AVM Fritzbox VPN Wireguard und Zugriff QNAP

    Da doch einige Probleme mit der Fritzbox haben sich mit dem Handy oder Computer per VPN zu verbinden.


    Nun ist es sehr einfach mit einer Fritzbox von der Ferne auf sein QNAP zu zu greifen. In der neuen Laborfirmware 7.39 kann man seine VPN Verbindung mit Wireguard in 1 min erstellen und verbinden.


    In der Fritzbox muss nur eine neue VPN Verbindung mit Wireguard ausgewählt und ein Name muss vergeben werden. Danach bekommt man einen QR Code auf dem Bildschirm, diesen mit dem Handy und der orig. Wireguard APP scannen und schon ist alles eingerichtet


    Verbindung steht in Sekunden und ist mit IPv4 und IPv6 ohne Probleme möglich habe es getestet :)

  • unos

    Hat den Titel des Themas von „AVM Fritzbox Wireguard und Zugriff QNAP“ zu „AVM Fritzbox VPN Wireguard und Zugriff QNAP“ geändert.

    Wichtiger wäre, dass das auf den Cable-Boxen implementiert wird. Die haben wesentlich größere Baustellen mit DS-Lite, non IPv4 etc.


    Wir sind vor einer Woche umgezogen und habe seitdem einen Kabelanschluss mit einer FB 6660. WireGuard (Raspi) läuft immer noch nicht.


    Werde gleich mal folgendes versuchen: Portweiterleitung auf der 6660 auf meine alte "7590", dort FritzOS 7.39 installieren und das Beste hoffen.

    Ist mir schon klar. Nur darf ich mich wohl dazu äußern, dass die Priorität bei den Cable-Boxen hätte liegen sollen, oder? Gründe habe ich genannt und alleine werde ich mich meiner Meinung auch nicht sein ;)

    Zitat von H3llF15H

    Wir sind vor einer Woche umgezogen und habe seitdem einen Kabelanschluss mit einer FB 6660. WireGuard (Raspi) läuft immer noch nicht.

    Haste mal pivpn probiert?

    Soll angeblich echt einfach sein.

    Zitat von H3llF15H

    Wichtiger wäre, dass das auf den Cable-Boxen implementiert wird. Die haben wesentlich größere Baustellen mit DS-Lite, non IPv4 etc.

    Das sollte aber kein Problem mehr sein DS-Lite bzw. non IPv4. Ich kenne kaum noch einen Internet-Anschluss der kein IPv6 hätte.

    Dann muss die VPN-Verbindung eben einfach per IPv6 öffnen und nicht per IPv6.


    Die FritzBox öffnet für das FritzVPN sowohl für IPv4 als auch für IPv6 den UDP Port 500 (ISAKMP).

    Der Tunnel transportiert dann allerdings nur IPv4, aber das wäre dann ja Client zu LAN oder LAN zu LAN.

    Zitat von UdoA

    Haste mal pivpn probiert?

    Jap, habe ich. Ein Layer-8-Problem will ich an dieser Stelle auch nicht ausschließen, denn so richtig habe ich das Thema IPv6 noch nicht kapiert. Angefangen dabei, dass ich nicht weiß, ob ich IPv6 lokal komplett deaktivieren kann.



    Zitat von Barungar

    Ich kenne kaum noch einen Internet-Anschluss der kein IPv6 hätte.

    Ich auch nicht, nur haben diese wiederum eine IPv4 die verwendet werden kann ;)

    Zitat von H3llF15H

    dass ich nicht weiß, ob ich IPv6 lokal komplett deaktivieren kann.

    Nein, dein Pi braucht zwangsläufig eine globale (keine fe80) IPv6 Adresse damit der VPN Server (bzw der Pi allgemein) überhaupt mittels v6 aus dem Internet erreicht werden kann. Da es kein NAT mehr gibt muss dann auch die v6 des Pi verwendet werden um sich mit ihm zu verbinden, den Umweg über einen Router bzw dessen IP gibt es nicht mehr. In der FW muss dann nur der Port freigegeben werden, das kann die Fritte afaik ganz vorbildlich da sie bei der Freigabe ein eventuell wechselnden v6 Prefix berücksichtigt.

    Zitat von H3llF15H

    Angefangen dabei, dass ich nicht weiß, ob ich IPv6 lokal komplett deaktivieren kann.

    Und warum sollte man IPv6 abschalten? Ich bin eher auf dem Weg in meinem LAN IPv4 abzuschalten und alles nur noch per IPv6 zu regeln.



    Zitat von H3llF15H

    Ich auch nicht, nur haben diese wiederum eine IPv4 die verwendet werden kann

    Du hast doch geschrieben, dass die Cabel-Boxen unter DS-Lite "leiden", das wäre eben nicht der Fall, wenn sie die VPN-Verbindung per IPv6 aufbauen, dann braucht man auch nicht die Fake-IPv4 von DS-Lite.

    Zitat von Barungar

    Und warum sollte man IPv6 abschalten?

    Wo habe ich geschrieben, dass es abgeschaltet werden soll? Ich stelle mir die Frage ob es notwendig ist um WireGuard ans laufen zu bekommen und wenn nicht brauche ich IPv6 erstmal nicht. Darum. ;)

    Du solltest zu Ende lesen was ich geschrieben habe...

    Zitat von H3llF15H

    Wichtiger wäre, dass das auf den Cable-Boxen implementiert wird. Die haben wesentlich größere Baustellen mit DS-Lite, non IPv4 etc.

    Wenn es an der fehlenden IP4-Adresse scheitert:

    Du kannst bei Vodafone anrufen und fragen, ob sie dir nicht eine eigene IP4-Adresse (eine dynamische, keine feste) geben können. Oftmals machen sie das ohne Aufpreis. Es ist nicht so, dass sie gar keine IP4-Adressen hätten, aber nicht genug für alle, und die meisten Kunden brauchen so etwas ohnehin nicht.

    Zitat von Anthracite

    Du kannst bei Vodafone anrufen und fragen, ob sie dir nicht eine eigene IP4-Adresse (eine dynamische, keine feste) geben können.

    Den Gedanken hatte ich auch schon und wenn alle Stricke reißen werde ich das auch machen.


    Mein Plan ist es vorerst die Umstände zu nutzen, um mich in die Thematik IPv6 einzuarbeiten. :)

    Zitat von H3llF15H

    Mein Plan ist es vorerst die Umstände zu nutzen, um mich in die Thematik IPv6 einzuarbeiten.

    Da führt früher oder später auch kein Weg dran vorbei, ich sehe auch keinen Grund dafür alles zu tun um v6 zu umgehen, ganz im Gegenteil:

    Freut euch doch dass wir NAT damit los sind :)

    Einziger Wermutstropfen: Egal wo man hinschaut scheint v6 längst nicht so implementiert zu sein wie es sein Alter vermuten lässt, daher ist insbesondere bei dynamischen Prefixen (bei dem Gedanken daran werde ich glatt wieder zum Rumpelstielzchen :cursing:) den uns die Provider von jedem Sinn befreit weiterhin überhäufen einiges schwer bis unmöglich zu konfigurieren.

    Zitat von Anthracite

    Du kannst bei Vodafone anrufen und fragen, ob sie dir nicht eine eigene IP4-Adresse (eine dynamische, keine feste) geben können.


    Zitat von H3llF15H

    Den Gedanken hatte ich auch schon und wenn alle Stricke reißen werde ich das auch machen.

    Nachtrag: eine IPv4 habe ich vorsichtshalber schon mal angefragt und bereits erhalten :D Der Mitarbeiter der Telefonhotline von Vodafone erwähnte aber mehrfach, dass es eine statische IPv4 sein wird - zu meiner persönlichen Verwunderung. Wie dem auch sei :D

    Zitat von tiermutter

    Einziger Wermutstropfen: Egal wo man hinschaut scheint v6 längst nicht so implementiert zu sein wie es sein Alter vermuten lässt, daher ist insbesondere bei dynamischen Prefixen (bei dem Gedanken daran werde ich glatt wieder zum Rumpelstielzchen :cursing: ) den uns die Provider von jedem Sinn befreit weiterhin überhäufen einiges schwer bis unmöglich zu konfigurieren.


    Wo siehst Du das Problem bei den dynamischen Prefixen der Provider? Wenn Du Dein Netz von außen erreichen willst, dafür gibt es weiterhin dynamisches DNS. Das globale Prefix wirst Du im LAN nie wirklich brauchen. Das brauchst Du nur, wenn Du mit der Außenwelt kommunizierst.


    Im LAN nuzt Du einfach die ULA (Unique Local Address). Die GA (Global Address) verwende ich im LAN nie.

    Es fängt schon damit an, dass ich im LAN nur das globale Prefix von einem WAN Interface nutzen kann. Fällt das WAN aus und es wird auf das LTE Failover umgeschaltet haben die Geräte im LAN keine globale IPv6 mehr und können nur noch über v4 nach außen, und genau darum gehts: meine Geräte sollen alle mittels v6 nach draußen und v4 soweit möglich gar nicht mehr nutzen. Klar kann ich im Failover Betrieb momentan auf v6 Konnektivität verzichten, der Sinn und Zweck von v6 ist das aber nicht...