kleine frage zu wireguard

  • grüß euch.

    die fritte kann ja jetzt auch wireguard vpn. technisch gesehen haut das ganze auch mal hin bei mir. ist ja sowohl in der fritte, als auch auf den klienten dann, recht simpel zu erledigen.

    irgendwie kommt mir der wireguard aber doch recht anders als andere vpn vor, die ich bisher missbraucht hab.

    problem: ich fahr’ in kürze das erste mal mit wireguard in den heimaturlaub.

    vorher testen kann ich nicht (hab ja nicht mal internet am handy *g*), also frag’ ich mal so in die runde: was brauch’ ich in der fritte alles aktiv?

    ein fritzbox konto brauch’ ich - klar, damit ich eine internetadresse für die box kriege.

    aber muss das auch die direktverbindung an sein? nö, oder?

    internetfreigaben für https und/oder speichermedien brauch’ ich auch nicht an, gelle?

    eigentlich muss ansonsten nur mehr ein wireguard aktiv sein, oder?

    und falls das hilf: andere vpn-verbindungen haben at<->de bisher gefunzt. also an div. provider-problemen dürfte es nicht scheitern.

    aja, falls euch irgendwelche "besonderheiten" für wireguard einfallen sollten ... bin ganz ohr. wird, wie gesagt, meine erste erfahrung mit dem ding werden.

    thx schon mal für hinweise.

  • Eigentlich musst Du das nur in der Fritzbox aktivieren und die Daten am Client scannen oder manuell eingeben.

    Freigaben usw fallen erstmal weg weil Du dich bei aktiver Verbindung direkt im Netzwerk befindest.

    tieferes tuning würde nötig sein um freigaben etc zu eliminieren.

    Wireguard ist sauschnell gegenüber anderen VPN Lösungen :)

  • dank dir, dann bin ich ja ned so falsch *g*

    ich war jetzt hauptsächlich verwirrt wegen der weiteren einstellmöglichkeiten beim fritzbox-konto. hatte da den direkten zugang per https immer aktiv als "hintertür", falls es mir mal den alten vpn zerlegt. und da will ich gern minimalistischer werden.

    da ich ja immer zu faul war, da was eigenes zu basteln, hatte ich bis jetzt den lustigen, alten, vpn der fritte verwendet. ein echter horror ... ich sag’ nur "shrewsoft" (oder wie der auch genau heißt) bei windosen. steinzeit und sehr, sehr schlecht.

    das dumme bei mir - wie immer: wenns früher so schwer war, kann es doch jetzt nicht so extrem einfach sein *g*

  • ein fritzbox konto brauch’ ich - klar, damit ich eine internetadresse für die box kriege.

    Du brauchst eine öffentlich erreichbare IPv4. Wenn du ein CGN (Carrier Grade NAT) hast, dann wirds schwer. Denn dann teilst du dir die IP mit vielen anderen.

    Du solltest es auf jeden Fall mal irgendwie vorher testen. Ungetestet in den Urlaub fahren könnte dann ein böses Erwachen geben.

    Hast du einen Glasfaseranschluss oder ein herkömmliches DSL?

  • Ich hänge mich jetzt hier mal dran, habe da auch eine bestimmt einfache Rückfrage:

    ich habe WireGuard mit dem Container weejewel/wg-easy eingerichtet, Portweiterleitung in der Fritze: war supereinfach und funktioniert. Wenn ich am Handy das WireGuard-VPN verbinde bekomme ich per "wie ist meine IP" die WAN-IP der Fritze angezeigt.

    Das Handy bekommt hierbei die interne IP 10.8.0.2 zugewiesen.

    Mein Problem: wie kann ich jetzt auf die Rechner/Dienste die im Netzwerk laufen zugreifen? Das ist ja ein anderes Subnetz und muss irgendwo geroutet werden?

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • Ihr schreibt, Wireguard ist einfach.. Brauche ich dazu deren App auf dem Hand/Tablett ?

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Du brauchst eine öffentlich erreichbare IPv4. Wenn du ein CGN (Carrier Grade NAT) hast, dann wirds schwer. Denn dann teilst du dir die IP mit vielen anderen.

    Du solltest es auf jeden Fall mal irgendwie vorher testen. Ungetestet in den Urlaub fahren könnte dann ein böses Erwachen geben.

    Hast du einen Glasfaseranschluss oder ein herkömmliches DSL?

    die ip wird aber gern mal vom provider geändert. mit dem user bei der fritte kriegst aber dann automatisch eine art dyn-dns (xxxxxxxxx.myfritz.net). das hat bis jetzt immer gefunzt. die frage ist eben eher das "danach".

    testen kann ich nicht - ich hab hier nur 1 mal glasfaser und im handy keine sim-karte *g* und ja, einmal im jahr (oder 2 mal) ändert sich auch meine ip, trotz glasfaser, wenn der provider lustig ist. und bei meinem glück ist das genau in 3 wochen *g*.

    Ihr schreibt, Wireguard ist einfach.. Brauche ich dazu deren App auf dem Hand/Tablett ?

    ich habe es zumindest so gemacht. ab dem zeitpunkt musst du in die app nur mehr ein file reinladen, dass dir die fritte generiert ... fertig

    alternativ kannst den ganzen kram natürlich auch händisch abschreiben.

  • die ip wird aber gern mal vom provider geändert. mit dem user bei der fritte kriegst aber dann automatisch eine art dyn-dns (xxxxxxxxx.myfritz.net). das hat bis jetzt immer gefunzt.

    Alles gut. Das weiß ich :D

    Du musst mir DynDNS nicht erklären. ;)

    die frage ist eben eher das "danach".

    Was willst du denn "danach" machen? Auf was möchtest du zugreifen? Nachdem du mit dem VPN zu dir nach Hause verbunden bist, bist du erstmal nur in dem Netzwerk. Was willst du denn dann in dem Netzwerk erreichen können? Oder geht es dir nur um eine deutsche IP?

  • Ich frage mich nur, wie du sagen kannst, dass es funktioniert, du es aber nicht testen kannst?!?!?

    Wie genau konntest du denn die Funktionalität eines VPN feststellen und das du die Verbindung herstellen konntest?

    Oder hast du einfach nur ein MyFritz-Konto eingerichtet und das hat geklappt? Denn das sagt noch lange nichts darüber aus, ob eine Verbindung zu Stande kommt oder nicht

    DynDNS macht nichts anderes wie eine IP zu nehmen und dieses gegen einen Namen aufzulösen. Und wenn sich die IP ändert, dann macht das DynDNS für dich mit

    Weißt du, was ein CGN ist und was es macht?

  • ums nochmal zu konkretisieren:

    mir gehts hauptsächlich darum, was bei der fritte für wireguard ein sein muss und was aus sein darf. da ist deren hilfe nicht wirklich hilfreich *g*.

    in meinem speziellen fall heißt dies:

    1) des myfritz-konto: muss an sein, will man eine dyndns aktivieren. was muss da aber sonst an sein: brauch’ ich z.b. die "myfritz direktverbindung" dafür an?

    2) portfreigaben sind nicht nötig, hab ich hier gelernt, gut.

    2) fritzbox dienste: was ist mit z.b. internetzugriff per https? wahrscheinlich nicht an, aber da bin ich eben unsicher.

    3) alles, an das ich nicht denke

    was das funktionieren angeht: ich kriege zumindest eine verbindung meiner geräte zum wireguard auf der fritte. das rennt halt allerdings im selben netz und somit kann ich nur sagen: funzt wohl rein technisch gesehen, aber ...

    ich weiß zumindest, was 'ne nat ist - da ich da aber (zumindest bei der fritte) nur das am laufen hab, was die standardmäßig hergibt und selbiges auch mit anderen vpn gefunzt hat, mach’ ich mir da weniger gedanken.

  • Ich hänge mich jetzt hier mal dran, habe da auch eine bestimmt einfache Rückfrage:

    ich habe WireGuard mit dem Container weejewel/wg-easy eingerichtet, Portweiterleitung in der Fritze: war supereinfach und funktioniert. Wenn ich am Handy das WireGuard-VPN verbinde bekomme ich per "wie ist meine IP" die WAN-IP der Fritze angezeigt.

    Das Handy bekommt hierbei die interne IP 10.8.0.2 zugewiesen.

    Mein Problem: wie kann ich jetzt auf die Rechner/Dienste die im Netzwerk laufen zugreifen? Das ist ja ein anderes Subnetz und muss irgendwo geroutet werden?

    Du musst in einem Router eine Statische Route einrichten die den IP Adressbereich des Wireguard VPN mit dem deines restlichen Netzwerkes verbindet. Wie das geht ist abhängig vom eingesetzten Router.

  • ich klinke mich mal rein

    Ich habe sowohl FRITZ!box zu FRITZ!Box laufen wie auch ein Zugriff für einen Benutzer (ich)

    Bei Deiner Fritzbox muss kein Port geöffnet werden.

    Wenn Du in der Fritte einen Benutzer anlegst, kannst Du angeben ob er einen VPN Zugang haben soll.

    Auf dem Client richtest Du einen stinknormalen IP Sec ein.

    Klar ist natürlich, das die WAN Adresse bekannt ist.

    Ich habe das über eine Dyndns Adresse gemacht.

    Aber. Ich habe DSL und IP V4. Ob Du dass hast, weißt Du selbst.

    Sobald Dein Klient verbunden ist, hat er Zugriff auf das Netz per Default

    Ob alles funktioniert kannst Du doch einfach testen.

    Klink Dich bei einem Bekannten ins WLAN und bau dann einen VPN auf.

  • ums nochmal zu konkretisieren:

    Um meine Frage auch nochmal zu konkretisieren...Weißt du, was ein CGN ist, und was es macht?


    und ja, einmal im jahr (oder 2 mal) ändert sich auch meine ip, trotz glasfaser, wenn der provider lustig ist

    eine öffentlich erreichbare IPv4 , die nur für dich gilt, ändert sich öfter als 1-2 Mal im Jahr. Das ist eher so 1-2 Mal im Quartal. Manchmal auch wöchentlich.

    Wenn du ein CGN hast, dann kannst du intern Wireguard einrichten so lange du lustig bist. Die IP, die dir dein DynDNS gibt mag eine öffentliche sein, aber sie ist geNATtet. Das heißt, wenn du die IP von außen ansprichst, ohne das von innen eine Anfrage kommt, dann weiß das NAT deines Providers nicht, wohin es die Anfrage schicken soll. Da hilft dir auch ein DynDNS nicht.

    Bei einem CGN teils du die die öffentliche IP mit vielen anderen Kunden. Gerade bei Glasfaseranschlüssen ist das ein gängiges Verfahren, da IPv4 Adressen rar werden.

    ich weiß zumindest, was 'ne nat ist - da ich da aber (zumindest bei der fritte) nur das am laufen hab, was die standardmäßig hergibt und selbiges auch mit anderen vpn gefunzt hat, mach’ ich mir da weniger gedanken.

    Und genau darüber solltest du dir Gedanken machen. Nur weil du ins Internet kannst heißt das noch lange nicht, dass du dein privates Netzwerk auch über die gleiche IP direkt ansprechen kannst. Bei herkömmlcihen DSL Anschlüssen hat man eine IP für sich bekommen. Die war nur für dich da und für den Zeitraum für den du sie genutzt hast.

    Heutzutage wird das häufig anders gemacht, damit die Provider IPv4 Adressen sparen bzw. werden ihnen nicht so viele zugewiesen. Dann bündeln sie das und stellen vor deinen Router noch einen anderen Router.

    Es könnte also der Fall sein, dass du eine IPv4 in deinem "internen Provider-Netz" hast und dort einen Router (Gateway) ansprichst. Dieser ist aber mit einer ganz anderen IP im Internet. Dieses Gateway wird die meisten Anfragen von "außen", also aus dem Internet (der Mongolei z. B.) verwerfen, wenn es von "innen", also von dir zu Hause, keine initiale Anfrage dazu gab.

    Du solltest das prüfen. Sonst geht dein Vorhaben in die Hose.

  • jetzt weiß ich, was 'ne cgn (gut, wusst' ich schon vorher, nur nicht die immer nötige abkürzung, damit die pro's mit mir reden) is - nö, meine ip-adressen gehören alleine mir, sowohl v4 als auch v6

    wie oft die gewechselt wird, weiß ich auch verdammt genau, glaubs mir. eigentlich sollte das lt. vertrag nur 1 mal jährlich sein, was aber eher selten stimmt.

    wie gesagt: eine verbindung per vpn herzustellen ist und war kein problem bisher, es hat sich nix geändert … also wird das kein problem sein.

    ich brauch(t)e lediglich infos, was in der fritte für wireguard aktiv sein muss, damit ich den ganzen "fritte per https erreichbar" und sonstigen blödsinn abschalten kann.

  • Auf dem Handy klappt es, ist mit VPN verbunden, und bin im wlan kann hier alles aufrufen. Am iPad klappt es nicht. Verbindung ist das eingerichtet, manuell da ich die Datei nicht gespeichert hatte. Einstellungen in der Friite aber abgelesen. Und ich kann VPN in den Einstellungen des iPad nicht deaktivieren, wird sofort wieder aktiviert. Erst wenn ich die alte Fritz VPN aktiviere, kann ich VPN deaktivieren! ???

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Jetzt läuft es auch auf dem iPad , aber warum ist das dauerhaft aktiv?

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Du musst in einem Router eine Statische Route einrichten die den IP Adressbereich des Wireguard VPN mit dem deines restlichen Netzwerkes verbindet. Wie das geht ist abhängig vom eingesetzten Router.

    Sieht in meiner Fritze so aus:

    192.168.178.24 ist die IP vom Rechner auf dem der Wireguard-Container läuft.

    Das funktioniert schonmal nicht.

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • the ratman;

    Hattest Du schon IPsec VPN auf der fritte laufen oder ist das Dein erster VPN Versuch ?

    Fritzbox Konto solltest Du nicht brauchen, wenn Du ein anderes dynamic DNS auf der fritte hast reicht das. Musst bloss die oeffentliche IP Adresse deiner Fritte auf dem wireguard client wissen. Und halt kein CGN an der Fritte haben.

    Wenn hinter der Fritte nur ein einziges Netz haengt, dann sollte das automatisch geroutet werden auf dem Client. Wenn komplizierter, dann:

    Über WireGuard auf mehrere IP-Netzwerke hinter der FRITZ!Box zugreifen | FRITZ!Box 7520
    Mit WireGuard können Sie mit einem Computer, Smartphone oder Tablet eine sichere VPN-Verbindung zu Ihrer FRITZ!Box herstellen und auf alle Netzwerkgeräte und…
    avm.de

    Auf jeden Fall mal mit Client testen. Wenn du kein Internte auf Handy hast und nicht ins Internetcafe willst oder WiFi von Nachbarn hast oder so, dann vielleicht mal ein Internetcafe selbst zusammenhacken. Also z.b. Notebook nehmen, einen VPN Client starten, NordVPN oder so, und dann ueber WiFi die Internetverbindung sharen, und dann von Handy aus per WiFi auf diese Internetverbindung zugreifen - und dann aufm Handy den wireguard client ausprobieren.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!