Fritz Forum: Site-2-Site mit Wireguard, NAT Problem?

Du hast in deinem Browser kein Javascript aktiviert.
Um diese Seite korrekt anzuzeigen ist Javascript jedoch zwingend nötig.
Bitte aktiviere Javascript in den Einstellungen deines Browser beziehungsweiße besorge dir einen Browser, der diesen unterstützt.
Mozilla Firefox | Safari | Opera | Google Chrome | Internet Explorer höher Version 6

Thread anzeigen

Fritzbox Info » FRITZ!Box » FRITZ!Box allgemein

Posten Sie hier, wenn Sie den richtigen Forenbereich nicht finden können oder eine allgemeine Frage stellen möchten.

Site-2-Site mit Wireguard, NAT Problem?
worli1789	#1 Veröffentlicht am 19-01-2023 09:59
Aktivität » DE Beiträge: 3 Trat bei: 19.01.23	Hallo, ich versuche eine Fritzbox an mein wireguard Netz anzubinden und die Verbindung der beiden LAN Netze untereinander zu ermöglichen. Site A: 192.168.5.0/24 WG IP: 10.6.6.5 Site B (Fritzbox): 192.168.178.0/24 WG IP: 10.6.6.11 Wireguard Netz: 10.6.6.0/24 Ich kann jetzt von Clients aus Site A auf die fritzbox auf 10.6.6.11 zugreifen. Das ist schonmal ein Teilerfolg. Wenn ich aber von SiteA (ClientA) auf SiteB (ClientB) zugreifen will, dann kommt das Rückpaket der Verbindung von der WG IP 10.6.6.11 Da was zurückkommt, sollte das vom Routing innerhalb des Wireguard Netzes passen. TCP Verbindungs Aufbau: ClientA -> ClientB (SYN) 10.6.6.11 -> ClientA (SYN,ACK) Wieso macht hier die Fritzbox ein NAT (Masquerading)? Kommt man da irgendwie an die Firewall regeln?


kevin_schley	#2 Veröffentlicht am 04-02-2023 23:42
Aktivität » DE » Fritzbox » 7530 Beiträge: 2 Trat bei: 04.02.23	Hi Worli, habe ebenfalls das Problem... Habe hierzu bei AVM bereits vor ein paar Tagen ein Support Ticket geöffnet (aber noch keine Rückmeldung bekommen) Hab auf Twitter ein paar Infos zu dem Problem geschrieben: https://twitter.com/kevin_schley/status/1618014380012245001 Wenn ich eine Antwort vom Support bekomme, würde ich mich hier nochmal melden. Grüße Kevin


worli1789	#3 Veröffentlicht am 05-02-2023 21:09
Aktivität » DE Beiträge: 3 Trat bei: 19.01.23	Ich bin da seit Wochen mit denen in Kontakt. Bei mir steht unter Adresses in der Konfig nur eine IP drin und die Client Netze route ich innerhalb des wireguard netzes zwischen den Endpunkten. Ist laut AVM eine Client2Site Verbindung und ein richtiges Verhalten... Wenns Routing funktioniert, nur die unnötigerweise ein Nat machen. :-( Das das Setup bei allen anderen Wireguard Endpunkten geht interessiert die bisher nicht. Bin kurz davor mir einen kleinen Mikrotik Router als wg Endpunkt zu kaufen und dann denn wireguard Traffik darüber zu routen. Die Fritzbox bekomm ich da wegen IP Telefonie nicht einfach so weg. Halt mich am laufenden.


kevin_schley	#4 Veröffentlicht am 07-02-2023 21:34
Aktivität » DE » Fritzbox » 7530 Beiträge: 2 Trat bei: 04.02.23	Hallo worli1789, ich hab heute eine Antwort vom AVM Support bekommen. Mir scheint als wenn AVM hier WireGuard einfach nicht richtig in die FritzBox implementiert haben ... Die Beispiel Config aus der Mail macht für mich einfach keinen Sinn, hab mal 2x Bilder hier angehängt, wie ich die Implementierung bei AVM von WireGuard verstehe: # Box1 LAN 192.168.188.1/24 WG 192.168.188.1/24 allowdIPs: 192.168.177.0/24 #Box2 LAN 192.168.177.1/24 WG 192.168.177.1/24 allowdIPs: 192.168.188.0/24 Hier mal ein Auszug von der Support Mail: So wie ich Sie verstanden habe, möchten gerne eine Siite2Site-Verbindung bzw. eine LAN-LAN-Kopplung zwischen Ihrer FRITZ!Box 7590 und einer OPNSense-Firewall einrichten. Dies scheint auch einseitig ausgehend von der FRITZ!Box her ins OPNSense zu funktionieren. Allerdings werden bei Anfragen vom OPNSense-Subnetz ins FRITZ!Box Netz diese von der IP-Adresse 10.77.77.100 beantwortet. Dies liegt hier daran, dass die FRITZ!Box laut Support-Daten und Wireguard-Konfig nicht für eine Site2Stie-Verbindung eingerichtet ist, sondern als VPN-Client zur OPNSense, welche als VPN-Server fungiert. Dies lässt sich anhand der Support-Daten erkennen, da die FRITZ!Box in der WireGuard-Konfig eine virtuelle IP aus dem Subnetz der OPNsense erhalten hat : local_virtualip = 10.77.77.100; Dies ist beispielsweise bei einer LAN-LAN-Kopplung zwischen zwei FRITZ!Boxen nicht der Fall. Hier hat keine FRITZ!Box eine virtuelle IP aus dem Subnetz der entfernten Gegenstelle erhalten. Die CFG-Dateien der beiden FRITZ!Boxen würden beispielsweise wie folgt aussehen: FRITZ!Box A: [Interface] Address = 192.168.188.1/24 DNS = 192.168.177.1 DNS = fritz.box [Peer] PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxx PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AllowedIPs = 192.168.177.0/24 Endpoint = abcdefg.myfritz.net:51528 PersistentKeepalive = 25 FRITZ!Box B: [Interface] PrivateKey =xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ListenPort = 51528 Address = 192.168.177.1/24 DNS = 192.168.177.1,192.168.188.1 DNS = fritz.box [Peer] PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AllowedIPs = 192.168.188.0/24 Endpoint = 123456.myfritz.net:51706 PersistentKeepalive = 25 Um eine LAN-LAN-Kopplung zwischen einer FRITZ!Box und einer Fremdgegenstelle zu erstellen, muss laut unserer Anleitung die entsprechende WireGuard-CFG in der Gegenstelle, also bei Ihnen in der OPNSense erstellt werden und in der FRITZ!Box eingespielt werden: WireGuard-VPN zwischen FRITZ!Box und anderem Router einrichten Das heißt es muss bei der OPNSense eine Möglichkeit geben eine korrekte LAN-LAN-Kopplungs-CFG zu erstellen und nicht eine, die die FRITZ!Box als VPN-Client einrichtet, wie es bei Ihnen der Fall ist. Aktuell ist das von Ihnen beschriebene Verhalten erwartbar, weil die FRITZ!Box wie oben genannt als VPN-Client zur OPNSense eingerichtet ist. kevin_schley hat folgendes angehängt, Bilder:


worli1789	#5 Veröffentlicht am 07-02-2023 22:05
Aktivität » DE Beiträge: 3 Trat bei: 19.01.23	Also die gleiche Antwort wie bei mir auch. Aus meiner Sicht ist das falsch implementiert, den Traffik im Tunnel an der Quelle zu Natten macht keinen Sinn.


Diese Website verwendet Affiliate-Links von Awin und Google-Anzeigen, um diese Website für alle kostenlos zu halten.

Zum Forum springen

Verwende BBcode oder HTML um nach; 'Site-2-Site mit Wireguard, NAT Problem?', zu verweisen!

BBcode:
HTML:

Verwandte Themen

Betreff	Fritz Forum		Letzter Beitrag
Diagnose der Wireguard-Kopplung	FRITZ!Box allgemein	: 2	23.03.24
FritzBox / LAN / WLAN Problem	FRITZ!Box allgemein	: 3	10.03.24
Trotz WireGuard Joyn erkennt das ich im Ausland bin	FRITZ!Box allgemein	: 4	10.02.24
FritzBox Wireguard LAN-LAN-Kopplung	FRITZ!Box allgemein	: 2	10.02.24
Seltsames Problem mit Live TV	FRITZ!Box 7590 DSL	: 5	20.11.23

Werbung

Hilfe FRITZ!Box

Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.

Hilfe FRITZ!Repeater

Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.

Hilfe FRITZ!Powerline

Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.