Du missverstehst da etwas. Der PrivateKey (= Schließzylinder) wird nur in der Fritte benötigt. Also in deren Konfigdatei. Am anderen Ende (also ipv64) würde nur der PublicKey (= passender Schlüssel) reichen. So habe ich jedenfalls Dennis verstanden. Das PrivateKey-Feld bei IPv64 hätte leer bleiben können.
Den PrivateKey hatte ich ja auch mal in .conf-Datei gelöscht bzw. auskommentiert. Die ließ sich dann zwar einspielen, aber es kam keine Verbindung zustande. Du meinst also, den PrivateKey auf Seiten von IPv64 komplett löschen und nochmal versuchen?
So habe ich Dennis in dem anderen Beitrag, den ich hier verlinkt habe, verstanden. Ich persönlich habe das, wegen der dort von mir aufgeführten Bedenken, nicht ausprobiert. Wenn du meine ehrliche Meinung hören willst, werden diese Bedenken hier heute nicht kleiner. Im Gegenteil.
Ich kenne Wireguard Site2Site nur so, dass man mit ZWEI Schlüsselpaaren arbeitet. Selbst bei Site2Site Fitte ↔ pfsense nutze ich ZWEI Schlüsselpaare.
- Die pfsense hat ihren PrivateKey und den PublicKey der Fritte
- Die Fritte hat auch ihren PrivateKey und den PublicKey der pfsense
Das klappt dann aber nicht mehr mit dem von Dennis gewählten Weg dass er per Konfigurationstool das ganze für DummUser narrensicher per graphischem Frontend auf seinem Server vorkonfiguriert und diese DummUser die so erzeugte Datei narrensicher einfach nur noch auf die Fritte hochladen. Der mir bekannte Weg mit den zwei Schlüsselpaaren erfordert stattdesse ein manuelles Editieren der Configs und man muss eben wissen welcher Schlüssel wohin gehört. Darum hat Dennis das ganze wohl so vereinfacht wie es nun ist.
Sobald man dann aber die damit verbundenen Risiken erkennt, kann man das eigentlich so gar nicht nutzen wollen. Und Fritten kennen eben zudem auch noch nur genau EINEN PrivateKey. Das macht das ganze noch gefährlicher.
1 Like
Ich denke, ich werde das Ganze deshalb erstmal weglassen und wie bisher meinen eigenen Weg zur direkten Verbindung der Peers mit der Fritte gehen. Momentan habe ich ja noch Dual-Stack, bis ich halt Glasfaser bekomme, und ich nicht mehr ganz so frei mit der Wahl meiner Wege bin.
@Benares und selbst mit Glasfaser und CGNAT oder DS-Lite gäbe es hier ja eine funktionierende Alternative. Den CDN-Portmapper. Damit kommt man nämlich auch selbst dann sehr gut per IPv4 und WIreguard ins heimische LAN, wenn man von CGNAT oder DS-Lite geplagt wird.
Das ist auch die von mir derzeit favorisierte Option.
Hab meinen „Cloud Router“ erst mal wieder gelöscht, und die Konfiguration in meiner Fritte auch.
Ich weis das dieser Beitrag bereits ein wenig zurück liegt aber ich will hier nochmal einsteigen.
Ich möchte mehre Netze verbinden und das sind leider nicht nur Fritzboxen sondern auch andere Router. Dort funktioniert der Import ohne Probleme und kann mich aus einem anderen GW in meinem CloudRouter hin verbinden.
aktuell ist es so das ich
3 GWs habe
client GW → sollte klar sein jedes gerät ein Peer
S2S FiBu GW
S2S FiLu GW → Opensense → habe ich danke Dennis seines Videos ohne Probleme geschafft
nun weigert sich aber die “arschige” Fritzbox =(
hab schon vieles versucht mit dem Priv Key aus der F!B einen neuen PubKey zu erstellen und dann auf dem Peer ein zutragen irgendwie weigert sie sich..
und ich will auch nicht die ganzen bereits erstellen Peers auf der F!B löschen.
hat es irgendwer doch geschafft ohne das der PrivKey von der F!B bei IPv64 hinterlegt sind ?
Eigentlich sollte das möglich sein einen Public key aus dem Private key zu generieren. Zeigt die FB den nicht sogar an? 
Nun die zeigt ihren Pubkey und PriKey an, wenn ich das richtig gesehen habe aber muss ich aus dem PrivKey der FB einen PubKey erstellen um diesen dann im GW bzw. Peer zu hinterlegen ?
irgendwie bin ich da gerade bissel berufsblind 
Nein, dieser Key der da angezeigt wird, den musst du im Cloudrouter für diesen Peer der FB hinterlegen
das is der peer selber oder muss ich beim GW wo dieser peer drin liegt noch was machen ?
- hab ich entfernt
- was muss nun da hin ?
- was muss da nun hin ?
habe leider kein passenden screen der übersicht von der F!B also wa ich weis ich kann die Einstellungen mir anschauen und sehe alle Peers und interfaces pubkey und privkey meinerachtens
aber was muss nun wo hin .
Bei Pubkey muss der von der FB hin. Und bei PSK entweder auch der der FB oder du musst mit der Config den von IPv64 importieren
ok, ich werde es mal versuchen aber gibt leider einige hier es ein wenig schwer haben eine S2S Verbindung hinzubekommen, wenn bereits eigene Verbindungen in der F!B aktiv sind und dann aufgeben.
Es gibt hier
einen Artikel dazu, den ich leider überhaupt nicht verstehe.
Irgendwie mag wohl die Fritzbox keine Public Keys, die nicht aus ihrem eigenen Private Key erzeugt wurden.
Dennis macht es sich einfach, indem er von einer Fritte ohne existierende Wireguard-Verbindungen ausgeht.
jo, genau das hab ich gesehen das sie das nicht mag, daher versuche ich das irgendwie dennoch hinzubekommen aber ich vermute wenn ich aus ihrem Priv key einen pub key erstelle und ihn bei dem Peer im GW hinterlege müsste es ggf. gehen ?
ich muss das mal testen anderenfalls :-/ geht es halt nicht oder jemand hat eine Lösung wie es doch geht 
Das sollte gehen…
20 Zeichen
Ich meine, ich hätte es damit hinbekommen, dass ich mir den Private Key der Fritte kopiert hatte und mit
wg pubkey < privatekey > publickey
eine neuen Public Key auf meinem PC erzeugt und beide bei ipv64.net eingetragen hatte. Mit der daraus erzeugten .conf-Datei ging es dann. Aber da bin ich mir nicht mehr sicher. Die Lösung hat mir nicht gefallen, da man ja nie seinen Private Key herausrücken sollte.
heißt der Pub key muss im Peer von ipv64 GW als Pub key hinterlegt werden und der priv key entfernt ?
wenn dem so ist :-/ klappte das nicht so wirklich oder ich habe was falsch gemacht
Mittlerweile habe ich es geschafft.
das Bedenken das der Private schlüssel bei ipv64 ist, ist unbedenklich und kann gelöscht werden .
im Peer bei IPv64 einfach die 1 löschen, bei 2 den öffentlichen Schlüssel der Fritzbox eintragen und einmal einen Preshared key generieren.
Die verbindung wird von der Fritzbox aufgebaut, daher braucht die F!B nur den Public Key des GW’s und der GW’s NUR den Public Key der F!B also kann daher dies ohne bedenken benutzt werden.
Es funktioniert bei mir nun so und läuft bisher ohne Probleme, alle vorhandenen Wireguard verbindungen auf der F!B sind weiterhin nutzbar.
Wichtig ist beim Import in die F!B
das bei dem Interface
der Address teil komplett entfernt wird. heißt es steht nur noch der DNS da .