    Na…. Das kann aber nicht funktionieren. Das wären 2 gleiche Netze und das Routing der UDM würde nicht funktionieren, da er die IP‘s im eigenen Netz versucht aufzulösen.

    Ich kann dein Aussage nicht ganz nachvollziehen. Aber machen wir das mal konkret. Auf der UDM bekommt das wg-interface z.B. die 192.168.2.201 und auf der Fritz!Box wird es schon automatisch die 192.168.2.1 - die IP der Fritzbox - auf dem wg-interface sein. Somit sehe ich beim Routing keine Problem. Aber wie gesagt, ich habe das selber so noch nicht umgesetzt. Und ich nutze einen EdgeRouter.