ich habe mir sehr viele (alle?) Beiträge hier durchgelesen, die ansatzweise mit meinem Anliegen zu tun haben, aber leider nicht das Richtige gefunden.
Was ich habe:
Anschluss der Deutschen Glasfaser
Fritzbox 7590AX
ein Modul zur Steuerung meines Whirlpool, welches via Wlan mit der FB verbunden ist
Was ich erreichen möchte:
Von unterwegs (z.B. mit dem Smartphone) auf meine Fritzbox (und somit auch auf das Modul) zugreifen, selbst wenn ich mit dem Smartphone in einem IPv4Only Netzwerk (z.B. Ausland/Roaming) eingewählt bin (wenn das Smartphone eine IPv6 hat, dann funktioniert das ja wunderbar mit MyFritz und Wireguard. Aber halt nicht IPv4). Ziel ist es dabei nicht unbedingt direkt das Modul ansteuern zu können, sondern generell zumindest ein VPN zur FB (z.B. über Wireguard) herstellen zu können (so dass ich quasi im Heimnetz bin und so auf das Modul zugreifen kann).
Was ich bin:
blutiger Anfänger
Was ich schon gemacht habe:
Ich habe bereits einen DynDNS bei IPv64.net angelegt und eingerichtet (auch in der FB). Das scheint auch zu funktionieren. Aber dann „verließen sie ihn…“
Hat vielleicht jemand eine Schritt für Schritt Anleitung für mich? Oder vielleicht einen Hinweis, wo ich eine solche finden kann? Wäre echt MEGA!
Das hört sich nach einem DS-Lite an, wenn nur deine IPv6 erreibar ist.
Aktiviere mal das CDN
Aktiviere den „Full Mode“ im CDN, dass IPv4 und IPv6 gebündelt über IPv6 an die Fritzbox geschickt werden. Der Full Mode bringt dir nochmal ein erhöhten Schutz mit. Dazu gibt es ein Video von Dennis.
Aktiviere den Revers-Proxy beim CDN. Am besten Frontent und Backend auf Level 2. Damit sollte deine Fritzbox jetzt erstmal über IPv4 umd IPv6 erreichbar sein, wenn die FB ihr IPv6 mit ipv64 synchronisiert. Bitte testen, bevor du mit dem nächsten Schritt weiter machst.
Für Wireguard brauchst du den Portmapper beim CDN. Da hast du die Challenge, dass der Portmapper einen Random-Port nach außen vergibt. Diesen solltest du dann auch an die FB weiterleiten und bei der FB dementsprechend in der Wireguard Konfig hinterlegen.
Bei der FB weiß ich nicht was du im Detail für WG einstellen kannst. WG läuft bei auf einem Pi und der Port wird bei mir nur von der FB an den Pi weitergeleitet. Hoffe das hilft dit trotzdem schon mal weiter.
Noch eim Tipp, aktiviere „Ignore IPv4“ bei deiner DynDNS bei IPv64. Da dass oft nur eine Fallback Adresse ist, die angeblich nur funktioniert, wenn deine IPv6 nicht funktioniert. Außer dein Provider hat dir die IPv4 richtig zugewiesen. Das hört sich nach deiner Schilderung aber nicht so an.
@Nevs Da muss ich mal widersprechen. Das sollte @steelfoot74 so (wie du es formuliert hast) nicht machen.
Das „und bei der FB dementsprechend in der Wireguard Konfig hinterlegen“ liest sich für mich, als solle da etwas in der WIregurard-Konfig in der Fritte angepasst werden. Das wäre jedoch falsch.
Möglich dass du das so auch nicht gemeint hast, aber so wie es formuliert wurde ist es mindestens missverständlich und würde in die falsche Richtung und dazu führen, dass die Wireguard-Verbindung nicht klappt.
Richtig wäre folgendes
Wireguard-Verbindung in der Fritte konfigurieren
die Fritte legt dazu einen Port fest, als Beispiel UDP 51822
dieser Port wird dann in die Client-Config (z.B. für Android) übernommen
nun den CDN-Portmapper konfigurieren. Das Ziel wäre im Beispiel UDP 51822. Dort den Random-Port des Portmappers (z.B. UDP 54321) notieren.
dieser Random-Port des Portmappers (also UDP 54321) kommt dann eben genau nicht in die Fritte, denn die muss weiterhin auf den dort konfigurierten Port UDP 51822 hören. Er muss hingegen in die Client-Config (z.B. des Android Clients) eingetragen werden und dort den Port UDP 51822 ersetzen. Denn das Portmapping von 54321 zu 51822 findet ja im CDN statt.
Ok, dass die Fritte selbst ein Port festlegt, den du nicht mehr bearbeiten kannst, wusste ich nicht. Wie geschrieben hab ich WG übern Pi laufen, da bist du halt flexibler, bzw. kannst den selbst definieren.
Mir ging es an der Stelle drum, dass du ein Port von Außen bis zum WG hast und damit der erzeugt QR-Code ohne weitere Einstellung funktioniert.
Bearbeiten kann man den schon. Aber das wäre Blödsinn. Portmapping bedeutet doch, dass das CDN den Random-Port (z.B. 54321 auf den WIreguard-Port des Servers (egal ob Fritte oder was auch immer - bei mir pfsense) mappt. Das CDN nimmt eine Anfrage auf UDP 54321 an, leitet diese dann via Portmapper weiter an UDP 51822 der Fritte oder der pfsense weiter. Wenn man nun in der Fritte oder der pfsense den Port ändert, auf UDP 54321, kommt das eben genau nicht auf UDP 54321 an, wo dann die Fritte oder der pfsense nun lauscht.
Deswegen muss eben nicht die Config des Servers geändert werden, sondern die des Clients. Die muss den Aufbau der Verbindung über UDP 54321 starten. Das CDN wandelt dann UDP 54321 um in UDP 51822 und darauf hört der Wireguard-Server weiterhin, wie zuvor auch schon.
Wenn du dich per wireguard mit deinem Netzwerk verbindest, brauchst du eigentlich nur die IP deines Endgerätes auswählen.
Wenn du dich ohne Tunnel mit deinen Endgeräten verbinden willst, kannst du einen Reverse Proxy nutzen, z. B. Nginx Proxy Manager. Die dritte Möglichkeit wäre, im LAN IPV6 zu nutzen und dich mit der IPV6 Adresse direkt zu verbinden. Hier habe ich allerdings keine persönliche Erfahrung und weiss auch nicht, ob das so stimmt. Meiner Meinung nach findet bei IPV6 kein NAT statt und die Adressen werden direkt durch die FB durchgeleitet.
