Setze ich nun über einen PC hinter Fritz!Box 1 einen Ping auf 192.168.168.1 oder 10.0.7.3 ab, erhalte ich keine Antwort. Ein ‘tracert’ zeigt, dass die Daten lediglich bei der Fritz!Box 1 ankommen - danach nur Timeouts. Der Ping auf den Cloud Router (10.7.0.1) ist erfolgreich.
Importiere ich die Wireguard Config. von Fritz!Box 1 in den Wireguard Client auf meinem PC und baue die Verbindung auf, erreiche ich Fritz!Box 2 und alle Wireguard-Adressen problemlos.
Habt ihr eine Idee, woran es hier klemmt? Benötigen die Fritz!Boxen, neben dem Wireguard-Tunnel, noch weitere Configs.?
Ich bin super auf euer Feedback gespannt und freue mich auf eure Unterstützung.
Du darfst bei der Fritzbox das Tunnel-Transfernetz nicht in die AllowedIPs schreiben, dann macht die Fritzbox ein Source-NAT, und zwar gnadenlos auf alle Pakete (auch auf solche, wo sie es nicht tun sollte!)
Nur um sicherzugehen, dass ich dich korrekt verstehe: Das heißt im Umkehrschluss, dass die Allowed IPs jeweils nur “192.168.178.0/24” und “192.168.168.0/24” enthalten dürfen?
Moin, das klappt leider auch nicht. Sobald das Transfernetz nicht mehr Teil der Allowed IPs ist, kennt die empfangende Fritz!Box den “Rückweg” nicht mehr, da die Pakete als Source “10.7.0.[2/3]” haben.
Update: Ich habe jetzt hinter Fritz!Box 2 eine OPNsense gestellt, dort den Tunnel zum Cloud Router eingerichtet und siehe da: Es funktioniert auf Anhieb.
Konkret nicht. Es ist aber allgemein bekannt, dass die Fritten bei Wireguard etwas (sagen wir mal vorsichtig formuliert) speziell sind. Offenbar willst du aber doch nur die Netze zweier Fritten miteinander verbinden.
Warum du dafür den Umweg über den Cloud Router gehst (oder evtl. denkst gehen zu müssen) wird, aus dem was du uns hier mitteilst, nicht klar. Zwei Fritten-Netze (Net2Net) miteinander per Wiregurad direkt zu verbinden ist kein Hexenwerk und im Netz gibt es dazu zahlreichen Tutorials, auch direkt von AVM. Das klappt selbst dann sehr einfach, wenn beide Fritten an Anschlüssen mit DS-Lite oder CGNAT sind.
Update: klar klappt das mit einer sense. Die sensen sind ja bezüglich Wireguard nicht so speziell wie die Fritten
Ein S2S-VPN zwischen zwei Fritz!Boxen ist, in der Regel, mit wenigen Klicks eingerichtet - da gebe ich dir zu 100% Recht.
Ich werde (leider) von meinem Provider zum Umweg über den Cloud Router genötigt, da ich an beiden Standorten von DS-lite geplagt bin - an Standort 1 spannenderweise ohne öffentlich erreichbare IPv6-Adresse.
Heißt im Umkehrschluss:
Fritz!Box 1 hat weder eine öffentlich erreichbare IPv4- noch IPv6-Adresse
Fritz!Box 2 hat eine öffentlich erreichbare IPv6-Adresse jedoch nicht IPv4
eine WireGuard-Verbindung kann weder von Seite 1 noch Seite 2 erfolgreich aufgebaut werden
…da IPv4 nicht möglich ist
…da ohne anliegende IPv6-Adresse an Seite 1 auch kein IPv6-Ziel im Internet (Seite 2) erreicht werden kann
Der Cloud Router hat eine öffentlich erreichbare IPv4-Adresse, mit der ich beide Seiten verbinden kann. Thats it.
Mit dem OPNsense-Setup sehe ich jetzt auch, dass die Fritz!Box auf Seite 2 die Pakete tatsächlich ohne NAT raus schiebt, d.h. sie kommen an der OPNsense aus dem Netz 192.168.178.0/24 an - mein WireGuard Client wiederum macht hier NAT-Magie, d.h. die OPNsense empfängt Pakete auf dem Transfernetz.
Sei’s drum - wieder etwas gelernt. Dank für euer Feedback und allen einen erholsamen Sonntag!
Also andere Kunden von Deutsche Glasfaser hier im v64-Forum oder auch im pfsense-Forum (in dem ich auch aktiv bin) haben aber immer eine öffentlich erreichbare IPv6-Adresse und in der Regel auch einen /56-er Präfix.
Mein erster Gedanke ist daher nun, dass die naheliegendste Erklärung eine Fehlkonfiguration deiner Fritz!Box 1 sein könnte.
Richtig. Aber meiner Einschätzung nach stimmt bereits an der Config der Fritz!Box 1 etwas nicht, denn wie ich bereits schrieb vergibt die Deutsche Glasfaser öffentlich erreichbare IPv6-Adressen und auch einen /56-er Präfix.
Meiner Meinung nach sollte man also zunächst mal überprüfen, warum dass bei @tkit anders und wo die Ursache zu verorten ist.
Hast du mal versucht die fritzen als client in.den cloudrouter zu verbinden und dann ein fritz2fritz vpn mit dem “kaputten” fritz-assistent und den internen ip’s fd64::2 bzw fd64::3 anzulegen ?
Nein, tatsächlich nicht @ratemal. Die Fritz!Box(en) sollten sowieso perspektivisch gegen OPNsense-Instanzen ausgetauscht werden - das kam halt auf einer Seite nun etwas früher.
… und um die Kollegen @The_eagle und @m-electronics zu beruhigen: Im Rahmen des Upgrades werde ich sicherstellen, dass die OPNsense korrekt für IPv6 konfiguriert ist.
Du bist doch bei Deutsche Glasfaser. Die setzen doch auf DS-Lite, wenn ich das richtig sehe. Meinem letzten Kenntnisstand (von Frühjahr 2024) nach kann eine OPNsense kein DS-Lite. CGNAT hingegen geht mit der OPNsense.
Also mein Rat ist daher: überprüfe VOR der Umstellung ob du DS-Lite oder CGNAT / Dual Stack bekommst oder hast. Bei DS-Lite wähle die pfsense statt der OPNsense oder mach dich schlau ob die OPNsense inzwischen stabile GIF’s als AFTR-Tunnel kann, die auch die nächtliche Zwangstrennung überleben. Ansonsten darfst du jeden Morgen nach Zwangstrennung den AFTR-Tunnel per Hand neu verbinden.
