QVPN Service 3 / Wireguard / FB 6591 - keine Verbindung

Hinweis: Nach dem 31.12.2025 ist eine Registrierung nicht mehr möglich, nutze die verbleibenden Tage!

    TS-133 QTS 5.2.6. 3195

    QVPN Service Version 3.2.10880 Build 20241202

    FB 6591 FRITZ!OS: 8.03

    Habe auf der FB eine Wireguard-Verbindung für ein Einzelgerät eingerichtet, um die TS-133 anzubinden.Die TS-133 läuft hinter einer 7390 in einem entfernten Netzwerk.
    Die 7390 und die 6591 ließen sich über AVM/Fritzboxnetzwerk ohne weiteres verbinden, allerdings war die Verbindung recht langsam. Daher die Änderung.
    QVPN Service ermöglicht die Konfiguration als Client, kann aber nicht direkt die durch den Wireguard Server, die 6591, bereitgestellte .conf Datei einlesen.
    Per AI und anderen Anleitungen habe ich die Angaben der .conf händisch in die Maske des QVPN Services übernommen.
    Ergebnis: keine Verbindung, keine Fehlermeldung.
    Verbindung habe ich dadurch geprüft, daß ich über ssh auf dem TS-133 die unteren IP der FB6591 im entfernten Netzwerk angepingt habe, ohne Ergebnis.

    Bin für Unterstützung verbunden.

    Welche IP ist die Client IP ?

    Da es eine Lan IP ist, vollkommen egal. Muss man jetzt nicht schwärzen.

    Wäre wichtig zu wissen ob der Client eine IP von der Fritzbox bekommt.

    Ggf. noch mal die Konfig Seite vom VPN. Keys und Dynadresse natürlich unkenntlich.

    Die 7390 beherscht vermutlich kein Wireguard. Daher ist die VPN-Verbindung sehr langsam. Such dir ne (gebrauchte) Box mit Fritz OS8.x, dann sollte das schneller werden.

    Oder einen Raspberry Pi nehmen, pivpn draufklatschen und dann mit qvpn verbinden.

    Die AVM Implementierung von wireguard soll recht eigenartig sein.

    Zitat von UdoA

    Die AVM Implementierung von wireguard soll recht eigenartig sein.

    Gibts da etwas mehr Informationen?

    Ich greif nur mit SmartPhone/Tablet von extern mit Wireguard auf mein NAS zu. Das geht eig.einwandfrei, ging auch schnell zum einrichten

    Z.B. kann man die Peer IP des Transfernetzes nicht anpingen, zumindest nicht ohne irgendwelche Klimmzüge.

    Man kann den Port nicht vorgeben, den bestimmt die Fritzbox selbst, man muss dann auf der Gegenseite den Port korrigieren.

    Als DNS steht immer fritz.box drin, auch wenn man den nicht haben will, es steht auch immer die interne IP der Fritzbox in der config Datei, nicht die Peer IP des Transfernetzes.


    Gruss

    Zitat von NightStalk3r

    Welche IP ist die Client IP ?

    Die IP von dem NAS, auf dem das QVPN läuft, ist 192.168.188.69, von der 7390 per DHCP. VPN Konfiguration der 6591 anbei.

    Hinsichtlich alternativer Lösungen wie einer moderneren FritzBox oder einem Raspberry Pi: Die Anbindung mobiler Geräte und an das Wireguard der FB funktioniert einwandfrei. Das das QVPN ohnehin bereitsteht wollte ich diesen zusätzlichen Aufwand vermeiden. Naja.

    NightStalk3r : Du hast den Screenshot für das Forum angepasst?

    Denn m.E. ist in der Config ein Fehler: im Abschnitt [Interface] sind die eigenen IP Adressen, im Abschnitt [Peer] die vom anderen Netzwerk, aber die dürfen doch nicht gleich sein!?


    Gruss

    In "Interface" ist die Adresse der FB, die als Wireguard Server dient. Im Peer die Adresse, die wohl dem Client aus dem 192.168.10.200er Nummernkreis zugeordnete wurde. So wurde die .conf von der FB bereitgestellt.

    Das kann nicht sein, in Deinem Screenshot kann man es sowieso nicht erkennen. Ich meinte den Screenshot von NightStalk3r , da sind beide IPs im selben Netzwerk (192.168.100.0/24), das ist nicht möglich.

    Wenn die Fritzbox das so machen sollte, dann ist das wieder was eigenes von AVM ;) .


    Und bei Dir ist mit Sicherheit auch eine Abweichung im dritten Oktet (192.168.xxx.yyy), ich glaube nicht, das unter [Interface] und [Peer] xxx identisch ist. Das kann bei VPN nicht sein.


    Gruss


    Edit: Doch, bei WG geht das tatsächlich. Ist mir nur nie aufgefallen, weil meine Netzwerke von Jeher unterschiedliche IPs haben. :rolleyes:

    Einmal editiert, zuletzt von FSC830 ()

    Zitat von FSC830

    Du hast den Screenshot für das Forum angepasst?

    Nur die Keys entfernt und Dyndns Adresse kreativ umbenannt.


    Jedenfalls beim Fritzbox Wireguard Server sind die IP Ranges immer im selben Netz (vermute ich).

    Ggf. da ansetzen und den Client ins selbe Netz. Sonst wird (Vermutlich) das Routing nicht gehen.

    Also ich habe die Anleitung von AVM genommen, und mich um nichts weiteres gekümmert (nutze die FB 7590 seit 5 Jahren)

    Geht mit den in #5 genannten Geräten. Auch eine Verbindung (PC/LapTop) von außerhalb Europas zu einem TS-431P2 funktioniert

    Ist das nun sicher, oder hätte ich doch noch was anderes machen müssen? :/


    Nachtrag: DynDNS hab ich über selfhost

    Einmal editiert, zuletzt von Zacharias ()

    Zitat von NightStalk3r

    Vermisse bisschen die 2FA Geschichte bei Wireguard

    Damit kann ich leben, bin ja keine Bank, habe auch sonst keine brisanten Daten auf den NAS. Wenn jemand meine Endgeräte klauen sollte, wird die Verbindung gelöscht, und gut ist. Danke für die Antwort NightStalk3r :)

    Zitat von Zacharias

    Also ich habe die Anleitung von AVM genommen, und mich um nichts weiteres gekümmert

    Soweit ich das überblicke, setzt AVM aber eine WG-Applikation bei den Clients voraus. Die gibt es in dieser Form für QTS nicht. Man muss halt die Daten händisch in die QVPN App übernehmen.

    Ist schon länger her, dass ich das für unseren Sohn "außereuropäisch" und für meine lokalen Geräte hier gemacht habe. Aber soweit ich mich erinnere, gabs da entweder einen QR-Code (SmartPhone), oder eine Datei (LapTop/PC). Ging jeweils ziemlich schnell.

    Die App kann man bei Wireguard runterladen https://www.wireguard.com/install/ für Windows, Android, ... Zugriff erfolgt dann über lokale IP's 192.168.178.xxx

    Muss nichts extra für QTS sein

    Zitat von Zacharias

    gabs da entweder einen QR-Code (SmartPhone), oder eine Datei (LapTop/PC)

    wie gesagt, keine Applikation für QTS.

    gelöst. Danke für die Unterstützung.


    Anbei screenshots mit der Konfiguration. Mit ".conf" spreche ich die Datei an, welche die FB bei der Erstellung einer Wireguard-Verbindung für ein Einzelgerät zum Download anbietet. Wo die Maske nach IPs oder Adresskreisen fragt, habe ich immer nur die IPv4 angegeben, auch wenn in der .conf mehr angeboten wurde. Keine IPv6 und keine 0.0.0.0