[BETA] VPN Gateway as a Service

Vielleicht hilft das weiter:

Conf Fritzbox (Ausschnitt):

[Interface]
PrivateKey = #####
ListenPort = 54547
Address = 192.168.10.1/24,fdf9:8bdd:12ba::9a9b:cbff:febe:397f/64
DNS = 192.168.10.1,fdf9:8bdd:12ba::9a9b:cbff:febe:397f
DNS = fritz.box

[Peer]
PublicKey = ####
PresharedKey = ####
AllowedIPs = 10.7.0.0/20
Endpoint = srv01.vpn64.de:51305
PersistentKeepalive = 25

CloudRouter:

Bei „Keypair Section“

Private Key: Private Key der Fritzbox
Public Key: Public Key der Fritzbox

Key ausgelesen unter „Wireguard-Einstellungen anzeigen“

Ich hatte nur den abschnitt [Peer] in einer wg.conf an die FritzBox übergeben:

• Verbindung Hinzufügen
• Netzwerke Koppeln
• „Wurde bereits auf gegenstelle erstellt“ → Ja

Wohl bemerkt, dass bei mir bereits Verbindungen bestanden, und somit ein Interface in der FritzBox vorhanden war.

Ich kann es nicht, ohne alle Verbindungen zu löschen, testen wenn noch keine Verbindung vorhanden ist. Am einfachsten ist es erst einmal eine Einzelgerät Konfig anzulegen, damit das Interface steht.

Die Peer IP im CloudRouter nicht ändern und für das Routing nutzen. So wie ich das sehe, bleibt selbt wenn man die IP ändert das Interface auf der urspünlichen IP bsp. 10.7.0.2

Hatte die Peer IP erst auf 192.168.10.1 geändert und im Routing auch als Gateway angegben, blieb aber als inaktiv, mit der 10.7.0.2 hat alles funktioniert.

Die FritzBox ist was das mit der Konfiguration angeht etwas zickig und mag nichts so gerne befohlen bekommen…

Aber die Art der Konfiguration von mir wird auch offiziell von von AVM auf deren Seite beschrieben:

WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten

Der beste Umgang mit der FritzBox ist, man erstellt dort die Config und importiert diese dann auf anderen Geräten…

Hallo,
Ich versuche via WireGuard dann eine OSPF-Verbindung aufzubauen, diese geht kurz in den Status FULL, dann aber wird sie durch ein Timeout abgebrochen und nicht wieder aufgebaut.
Hier der Log vom Mikrotik:

Im IPv64 Portal sieht es dann so aus:

image1238×451 30.3 KB

Hat gibt es irgendeinen Parameter, dass die Verbindung bleibt?
Danke für die Tipps.

Kann ich 1:1 bestätigen - vilene Dank, funktioniert.

Hier noch mal meine Aufzeichnungen zum Nachvollziehen:

• FB

  • Einzelgerät-Config anlegen, damit das Interface steht. Denn der [Interface] Teil muss von der FB selber generiert werden.
    • Internet > Freigaben > VPN (WireGuard) > Verbindung hinzufügen > Einzelgerät verbinden > Weiter > [Name] > Fertigstellen
    • Schließen > Weiter zur Übersicht
    • WireGuard Einstellungen anzeigen – Merken:
      • Öffentlicher Schlüssel (Public Key)
      • PrivateKey
  • Schließen

• CloudRouter

  • Config für FB einrichten
    • Router 1 > Gateway > Peer 1
      • Schlüsselpaar Private und Public Key aus der FB eintragen (s.o.) → Save manual Keypair
  • Config für die FB herunterladen
    • Interface-Teil aus der vom Cloud Router erzeugten Config für die FB löschen
    • Interface-Teil wurde bereits von der FB erstellt, indem eine Einzelgerät-Config erstellt wurde
  • Routing Table im Router:
    • (IP des Netzes der FB) (Gateway IP des Peers zur FB) (Peer)

• FB

  • Config einlesen

Habs nu auch getestet. Klappt. Werde es als Blogbeitrag veröffentlichen.

Ich weiss gerade nicht ob ich blöde bin oder meine FritzBox.
Wenn ich die Keys eingebe bekomme ich immer die Meldung „Keypair is not correct.“
Ich habe mich an die anleitung von @Wedger gehalten.
Was könnte ich falsch machen?

Prüfe bitte, ob du auch wirklich im CloudRouter beim Peer für die FB die Keys getauscht hast und diese Änderung auch angenommen wurde. Das war bei mir auch etwas hakelig. Beide Keys eingeben und dann erst speichern, sonst werden sie nicht überschrieben.

Ich habe in dem Peer beide Keys getauscht und dann erst gespeichert.
Aber ich Versuche es in einer ruhigen Minute nochmal.

Wie @Wedger schon sagte, die Fehlermeldung kommt, wenn Public und Private Key nicht zusammen passen.

@Dennis_Admin Da stellt ich mir die Frage ob man das nicht ändern kann, dass man nur den Public Key angeben muss. Der Private Key ist ja nicht umsonst private…

Hi @treee111, bist du weitergekommen? Mit Hilfe deines Threads und ChatGPT habe ich meine Unifi Gateway fiber auch erreichbar bekommen, auch kann ich aus meinem internen Netz die anderen VPN Clients anpingen. Daher würde ich sagen, dass PBR und Static Route korrekt eingerichtet sind. Mit ChatGPT kam ich noch drauf LAN IN Firewall Regeln zu konfigurieren, aber auch dies hat hat nicht geholfen. Laut traceroute ist bei 10.7.0.2 Schluss. Aber evtl. hast du schon die Lösung?

Hi @pgnonick, leider nein. Gut, dass dir der Thread was gebracht hat - dann hat es sich schon gelohnt
Stehe an genau der gleichen Stelle (Vermutung). Kann auch meine NAS und den Server anpingen (ich glaube das kam über entweder die IMCP Regel oder eien weitere bei Internet IN).
Hier schaffe ich es mit traceroute + ping (MacOS) auch direkt auf den Client!

traceroute auf Client hinter der UDM Pro994×146 50.9 KB

Ping auf Client hinter der UDM Pro890×182 64.7 KB

Hier ist x.10.1 der VPN Gateway, x.10.3 die UDM Pro und x.10.5 die NAS. bin hier im x.10.y Netz, das x.0.y ist mein „Default“ Netz für die Unify Sachen etc. welches ich in meinem Thread als erstes hatte. Das x.10.y ist ähnlich/gleich freigeschaltet wie das x.0.y Netzwerk.

Über den Browser komme ich nicht auf die NAS, auf der NAS ist die Firewall gar nicht an (was ich zwischenzeitlich vermutete sei der Grund für die „Ablehnung“ des Aufrufs…) Im dem „Flow“ in der UDM Pro in welchem Firewall Blockierungen sein sollten sehe ich nichts…

Haben wir den gleichen Stand?
Was meinst du mit VPN Clients, die anderen „ersten“ Kontaktpunkte, also Laptop bzw. UDM oder die Geräte im jeweiligen Netzwerk (also wie bei mir oben beschrieben)?

Hi @treee111, tatsächlich bist du weiter. Ich kann keine Geräte in meinem Netzwerk mit einem Ping erreichen, dann fehlt bei mir etwas. Hast du bei deiner PBR Konfiguration immer noch bei Destination IP nur 10.7.0.0 stehen oder 10.7.0.0/24?

Das geht. Die Webseite akzeptiert es auch, wenn man Private key löscht und nur den public rein schreibt.

Leider funktioniert die Anleitung bei mir nicht. Ich habe schon Wiregard-Verbindungen zur MayFritz! App auf meinem Smartphone eingerichtet. Selbst wenn ich deiner Anleitung folge endet es mit der Meldung auf der FB, dass das Netzwerk in einem Konflikt mit den vorhanden Verbindungen steht.
Ich habe leider keine Idee oder Lösung wie das Problem gelöst werden kann.

Ok, das mit dem löschen vom PrivKey habe ich nicht versucht

Wenn auf der FB bereits etwas bei Wireguard eingreichtet ist,musst du in der Config den Teil [Interface] löschen. Die Fehlermeldung kommt daher, dass die FB sein eigenes Interface nicht von einer anderen Config überschreiben lässt.

Ja, das hatte ich alles so gemacht, dennoch sagt die FB „NEIN“.
Angeblich würde es ein IP-Adressen-Konflikt mit einer anderen VPN-Verbindung geben.

Hallo
Die Einrichtung nach der Anleitung hat bei mir so weit funktioniert.
Die S2S Verbindung der Fritz!Box steht.
Ich kann Clients (iPhone, Notebook) ebenfalls mit dem Gateway verbinden und sie kommen in das Netz hinter der FritzBox.

Was aber nciht funktioniert ist das Routing der Clients in das Internet.
Aufrufe von Webseiten ins Internet oder ping an server ins Internet enden im timeout.

Hat jemand eine Idee was fehlt?
Mit dem Setzen von 0.0.0.0/0,::/0 als allowed IPs hätte ich erwartet, dass alle Verbindungen der Clients (iPhone, Notebook) ins Internet oder sonstwohin über das VPN Gateway / Cloud Router laufen.

Nachtrag:
so sieht das routing ins Internet aus. Wenn ich vom einem der Clients die 172.31.1.1 anpinge, gibt es aauch einen timeout.

grafik1861×272 21.7 KB

grafik946×321 8.17 KB

Du hast an dem Punkt wo du die Wg Konfig in die Fritzbox gegeben hast den Haken gesetzt „Alles durch diesen Tunnel weiterleiten“ gesetzt?

Nein, bei der Fritzbox habe ich diesen Haken nicht gesetzt. Die Fritzbox und das netz dahinter geht über ihre normale route ins internet. Das funktioniert auch.
Was ich möchte, dass die anderen clients sich über wg mit dem cloud-router verbinden, wenn sie nicht im heimischen wlan sind. Also zb im hotel aber auch mit mobilfunk.
Dann soll sich das iphone mit dem cloud-router verbinden und seinen gesamten verkehr über den cloud-router abwickeln.
Die pakete für das heimische netzwerk sollen über die fritzbox S2S ins heimische netz geschickt werden. Pakete für das Internet sollen vom cloud-router gleich ins Internet gehen, nicht über die fritzbox.

Genau eben das geht mit der Default config. Im Client muss dann nur als allowed drin stehen 0.0.0.0/0, ::/0.