Fritzbox 7590 VB und VPN(Wireguard) Probleme

stoffel · 4. Juli 2024 um 11:42

Hallo und Grüß an alle,

ich habe mir gestern bei ipv64.net eine DynDns-Domain registriert und meine Fritzbox nach dieser Anleitung eingerichtet.

Hat alles gut funktioniert. Auch die VPN-Verbindung von aussen.
Heute ,nachdem übernacht die Zwangstrennung vorgemommen wurde, hat die VPN-Verbindung vom Handy nicht mehr funktioniert, nicht von aussen oder WLAN. Die VPN-Verbindung vom PC hat funktioniert.

Es scheint etwas mit der aktualisierung der Verbindungsdaten nicht zu stimmen.
Wenn ich das Handy neu boote funktionierts. Am PC boote ich im Normalfall immer nach der Zwangstrennung (3-4h).

Eine weitere Besonderheit ist das ich bei meiner Fritzbox vor Jahren MyFritz aktiviert/registriert habe und die Fritzbox bei erstellen einer neuen VPN-Vervindung immer MyFritz als endpunk wählt. Meine DynDns-Adresse steht nicht zur wahl.
Kann man die MyFritz-Registierung rückgängig machen?

Oder was verursacht das Problem des Verbindungsverlust nach Zwangstrennung beim Handy?

Schon mal vielen Dank im Vorraus

Lonaril · 6. Juli 2024 um 07:05

Moin,

klingt fast so, als würde der DNS-Client auf dein Handy die TTL misachten, die bei ipv64 mit 60 Sekunden doch recht klein ist. Oder der WG-Client fragt nicht neu an, wäre auch eine Möglichkeit.

Hier müsste man sich mit Netzwerktools für Smartphones behelfen, für Android fällt mir nur LanDroid ein (Link: https://play.google.com/store/apps/details?id=net.fidanov.landroid), um die DNS Auflösung zu überprüfen.

stoffel · 6. Juli 2024 um 07:34

Moin Lonaril,

danke für den Link, werde ich mal testen. Es scheint so zu sein das der WG-Cielnt nicht neu anfragt. Wenn ich die VPN-Verbindung trenne und wieder verbinde funktionierts.

Ich melde mich dann.

stoffel · 7. Juli 2024 um 11:26

moin Lonaril,

habe die App gestern installiert und ein DNS-test durchgeführt, Auflösung klappt, allerdings bestand da shon eine VPN-verbindung.

Die Tests gestalte sich schwierig da eine Neu Verbindung der FB über Internet->Online Monitor->Neu Verbinden nicht zu einer neuen IP führt. die IP ist scheinbar für einen Tag gültig.

Heute Morgen erster Verbindungsversuch mit PC. Auf mein PiHole Mitgelesen mit

sudo tcpdump -i eth0 -w output.dump udp port 53

Screenshot:

Hat funktioniert, es wurde zuerst die DynDns Abfrage gestartet.

UPDATE
Habe gestern noch ein paar Einstellung in der FB vorgenommen.
Über Heimnetzwerk->Netzwerk->Netzwerkeinstellungen->IPv6-Einstellungen habe ich Unique Local Addresses (ULA) immer zuweisen angehakt. Und bei DNSv6-Server im Heimnetz die IPv6 vom PiHole eingetragen.

Es scheint (zumindest beim Handy) zu funktionieren. Am PC habe ich immer noch Probleme. Brauche aber im Heim-WLAN kein VPN.

Ich werde weiter Testen und vllt auch mal im PiHole-Forum nach Lösungen suchen.

Vielen Dank für deine Unterstützung.
Have a nice WG

stoffel · 13. Juli 2024 um 12:21

SOO, habe jetzt ein paar Tage getestet, kann ja nur einmal am Tag testen, und auch mit no-ip.

Ergebnis:
no-ip in der FB: funktioniert
no-ip über update-client auf meinem RPI: funktioniert
xx.home64.de in der FB: funktioniert
xx.home64.de über crontab: funktioniert

VPN (Wireguard) FB: funktioniert
pivpn auf meinem RPI: funktioniert

Es liegt also nicht an der FB
Es liegt nicht an VPN

Habe alle Einstellungen zu TTL und Cash-verhalten deaktiviert.
Test mit

dig xx.home64.de @127.0.0.1 -p 5335

; <<>> DiG 9.16.48-Raspbian <<>> xx.home64.de @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43654
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;xx.home64.de.             IN      A

;; ANSWER SECTION:
xx.home64.de.      60      IN      A       92.117.140.166

;; Query time: 30 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Sat Jul 13 12:29:27 CEST 2024
;; MSG SIZE  rcvd: 62

TTL wird korrekt erkannt.

Es bleibt eigentlich nur die Wireguard APP. Ein Blick unter APP->Anwendungsprotokoll steht zB. letzter Handshake vor x Stunden.

So langsam gehen mir die Ideen aus. Habe schon die log-files von pihole, pivpn, unbound und wireguard durchgesehen. Aber auch keinen Hinweis gefunden, bin kein Experte.

Ich zeichne mal (wie ich glaube) den Weg eine Anfrage vom Handy Zuhause auf.
Browser → FB → pihole (als eingetragener DNS port 53) → unbound (rekursiver DNS lauscht an port 5335) → an Wireguard Port 51820 (ist freigegeben) ??

Vllt kann mich jemand aufklären wie der korrekte Weg eine Anfrage ist.
Alles funktioniert bis zu Zwangstrennung.

Die neue IP wird aktuallisiert und ist identisch mit der IP in der FB.

Mein System:

FB: 7590 VB (DSL-Anschluss)
RPI 2b v1.1
OS:

PRETTY_NAME=„Raspbian GNU/Linux 11 (bullseye)“
NAME=„Raspbian GNU/Linux“
VERSION_ID=„11“
VERSION=„11 (bullseye)“
VERSION_CODENAME=bullseye
ID=raspbian
ID_LIKE=debian
HOME_URL=„http://www.raspbian.org/“
SUPPORT_URL=„RaspbianForums - Raspbian“
BUG_REPORT_URL=„RaspbianBugs - Raspbian“

Pihole: v5.18.3
FTL: 5.25.2
Unbound: 1.13.1
Wireguard: wireguard/oldstable 1.0.20210223-1 all

Ich stehe echt auf dem Schlauch. Ich hoffe mir kann hier jemand helfen.

Schonmal vielen Dank im voraus