Wireguard auf der UDM-Pro hinter der Fritzbox 7530

Hallo outpurst

Grundlegende Dinge/Informationen fehlen noch.

• Ist der Port für die Kommunikation (Wireguard) offen?
• Worüber läuft der Wireguard Server? (ggf. Portweiterleitung einrichten)
• Gibt es logs?

LG

Ben

Zitat von outpurst

naja, das hab ich doch geschreiben, das bei der Fritzbox es so eingestellt ist das alles weiter geleitet wird (Exposed-Host).

Heist ja nicht unbeding, dass du WG Server über die UD/M Pro läuft. Mein WG Server läuft über mein Server hinter der UD/M-SE.

Zitat von outpurst

wenn du mir sagst wo ich die Logs finde, kein Thema

Durchsuche mal dein Verzeichnis /var/log auf deiner UDM

Moin, muss dich leider enttäuschen. So wie es derzeit ist, wirst du niemals eine VPN Verbindung aufbauen können, da die doppeltes NAT hast. Selbst mit exposed Host kommst du von extern nicht auf die UDM bzw auf Geräte dahinter.

Tante EDIT sagt: Du bräuchtest nen Modem vor der UDM und die Fritte dahinter. So wäre die UDM dein Entrypoint vom Inet aus gesehen und alles wäre schick. WireGuard würde funktionieren. (Läuft bei mir noch im LXC Container)

Zitat von naninu

Moin, muss dich leider enttäuschen. So wie es derzeit ist, wirst du niemals eine VPN Verbindung aufbauen können, da die doppeltes NAT hast. Selbst mit exposed Host kommst du von extern nicht auf die UDM bzw auf Geräte dahinter.

Tante EDIT sagt: Du bräuchtest nen Modem vor der UDM und die Fritte dahinter. So wäre die UDM dein Entrypoint vom Inet aus gesehen und alles wäre schick. WireGuard würde funktionieren. (Läuft bei mir noch im LXC Container)

… naja, so ganz stimmt das ja nicht bzw. Würde ich das so pauschal nicht sagen. Die „klassische“ VPN-Verbindung funktioniert, sowohl über WiFiMan wie über L2TP.

outpurst: Hast du vielleicht Wireguard auf der FB auch aktiviert? Wenn Versuch das mal zu löschen, sonst sind die Ports blockiert.

und exposed Host bedeutet nicht immer das immer alles durch geht.

In der Fritte mal direkte Portweiterleitung auf die Gateway IP der UDM Pro machen.

Ich habe auch doppeltes NAT und musste das bei L2TP machen.

Leider kann ich in der Firma keine Beta brauchen, daher habe ich zZ leider nur die 2.5 FW.

Weiterhin zu bedenken was taxman geschrieben hat, in der Fritte sollte weder Wireguard noch ein anderes VPN konfiguriert sein, das die Fritte sonst den Verkehr raus filtert.

Auch zu bedenken: ob ggf DS-Lite eine Rolle spielt.

ps.

Auch mal den DynDNS über MyFritz testen, anstatt No-IP

… noch als Info, eine Wirguard-Config auf der Fritte und L2TP auf der UDMP funktionieren und schließen sich nicht aus.

outpurst : hast du zum Test mal probiert Wireguard direkt auf der Fritte zu konfigurieren? Das hilft vielleicht insoweit, das nicht der „Fehler“ vorher liegt.

Kann man sich mit Exposed Host nicht das Genick brechen? Schon traurig, dass AVM noch nicht mal DMZ implementiert! Naja, die FritzBox habe ich bis jetzt immer vermieden. Gesicheiter wäre ein Router zu kaufen, den man in Bridge Mode versetzen kann. Wer VIOP benötigt, einfach vom Provider die SIP Daten aushändigen lassen und sich ein SIP fähiges Telefon anzuschaffen, das spart einiges an Ärger!

outpurst

Die Fritte hinter die UDM zu hängen bringt dir erst einmal nix da diese ja Modem ist und die UDM halt kein DSL Modem hat.

Alternativ ein Vigor Modem und in Bridge betrieben, sollte aber auch mir der Fritte gehen.

Würde auch erst so vorgehen wie taxman geschrieben hat: Wireguard auf der Fritte und schauen ob dies geht, geht es nicht liegt es am DynDNS

… kannst Du dann nicht gleich auf die UDMP gehen? Die Fritte ist doch dann nicht nötig, brauchst dann aber die entsprechenden Daten für die Netzverbindung.

Also nein das muss nicht so sein, es gibt keinen "Router Zwang", musst dich halt nur erkundigen wie es bei deinem Provider gemacht wird.

Die Fritte kannst du danach hinter die UDM setzen und von dort die Telefonie umsetzen, gibt genug Beispiele hier im Forum.

Welchen Provider hast du?

So, da mittlerweile immer mehr Infos ans Tageslicht kommen, bitte mal folgende Daten:

Provider : (wie schon von BlackSpy geschrieben)

Welche Fritz!Box? (Die 5590 kann keinen IP Client Modus. Also hinter der UDM nicht benutzbar…( grad selber erst durch nen anderen Betrag erfahren)

Solltest du DS-Lite haben sieht es doof aus. Bei CG-NAT ( keine reelle öffentliche IP) ebenso. Für WireGuard VPN brauchst zumindest eine IPv4 ob fixiert dynamisch is egal.

Er hat ne 7530

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Kann man sich mit Exposed Host nicht das Genick brechen? Schon traurig, dass AVM noch nicht mal DMZ implementiert! Naja, die FritzBox habe ich bis jetzt immer vermieden. Gesicheiter wäre ein Router zu kaufen, den man in Bridge Mode versetzen kann. ...

Wo genau liegt der Unterschied zwischen DMZ und Exposed Host? Bis jetzt bin ich davon ausgegangen, dass das dasselbe ist, einfach etwas anders beschrieben?

Wireguard auf der UDMpro habe ich gleich wieder geknickt, da kann ich ja nur eine IP statt eine domain angeben? DDNS macht bei mir mein Router vor der UDMpro, die UDMpro ist in der DMZ. Wireguard macht dann ein Raspi hinter der UDMpro...

Zitat von kaetho

Wo genau liegt der Unterschied zwischen DMZ und Exposed Host? Bis jetzt bin ich davon ausgegangen, dass das dasselbe ist, einfach etwas anders beschrieben?

DMZ (Demilitarisierte Zone) und Exposed Host sind zwei Konfigurationen in einem Netzwerk, die dazu verwendet werden können, einen Host im Netzwerk von außen zugänglich zu machen.

DMZ ist eine Netzwerkzone, in der ein oder mehrere Computer oder Netzwerkgeräte abgesondert vom internen Netzwerk platziert werden können. Ein Gerät in der DMZ ist vom Internet aus erreichbar, während das interne Netzwerk geschützt bleibt. Dies wird erreicht, indem spezielle Regeln in der Firewall erstellt werden, die den Datenverkehr von außen auf das DMZ-Gerät beschränken und das interne Netzwerk schützen.

Exposed Host ist ein einzelner Host im internen Netzwerk, der vom Internet aus direkt erreichbar ist. Im Gegensatz zur DMZ werden bei der Konfiguration eines Exposed Hosts alle Anfragen, die an die öffentliche IP-Adresse des Netzwerks gesendet werden, direkt an den zugewiesenen Host weitergeleitet. Dies bedeutet, dass dieser Host vom Internet aus ohne Einschränkungen zugänglich ist.

Unterschied zwischen DMZ und Exposed Host besteht darin, dass bei einer DMZ nur der speziell dafür vorgesehene Host vom Internet aus erreichbar ist und dass dieser Host durch die Firewall und weitere Schutzmechanismen abgesichert ist. Bei einem Exposed Host hingegen wird der gesamte Datenverkehr direkt an den zugewiesenen Host weitergeleitet, ohne dass eine Firewall oder andere Schutzmechanismen den Zugriff beschränken. Daher ist die Verwendung eines Exposed Hosts in der Regel weniger sicher als die Verwendung einer DMZ-Konfiguration.