WireGuard, Fritzbox 7590 AX und UXG lite

Es gibt 16 Antworten in diesem Thema, welches 2.430 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    nachdem ich das UXG lite als Nachfolger des USG ins Netzwerk integriert habe würde ich gerne Erfahrungen mit WireGuard sammeln. Gibt es zur Einrichtung hinter einer Fritzbox 7590 schon Erfahrungen? Die Fritte bietet so etwas ja an. Und das UXG auch. Ich habe das Handy als Client auf der UXG eingerichtet, aber das funktioniert nur intern im Netz, weil ich wohl auf der FB etwas freigeben muss, bin aber nicht sicher, was die korrekten Einstellungen sind. Gibt es hier schon Erfahrungen? Ich gehe davon aus, dass ich ein doppeltes NAT habe, falls das also Info gebraucht wird.


    Grüße


    Paytheprice

    swag das war aber sehr knapp formuliert xD


    Paytheprice was hast Du denn für einen Internetanschluss? Wenn Du auf der Fritzbox eine öffentliche IPv4 Adresse hast, dann müsstest Du in der Fritzbox eine Portweiterleitung auf die WAN Adresse des UXG einrichten. Der Port der weitergeleitet werden muss siehst Du in der Konfigurationsdatei des Clients in jedem Fall im peer Abschnitt unter Endpoint, die Zahl hinter dem :


    Das Handy sollte dann unterwegs möglichst auch eine IPv4 vom Mobilfunkprovider haben. Da klemmt es manchmal je nach verwendeten APN.

    Zitat von DoPe

    swag das war aber sehr knapp formuliert xD


    Paytheprice was hast Du denn für einen Internetanschluss? Wenn Du auf der Fritzbox eine öffentliche IPv4 Adresse hast, dann müsstest Du in der Fritzbox eine Portweiterleitung auf die WAN Adresse des UXG einrichten. Der Port der weitergeleitet werden muss siehst Du in der Konfigurationsdatei des Clients in jedem Fall im peer Abschnitt unter Endpoint, die Zahl hinter dem :


    Das Handy sollte dann unterwegs möglichst auch eine IPv4 vom Mobilfunkprovider haben. Da klemmt es manchmal je nach verwendeten APN.

    Der Anbieter ist die Deutsche Glasfaser und es gibt IPv4 und IPv6. Die sind sicher nicht statisch. Was mich halt irritiert hat, ist der Assistent für WireGuard auf der Fritzbox:



    Komme ich damit irgendwie weiter?


    Grüße


    Paytheprice

    Nein. Dann legst Du einen weiteren Wireguardserver an, nur in der Fritte. Dann kommst Du aber nicht ins LAN der uxg.


    In der fritte links auf Internet - Freigabe und da ist irgendwo Portweiterleitung. Dort musst Du tätig werden.


    Was zeigt Deine Fritzbox für eine IPv4 an? Die ersten 2 Stellen reichen.

    Zitat von DoPe

    Nein. Dann legst Du einen weiteren Wireguardserver an, nur in der Fritte. Dann kommst Du aber nicht ins LAN der uxg.


    In der fritte links auf Internet - Freigabe und da ist irgendwo Portweiterleitung. Dort musst Du tätig werden.


    Was zeigt Deine Fritzbox für eine IPv4 an? Die ersten 2 Stellen reichen.

    10



    Welche Anwendung wird das denn dann? http, https oder eine andere Anwendung. Port ist vermutlich der, den WIreGuard benötigt?

    Zitat von Paytheprice

    10



    Welche Anwendung wird das denn dann? http, https oder eine andere Anwendung. Port ist vermutlich der, den WIreGuard benötigt?

    Genau dort. Andere Anwendung - Namen eingeben. Protokoll UDP, externer und interner Port ist der den Wireguard nutzt (siehe Konfig Wireguard). Und das ganze für das Gerät UXG oder deren WAN IP. Sollte dann etwa aussehen wie auf dem Screenshot von swag


    Mit beiden Stellen der WAN IP der Fritte meinte ich aber xxx.yyy :smiling_face: Wenn denn die 10 die Antwort auf meine Frage war. Aber 10 oder auch 100 als erste Zahl sieht nicht wirklich gut aus, weil 10 ist definitiv nicht öffentlich und 100.64.0.0 to 100.127.255.255 ist Carrier Grade NAT. Beides ist aus dem Internet nicht erreichbar und Wireguard und alles andere in Sachen Zugriff aus dem Internet ist "gestorben".

    Zitat von DoPe

    Genau dort. Andere Anwendung - Namen eingeben. Protokoll UDP, externer und interner Port ist der den Wireguard nutzt (siehe Konfig Wireguard). Und das ganze für das Gerät UXG oder deren WAN IP. Sollte dann etwa aussehen wie auf dem Screenshot von swag


    Mit beiden Stellen der WAN IP der Fritte meinte ich aber xxx.yyy :smiling_face: Wenn denn die 10 die Antwort auf meine Frage war. Aber 10 oder auch 100 als erste Zahl sieht nicht wirklich gut aus, weil 10 ist definitiv nicht öffentlich und 100.64.0.0 to 100.127.255.255 ist Carrier Grade NAT. Beides ist aus dem Internet nicht erreichbar und Wireguard und alles andere in Sachen Zugriff aus dem Internet ist "gestorben".

    Offen gestanden, ist mir das derzeit unklar. Die Fritte meint 100.108.m wieistmeineip meint was mit 94. Was ist denn nun richtig? Die Fritte hängt ja auch noch hinter dem Abschluss und dem Modem der Deutschen Glasfaser.

    Ja, was ich sehe, ist bei der FB 100.108.xxx als IP angezeigt.


    Ich habe aber auch noch DDNS von Synology. Die zugeteilte IP fängt mit 84.xx.xx.xx. Das ist auch die IP, die wieistmeineip sieht.


    Die Portweiterleitung habe ich aus meiner Sicht in der FB eingerichtet. Da muss aber wohl noch ein Denkfehler bei mir vorliegen. Wenn ich den Cient (Handy) im Heimnetzt habe und WireGuard anschalte, dann sehe ich im Controller unter VPN auch, dass der Client auf aktiv geschaltet wird. Von extern geht es nicht. Also läuft etwas aus der Welt durch die Fritte, oder eben nicht durch diese, falsch. Kann ich die Synology DDNS verwenden, und wenn ja, wo teile ich dem System das mit? Auf dem Client, das fände ich logisch. Ich habe es dort unter Peer-Endpunkt versucht, das hat aber nicht geklappt.


    In der FB ist alles auf Port 51820, mehr kann man da ja letztlich aus meiner Sicht nicht machen.


    Vielleicht hat doch DoPe Recht:


    • Mit beiden Stellen der WAN IP der Fritte meinte ich aber xxx.yyy :smiling_face: Wenn denn die 10 die Antwort auf meine Frage war. Aber 10 oder auch 100 als erste Zahl sieht nicht wirklich gut aus, weil 10 ist definitiv nicht öffentlich und 100.64.0.0 to 100.127.255.255 ist Carrier Grade NAT. Beides ist aus dem Internet nicht erreichbar und Wireguard und alles andere in Sachen Zugriff aus dem Internet ist "gestorben".

    Dyndns ist ja erstmal nur so etwas wie ein Strassenname, ob die Strasse auch wirklich existiert und welcher Weg dahin führt ist davon unabhängig.


    Ist die IP 84.xx.xx.xx auf der Synology auf eine Netzwerkinterface? Falls ja statisch oder dynaisch :smiling_face: ?

    Kannst Du die IP 84.xx.xx.xx in Deinem lokalen Netzwerk erreichen?


    Ist halt die Frage gibt es die IP bei Dir im Netzwerk oder ist es nur ein Name.

    Wenn es sie gibt scheint die Synology an der Fritz vorbei ins Internet zu gehen, z.B. wenn die Fritz im Bridge modus nur die Telefonie macht.

    Es könnte aber auch ein Konfigurationsfehler auf der Synology sein.

    1. Die IP der Synology kann ich im Netz nicht erreichen.

    2. WAN ist aus dem default der FB, also 192.168.178.xx und LAN ist eben default der UXG.


    Nur als Anmerkung: Ich kann sowohl mit Synology Quickconnect auf das Synology aus dem Internet zugreifen, als auch auf den Controller über den Unifi Site Manager. Also erreichbar ist das Ding.

    Das ist ein CGNat Anschluss. Ich denke die 84er IP ist quasi mit etlichen Kunden geteilt.


    Synology quickconnect und unifi cloud sind keine aus dem Internet ankommenden Verbindungen. Hier wird jeweils von der Hardware im LAN eine Verbindung zur "Cloud" des Herstellers aufgebaut. Der Nutzer von ausserhalb tut das gleiche und wird dann in der "Cloud" verbunden.


    Glaube mit IPv4 wirds wohl eher nichts. IPv6 hab ich noch nicht und kann dazu nix sagen.