Wireguard auf der UDM-Pro hinter der Fritzbox 7530

Zitat von kaetho

Es gibt Situationen, da geht es nicht anders als mit einer Routerkaskade . Und VPN bringt man auch mit einer solchen problemlos stabil zum laufen, halt einfach nicht unbedingt mit Wireguard auf der UDMpro.

Ich bin auch einer, der am üben ist damit. Ich hab's mit Wireguard auf der UDMpro noch nicht hingekriegt. Mit Wireguard auf einem Raspi4 im UDMpro-Netz hinter einer Routerkaskade aber schon, das geht problemlos und stabil.

das würde mir ja auch schon helfen - wir komm ich auf einen Pi in meinem Netz?

Zitat von mguenther

... Mene Fritz wäre über einen DynDNS Dienst erreichbar....

Das ist die Grundvoraussetzung, passt also.

Dann richtest du auf der Fritte den Port, an dem die UDMpro mit ihrem WAN-Port verbunden ist, als exposed host ein -> alle Anfragen aus dem internet werden so direkt an die UDMpro weitergeleitet.

Im UDMpro-Netz richtest du nun eine Portweiterleitung auf das Gerät ein, das den Wireguardserver bereitstellt; eigentlich da halt ganz klassisch nach diversen Anleitungen im Netz. Ich habe mich an dieses Video gehalten.

Zitat von kaetho

alle Anfragen aus dem internet werden so direkt an die UDMpro weitergeleitet.

Das trifft aber nur auf die Ports zu, welche die Fritte nicht aus irgendwelchen Gründen für sich selbst beansprucht und welche nicht durch ausgehende Anfragen besetzt sind - und genattet wird auch noch.

Zitat von kaetho

Mit Wireguard auf einem Raspi4

Ich weiß jetzt nicht, was für einen Recourcenbedarf Wireguard hat, aber ordentlich gerechnet muss wohl dennoch werden. Was schafft den so ein PI dann an Bandbreite?

Zitat von kaetho

Das ist die Grundvoraussetzung, passt also.

Dann richtest du auf der Fritte den Port, an dem die UDMpro mit ihrem WAN-Port verbunden ist, als exposed host ein -> alle Anfragen aus dem internet werden so direkt an die UDMpro weitergeleitet.

da fängts schon an... Auf der Fritte richte ich den exposed Host ein und aktiviere den Punkt "dieses Gerät komplett für den Internetzugriff über IPv4 freigeben". Weiter "unten" kann ich dann noch weitere Freigaben eingeben - muss ich da etwas ergänzen?

mguenther

vorneweg: ich habe keine Fritte. Aber die drei Punkte gehen alle um IPv6. Das Einrichten funktioniert grundsätzlich auch ohne das Aktivieren dieser drei Punkte. Meinen Router habe ich aber so konfiguriert, dass IPv6 auch durchgereicht wird. Du kannst dann immer noch auf der UDMpro entscheiden, ob du in deinen Netzen dann IPv6 willst oder nicht.

bic

klar, ein absolut lupenreines "alles weiterleiten" ist es nicht. Was die Fritte selber braucht, wird nicht weitergegeben. Aber was braucht die Fritte, wenn diese "nur" für Internetzugang, DDNS und Telefonie gebraucht wird? Ich stelle da bei meinem Router keine Einschränkung fest.
Man kann auch den anderen Weg gehen: die UDMpro als normales Netzwerkgerät hinter den Router schalten und explizit nur die Ports darauf weiterleiten, die man bewusst möchte. Wird dann halt etwas konfigurationsaufwändiger, dafür kannst du weitere Router kaskadieren und über die Portaufrufe von aussen steuern, in welches Subnetz du willst.

Logisch, genattet wird auch noch. Nur: wo sind heute noch die Einschränkungen, die aus einem Heimnetz das "Naten" zum Problem machen? Hast du Beispiele, wo das noch echte Probleme macht?

Mein DSL-Anschluss gibt 500/100 MBit/s her. Wirklich gemessen, was der Raspi4 mit Wireguard kann, habe ich noch nie. Aber ich hatte noch nie das Gefühl, dass ich ausgebremst werde, wenn Wireguard z.B. auf meinem Handy aktiviert ist, und ich so über mein pihole als Webeblocker im Heimnetz surfe. Von einem PC aus geht der Zugriff auch flott, so dass ich noch nie wirklich das Bedürfnis hatte, das zu messen. Wichtig ist einfach, dass es ein Raspi4 ist und kein älterer, die haben noch keinen GBit-Ethernetanschluss.

mguenther

… ich würde vorschlagen, das mal wie folgt anzugehen. Ist die Fritte schon auf 7.50? Wenn ja, dann würde ich in der Fritte das Wireguard aktivieren und entsprechend einrichten. Wenn das geht, dann sehen weiter.

Ich habe mit Wireguard und der UDMpro auch so meine Probleme gehabt. Funktioniert jetzt aber hinter der Fritte.

Zitat von taxman

mguenther

… ich würde vorschlagen, das mal wie folgt anzugehen. Ist die Fritte schon auf 7.50? Wenn ja, dann würde ich in der Fritte das Wireguard aktivieren und entsprechend einrichten. Wenn das geht, dann sehen weiter.

Ich habe mit Wireguard und der UDMpro auch so meine Probleme gehabt. Funktioniert jetzt aber hinter der Fritte.

also, Fritz hat 7.50. Wireguard auf die Fritzbox funktioniert. Ich bin quasi im 192.168.178.x Netz

… na das ist doch schon mal gut.

UDMpro als Exposed Host… hattest du auch.

Hast Du jetzt in der UDMpro WG bereits eingerichtet, wahrscheinlich ja. Die Clients ebenfalls und die Schlüsseldateien auch bereits im Handy in der WG-App eingerichtet?

Zitat von taxman

… na das ist doch schon mal gut.

UDMpro als Exposed Host… hattest du auch.

Hast Du jetzt in der UDMpro WG bereits eingerichtet, wahrscheinlich ja. Die Clients ebenfalls und die Schlüsseldateien auch bereits im Handy in der WG-App eingerichtet?

Nein, UDMpro ist bis jetzt noch kein WG Server. Das blicke ich noch nicht so ganz. Ich nutze ja einen dyndns und über den erreiche ich ja gar nicht die udm. Muss ich beim Exposed Host noch was ergänzen? Oder gebe ich den dyndns auf der udmpro mit an? Und wie richte ich den wg server ein, dass alles in ein bestimmtes vlan geleitet wird? Hatte es ja bis jetzt nur mit l2tp probiert und kam einfach nicht weiter

mguenther

Guten Morgen, ob das Routen in ein bestimmtes VLAN so in den normalen Einstellungen möglich ist kann ich dir nicht sagen, aber dafür gibt es hier Profis.

Ich kann Dir nur sagen wie ich es in einer ähnlichen Config hinbekommen habe.

Ich würde im ersten Schritt aber erst einmal WG in der UDMpro einrichten.

WG in der UDMpro richtest Du Dir ein, so wie es in den Videos oder auch hier schon erklärt wird. Beim Port müsstest du eben ein high-Port nehmen… z.B. 58xxx. Er wird dann meckern, das das keine öffentliche IP ist, aber das stört uns erst mal nicht. Dann legst Du Dir den User (z.B. dein Handy) an und wenn Du diese kleine WG-Datei bekommen hast, richtest du Dir den Zugang in der WG-App ein.

Was ich dann machen musste, war die WG-Zugang in der App unter „bearbeiten“ anpassen. Unter Endpunkt müsstest du die interne IP deiner UDMpro sehen, gefolgt von einem Doppelpunkt und dem Port (siehe oben). Diese interne IP musst Du ändern, aber nicht den Port. Du musst dort dein DYNDNS-Adresse einfügen. Ich habe es mir einfach gemacht und diese Adresse (ohne Port) aus meinem WG-Zugang auf die FB kopiert, unter Endpunkt, alles was vor dem Doppelpunkt steht. Dann sollte es laufen. Aus diesem Grund auch meine Frage ob du den WG-Zugang auf der FB eingerichtet und am laufen hast.

Durch das doppelte NAT war ich nicht in der Lage eine öffentliche IP auf die UDMpro zu legen, damit funktionierte dann auch die DYNDNS in der UDMpro nicht. Dyndns macht bei mir die FB, sowohl für eine DYNDNS-Anbieter, wie auch für die MyFRITZ!-Adresse. Ja, ich weiß viel Spielerei…

Die Profis werden vielleicht mit den Augen rollen, geht vielleicht auch anderes, war jetzt aber so machbar.

Soweit erstmal… Grüße und gutes Gelingen.

Zitat von taxman

mguenther

Guten Morgen, ob das Routen in ein bestimmtes VLAN so in den normalen Einstellungen möglich ist kann ich dir nicht sagen, aber dafür gibt es hier Profis.

Ich kann Dir nur sagen wie ich es in einer ähnlichen Config hinbekommen habe.

Ich würde im ersten Schritt aber erst einmal WG in der UDMpro einrichten.

WG in der UDMpro richtest Du Dir ein, so wie es in den Videos oder auch hier schon erklärt wird. Beim Port müsstest du eben ein high-Port nehmen… z.B. 58xxx. Er wird dann meckern, das das keine öffentliche IP ist, aber das stört uns erst mal nicht. Dann legst Du Dir den User (z.B. dein Handy) an und wenn Du diese kleine WG-Datei bekommen hast, richtest du Dir den Zugang in der WG-App ein.

Was ich dann machen musste, war die WG-Zugang in der App unter „bearbeiten“ anpassen. Unter Endpunkt müsstest du die interne IP deiner UDMpro sehen, gefolgt von einem Doppelpunkt und dem Port (siehe oben). Diese interne IP musst Du ändern, aber nicht den Port. Du musst dort dein DYNDNS-Adresse einfügen. Ich habe es mir einfach gemacht und diese Adresse (ohne Port) aus meinem WG-Zugang auf die FB kopiert, unter Endpunkt, alles was vor dem Doppelpunkt steht. Dann sollte es laufen. Aus diesem Grund auch meine Frage ob du den WG-Zugang auf der FB eingerichtet und am laufen hast.

Durch das doppelte NAT war ich nicht in der Lage eine öffentliche IP auf die UDMpro zu legen, damit funktionierte dann auch die DYNDNS in der UDMpro nicht. Dyndns macht bei mir die FB, sowohl für eine DYNDNS-Anbieter, wie auch für die MyFRITZ!-Adresse. Ja, ich weiß viel Spielerei…

Die Profis werden vielleicht mit den Augen rollen, geht vielleicht auch anderes, war jetzt aber so machbar.

Soweit erstmal… Grüße und gutes Gelingen.

Alles anzeigen

ich kapiere es nicht so ganz, aber es funktioniert...

vielen Dank...

Danke für eure Beiträge!!

Aus allen Kommentaren ein bisschen was rausgezogen und die Lösung gefunden:

-Zuerst wie schon sooft beschrieben in der FB unter Freigaben die IP der UDM als Exposed Host hinterlegen mit der Portfreigabe für Wireguard (z.B. 51820 UDP)

-Danach in der UDM einen WG Server starten und ein WG File generieren.

-In diesem File per Editor die private IP durch DDns oder öffentliche IP mit Doppelpunkt und Port ersetzen (z.B. 217.84.212.11:51820)

-Dieses File in WG importieren und los gehts

Zitat von SteveStar

Zuerst wie schon sooft beschrieben in der FB unter Freigaben die IP der UDM als Exposed Host hinterlegen mit der Portfreigabe für Wireguard (z.B. 51820 UDP)

-In diesem File per Editor die private IP durch DDns oder öffentliche IP mit Doppelpunkt und Port ersetzen (z.B. 217.84.212.11:51820)

… die Portweiterleitung bei Exposed Host ist nicht notwendig, man muss halt nur darauf achten das WG der FB nicht den selben Port hat wie WG der UDMpro.

… zu mindestens in der WG-App für Apple kann man sich den Editor ersparen und das importierte File direkt in der WG-App bearbeiten.