Wireguard funktioniert nicht mit Fritzbox

  • Guten Tag,

    ich habe auf einem Raspberry Pi wireguard laufen.

    Mit diversen Handys komme ich von überall, Teneriffa, Frankreich... , auf meine Geräte in meinem Heimnetzwerk.

    Mit verschiedenen Notebooks, Linux Mint, geht das nicht, wenn das fremde WLAN eine Fritzbox benutzt.

    Ich testete den Tunnel bei einem Freund mit Speedport Telekom router.

    Das funktioniert sowohl mit meinem Linux Notebook als auch mit seinem Windows Rechner.

    Das kuriose daran ist, dass ich von den fremden WLANs über den Tunnel sowohl die 192.168.178.1 als auch meine feste IP Adresse, welche ich gemietet habe, pingen kann.


    Wie gesagt, die Handy clients funktionieren wunderbar.

    Was übersehe ich an meiner Fritzbox...

    Schönen Abend noch

    Jürgen

  • ich habe auf einem Raspberry Pi wireguard laufen.

    ... , auf meine Geräte in meinem Heimnetzwerk.

    Mit verschiedenen Notebooks, Linux Mint, geht das nicht, wenn das fremde WLAN eine Fritzbox benutzt.

    Du kommst auf die Geräte in deinem Heimnetzwerk, wenn Du auf diesen Geräten auch WireGuard installiert hast.

    Das kuriose daran ist, dass ich von den fremden WLANs über den Tunnel sowohl die 192.168.178.1 als auch meine feste IP Adresse, welche ich gemietet habe, pingen kann.

    Poste mal aus dem fremden WLAN (mit dem Subnetz 192.168.178.0/24 und FritzBox als Router), die Ausgaben von:

    Code
    ip r g 192.168.178.1
    ip r g <deine-feste-IP-Adresse>
  • Aber warum funktioniert das mit den Handys?

    Die Handys sind im Mobilfunknetz, oder? Hast Du WireGuard auf deinen Handys?

  • Nein die Handys sind in den fremden WLANs mit der von dem DHCP zugewiesenen IP Adresse

    Was du meinst funktioniert auch. Das Handy im Mobilfunknetz als Hotspot, am linux Client wireguird aktiviert und schon sehe mein Heimnetzwerk

    Auf den Handys ist der Android Client installiert und die entsprechende conf Datei importiert

  • Das mit der Ausgabe mache ich heute Abend wenn ich in dem fremden WLAN bin

    Auf den Geräten in meinem Heimnetzwerk ist kein wireguard installiert. Nur auf meinem Raspberry Pi

    Die Geräte sind meine Gartenbewässerung, die Photovoltaik, die Heizungssteuerung und meine odroid OMV Nas.

    Alle Geräte haben eine feste IP Adresse. Der DNS ist ein pi hole. Und alles läuft völlig problemlos bis auf diese Sache mit der Fritzbox.

    Vielleicht bringt uns das ja mit dem posting weiter

  • Nein die Handys sind in den fremden WLANs mit der von dem DHCP zugewiesenen IP Adresse

    Auf den Handys ist der Android Client installiert und die entsprechende conf Datei importiert

    Kann es evtl. sein, dass Du parallel zum WG-Server auf deinem PI, auch das AVM-Wireguard-VPN deiner FritzBox benutzt? Wenn nein, dann sniffe mit tcpdump am richtigen/zuständigen Interface auf deinem PI und poste von deinem PI (als VPN-gateway) die source-IP-Adresse des Handy das aus dem fremden Wlan einer fremden FritzBox (mit dem Subnetz 192.168.178.0/24) auf ein Gerät ohne WireGuard, im Subnetz/Wlan deiner FritzBox zugreift.

  • Avm wireguard nutze ich nicht

    :)nach 5 X lesen glaube ich zu wissen, was du willst.

    Aber sollte da als Ergebnis nicht die IP Adresse stehen, welche das Handy von dem DHCP Server der Fritzbox im fremden WLAN erhält?

    Möglicherweise frage ich dich nochmal wie das mit dem tcpdump funktioniert...

    Dann bis später

  • Aber sollte da als Ergebnis nicht die IP Adresse stehen, welche das Handy von dem DHCP Server der Fritzbox im fremden WLAN erhält?

    Evtl. ja, ... aber ich weiß nicht wie das Routing & Co. bei einem Android-Client funktioniert.

  • So richtig komme ich nicht klar

    Bin jetzt im fremden WLAN

    Die lokale IP Adresse meines Handys ist 192.168.178.39

    pi@raspberrypi:~ $ sudo -i eth0 -c 1 -n dst 192.168.178.50tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

    00:29:31.681128 IP 192.168.178.10.42748 > 192.168.178.50.80: Flags [S], seq 1049806763, win 65535, options [mss 1240,sackOK,TS val 2648392024 ecr 0,nop,wscale 9], length 0

    1 packet captured

    1 packet received by


    Wenn der Tunnel aktiviert ist die IP Adresse 192.168.178.10 der wireguard Server bei mir im hHeimnetzwerk und die 192.168.178.50 die Heizungssteuerung.

    Wie bekomme ich mehr Infos?

    Edited once, last by Juergen1958 (January 9, 2025 at 7:41 AM).

  • Bin jetzt im fremden WLAN

    Die lokale IP Adresse meines Handys ist 192.168.178.39

    pi@raspberrypi:~ $ sudo -i eth0 -c 1 -n dst 192.168.178.50tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    Wenn die IP deines Handy (im fremden WLAN) die .39 ist, dann schau/filtere mal auf deinem PI nach dieser IP:

    Code
    sudo tcpdump -c 50 -vvveni eth0 host 192.168.178.39

    Wenn Du auf dem Handy jetzt Traffic via WG ins Heimnetz generierst und am eth0 nichts angezeigt wird, dann auf dem PI mit:

    Code
    sudo tcpdump -c 50 -vvveni wg0 host 192.168.178.39

    (wg0 evtl. anpassen) probieren. Versuch mal auf dem Handy (im fremden WLAN) auch ein:

    Code
    ping -c 3 192.168.178.50

    auf die Heizungssteuerung im eigenen Heim-WLAN.

    Wi-Fi_Signal_Strength  txpower
    iptables chains order scheme iptables-diagram
    nftables-diagram

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.6 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p10 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., Mumble-Serv., ddclient

    PI4B/8GB Bookworm-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, Mumble-Server, botamusique, ample

    Edited once, last by rpi444 (January 9, 2025 at 9:21 AM).

  • 00:29:31.681128 IP 192.168.178.10.42748 > 192.168.178.50.80

    du willst von der IP 192.168.178.10 nach 192.168.178.50, das ist für den Weg das gleiche Netz.

    Und wenn das Netz, in dem du bist das Netz 192.168.178.0/24 ist, denn dein Handy hat ja die IP 192.168.178.39, dann funktioniert das ganze nicht.


    denn da ist, für den Netzverkehr, nichts, was sich durch einen VPN-Tunnel zu einem anderen Netz bewegen könnten.

    deshalb noch einmal der Hinweis aus RE: Wireguard funktioniert nicht mit Fritzbox

    Computer ..... grrrrrr

  • Servus Rasp- Berlin,

    nein, das stimmt nicht was du schreibst, siehe Problembeschreibung weiter oben.

    Es funktioniert ohne Probleme

    Leider nur mit dem Handy.

    Also nochmal

    Handy IP Adresse im fremden Netz 192.168.178.39

    Erfolgreicher Zugriff auf 192.168.178.10, das ist der wireguard Server im meinem Heimnetzwerk.

    Und weiterhin erfolgreicher Zugriff auf alle devices im Heimnetzwerk vom fremden WLAN aus.

    Alles mit der gleichen IP range im Heimnetzwerk und im fremden WLAN

    Nur eben nicht mit einem Notebook :(

  • Handy IP Adresse im fremden Netz 192.168.178.39

    Erfolgreicher Zugriff auf 192.168.178.10, das ist der wireguard Server im meinem Heimnetzwerk.

    da kann nicht vernünftig funktionieren, da du bei dem System, welches den lokalen Tunnelenpunkt bereitstellt, dich in einem logisch anderem Netz befinden musst als das Netz des entfernten Tunnelendpunktes.

    Das ist Netztechnisch ganz einfach zwingend notwendig.

    Wenn du den Notebook über ein Handy-Hotspot einbindest, hat dieser Notebook für sich eine IP-Adresse des vom Handy bereitgestellten Hotspot-Netzes.

    Hier funktioniert der Tunnel aus dem Hotspot-Netz über das lokale Transfernetz und das Internet zum entfernten Netz, auch wenn das lokale Transfernetz die gleichen Netzdaten hat wie das entfernte netz, da das Handy von dem Tunnel und der IP des Tunnelendpunktnetzes weiß.


    Für das Handy ist das ganz einfach eine Verbindung ins Internet. Der Tunnel wird durch die Transfernetze aufgebaut, und dann kennen die Systeme, die im VPN sind, nichts von den Transfernetzen. Die kennen nur die Netze vor und hinter den Tunnelendpunkten, also die VPN-Netze.

    Und bei Wireguard ist der Tunnel eine Verlängerung des entfernten Netzes

    Computer ..... grrrrrr

  • Es funktioniert ohne Probleme

    Ok, ... und genau das wollen wir mit tcpdump & Co. sehen bzw. nachvollziehen. Dann kann man es evtl. auch für die anderen Geräte, hinbekommen/realisieren.

  • Wenn du den Notebook über ein Handy-Hotspot einbindest, hat dieser Notebook für sich eine IP-Adresse des vom Handy bereitgestellten Hotspot-Netzes.

    Das meint der TE aber nicht. Er meint das Handy als Wlan-Client im Wlan einer fremden FritzBox mit dem Subnetz 192.168.178.0/24 (wie in seinem eigenen W/LAN auch).

  • Wenn du den Notebook über ein Handy-Hotspot einbindest, hat dieser Notebook für sich eine IP-Adresse des vom Handy bereitgestellten Hotspot-Netzes.

    Das meint der TE aber nicht. Er meint das Handy als Wlan-Client im Wlan einer fremden FritzBox mit dem Subnetz 192.168.178.0/24 (wie in seinem eigenen W/LAN auch).

    Ich vermute das Handy ist so schlau dann für den WG statt des WLAN das LTE zu nutzen.
    Frage ist auch ob NAT konfiguriert ist oder nur Routing.
    Funktionieren kann das jedenfalls nicht wenn auf beiden Seiten des Tunnel die selben Adressen genutzt werden, jedenfalls nicht ohne Gebastel mit SRCNAT und DSTNAT oder Hostrouten, welche per Default eine bessere Metrik haben wie Netzrouten.

    Kann man auch schlecht nachstellen, so etwas macht niemand :)

    Offizieller Schmier und Schmutzfink des Forum.

  • Bekommt man das mit tcpdump raus was das Handy im Detail macht?

    Heute Abend teste ich auf jedenfall die anderen Vorschläge mit tcpdump.

    Wenn das unmöglich ist, welche Möglichkeit habe ich, meine Nas für andere Teilnehmer zu öffnen, dass die diese Nas für ihre Daten von überall nutzen können?

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!