[Frage] FRITZ!Box WireGuard mit einem VPN-Anbieter verbinden | dann gehen aber keine Wireguard Verbindungen mehr "zur" Box?!

[buddsoup]

Hi Zusammen,

gerade habe ich festgestellt, dass wenn man eine WG Verbindung der fritz.box zu einem VPN-Anbieter aufbaut (vgl. https://avm.de/service/wissensdaten...ox-uber-WireGuard-mit-VPN-Anbieter-verbinden/) dann zusätzlich nicht noch weitere direkte WG-VPN-Verbindungen zur fritz.box selbst gehen.

Ich dachte, dass das möglich ist. Aber leider ist das nicht der Fall.
Warum gibt es diese Einschränkung? Und weiß jemand, ob das in Zukunft evtl. geändert wird?

 

[chrsto]

Wie kommst du darauf, dass es diese Einschränkung gibt? Welche Fehlermeldung kommt?

 

[buddsoup]

Es klappt nicht.
Meldung lautet "Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt."

Bei AVM steht unter dem o.a. Link unter Vorraussetzungen/Einschränkungen auch zusätzlich:
"In der FRITZ!Box dürfen noch keine WireGuard-Verbindungen eingerichtet sein (z.B. für ein Smartphone). Sollten in der FRITZ!Box bereits WireGuard-Verbindungen eingerichtet sein, müssen diese vor der Einrichtung der Verbindung zum VPN-Anbieter gelöscht werden."

 

[chrsto]

Das ist korrekt.

Es muss zuerst die Verbindung zum VPN Anbieter angelegt werden. Erst dann kannst du die Verbindung zur Fritz!Box einrichten.

Das hängst damit zusammen, dass bei dem Import des VPN Anbieters der private Schlüssel der Box überschrieben wird. Damit wären dann alle anderen Verbindungen ohne Funktion.

 

[buddsoup]

Habe alle vorherigen VPNs gelöscht, dann nur die VPN-Anbieter Config gemacht (klappt).
Danach lassen sich keine weiteren Geräte-VPN anlegen (gleiche Fehlermeldung).

 

[chrsto]

Ich konnte auf einer 4040 ein VPN zu Proton einrichten und danach eine Client VPN Verbindung.

 

[buddsoup]

Cool. Das ist schonmal gut zu wissen. Dann muss ich mal schauen, woran es liegen kann. So ganz verstanden habe ich es noch nicht.

Ich habe das Netz der fritz.box von 192.168.178.x auf ein 10.20.x.x Netz verändert. Evtl. war das auch der Grund und ich sollte eher im 192.168.x.x Bereich bleiben?
Wobei es das ja eigentlich nicht sein sollte, oder?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich konnte auf einer 4040 ein VPN zu Proton einrichten und danach eine Client VPN Verbindung.

Zusätzliche Frage.
Kannst du denn auch mehrere VPNs zu Proton aufbauen, oder geht nur einer?

 

[chrsto]

Wobei es das ja eigentlich nicht sein sollte, oder?

Das hängt von der Netzwerkkonfiguration des anderen Endpunktes ab.

Kannst du denn auch mehrere VPNs zu Proton aufbauen, oder geht nur einer?

Das kannst du doch selbst testen? Ich wüsste aber auch nicht, wozu das gut sein sollte.

 

[KunterBunter]

Danach lassen sich keine weiteren Geräte-VPN anlegen (gleiche Fehlermeldung).

Ein "Geräte-VPN" ist wohl kein Client. FRITZ!Box meldet "Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt"

 

[buddsoup]

Ein "Geräte-VPN" ist wohl kein Client

Sorry mit Geräte meinte ich in dem Falle Client.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Das kannst du doch selbst testen? Ich wüsste aber auch nicht, wozu das gut sein sollte.

Wollte 2 Verbindungen zu VPN Anbietern aufbauen. Ein paar Clients im Netz sollen zu VPN1 gehen, die anderen zu VPN2.

Zusätzlich wollte ich von ext. in mein FB-Netz kommen mit meinen Geräten (also Clients).

Das hängt von der Netzwerkkonfiguration des anderen Endpunktes ab.

Da habe ich testweise jetzt auch mal Proton genutzt. Also identisch zu Dir.

 

[chrsto]

Ein paar Clients im Netz sollen zu VPN1 gehen, die anderen zu VPN2.

Ich weiß nicht, ob so etwas geht. Denk bitte daran, dass du eine Fritz!Box vor dir hast und kein hoch professionelles Gerät.

Den Drang, sich selbst in unnötiger Komplexität zu ersticken, habe ich noch nie verstanden.

 

[buddsoup]

Ich weiß nicht, ob so etwas geht. Denk bitte daran, dass du eine Fritz!Box vor dir hast und kein hoch professionelles Gerät.

Ja - davon bin ich schon weg. Das war nur ein Versuch. Habe aber auch schon gelesen, dass das eben nicht geht.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

So. Alles probiert. Bei meiner 5590 geht es einfach nicht und es kommt immer die gleiche Fehlermeldung
"Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt."

- Erst den Zugang zum Proton-VPN eingerichtet
- das klappt ohne Probleme
- danach versucht ein "Einzelgerät" zu Verbinden (also Client VPN um mit einem Client auf die FRITZ!Box) mich einloggen zu können
- Ergebnis die o.a. Fehlermeldung.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

Hast Du denn die Client-VPN-Verbindung ganz normal mit dem Assistenten gemacht ohne große extra Auswahl?

Andere Frage? Hast Du bei Dir IPv6 laufen bzw. evtl. Dual Stack IPv4 / IPv6?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Habe jetzt auch mal im Log geschaut und folgende Fehlermeldungen gefunden:
Device - Detected new not-mastered slave (WG-Verbindung)
Slave - Slaves network conflicts with existing peer
Device - Could not add connection for not mastered slave

 

[chrsto]

Du kannst Beiträge auch editieren. Das Aneinanderreihen von Beiträgen wird hier nicht gerne gesehen.

Da du keinerlei Informationen preisgibst, wie deine Umgebung genau aussieht, kann ich dir nicht sagen, warum es bei dir nicht geht.

Ich habe eine 4040 auf Werkseinstellung zurückgesetzt und anschließend die Konfiguration von ProtonVPN importiert. Danach eine neue Verbindung für einen Client erstellt. Ich nutze sowohl IPv4 und IPv6. Wie da die Einstellung nach einem Werksreset sind, weiß ich nicht.

Habe jetzt auch mal im Log geschaut

Welches Log? Wäre mit neu, dass bei einer FritzBox Meldungen auf englisch erscheinen.

 

[buddsoup]

Welches Log?

Unter https://fritz.box/#support > dann Support-Daten > Support Daten speichern (erweitert optional auswählen).
Dann bekommt man sehr gute Logs der Box.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich habe eine 4040 auf Werkseinstellung zurückgesetzt und anschließend die Konfiguration von ProtonVPN importiert. Danach eine neue Verbindung für einen Client erstellt. Ich nutze sowohl IPv4 und IPv6. Wie da die Einstellung nach einem Werksreset sind, weiß ich nicht.

Hi.
So habe ich es gerade auch gemacht und leider bekomme ich es nicht zum Laufen. Es kommt nachdem ich die ProtonVPN config drin habe und diese läuft bei der Einrichtung des Client VPN weiterhin zum o.a. Fehler.

EDIT: Nutzt Du denn myfritz.net als DynDNS oder evtl. anderes als Dienst?

 

[frank_m24]

Du solltest wirklich anfangen, die Hinweise, die man dir gibt, zu befolgen. Auch die bezüglich der Forenregeln. Bei der Einrichtung deines VPNs gehst du offenbar genauso oberflächlich vor, wie bei deinen Forenbeiträgen, entsprechend klappt es nicht.

Die Fehlermeldung ist ja eindeutig, du erzeugst einen Netzwerk-Konflikt. Zeige doch mal konkret, welche Netze du in den jeweiligen Konfigurationen verwendest.

 

[buddsoup]

Du solltest wirklich anfangen, die Hinweise, die man dir gibt, zu befolgen.

Hallo Frank. Danke Dir für die Info. Ich probiere es schon. Die vielen Beiträge hintereinander waren wirklich nicht das Gelbe vom Ei.

Die Fehlermeldung ist ja eindeutig, du erzeugst einen Netzwerk-Konflikt. Zeige doch mal konkret, welche Netze du in den jeweiligen Konfigurationen verwendest.

Also:

• Box: 5590 Fiber (mit GF Anschluss)
• WAN: Ist ein Dual Stack IPv4/6 Netz was funktioniert
• myfritz.net ist eingerichtet und läuft
• danach wird über INTERNET > FREIGABEN > VPN (Wireguard) > Verbindung hinzufügen > Netzwerke koppeln oder spezielle Verbindungen herstellen > Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? JA ein neues Netz erstellt (in dem Fall eine Proton VPN Test-Konfiguration - Bsp. siehe unten)
• diese Verbindung funktioniert auch einwandfrei
• danach dann:
  • Verbindung hinzufügen > Einzelgerät verbinden > Prozess wird durchlaufen
  • am Ende kommt die Fehlermeldung: "Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt."

Weiß jetzt nicht, wo ich hier etwas hätte falsch machen können, dass so einen Konflikt auslöst?

Bsp. Konfig der Wireguard Verbindung welche ich in die FRITZ!Box lade für den VPN-Anbieter:
[Interface]
PrivateKey = XXXXXXYYYYYZZZZZZ
Address = 10.20.0.2/32
DNS = 10.20.0.1

[Peer]
PublicKey = XXXXXXYYYYYZZZZZZ
AllowedIPs = 0.0.0.0/0
Endpoint = IPADRESSE_DES_ENDPOINTS:51820

 

[frank_m24]

Address = 10.20.0.2/32

Das hier löst vermutlich den Konflikt aus. Da ist nur Platz für einen Host, und es passt nicht zum lokalen Netz deiner Fritzbox. Die Box arbeitet nicht mit einem Transfernetz für ihre Clients, sondern mit Proxyarp.

 

[buddsoup]

Das hier löst vermutlich den Konflikt aus. Da ist nur Platz für einen Host,...

Das heißt, was genau müsste ich dann tun, damit es läuft?

@chrsto Musstest Du da auch etwas editieren an der ProtonVPN conf File, damit danach dein Client-VPN Zugang eingerichtet werden konnte?

 

[frank_m24]

Alternativ sind da noch Reste alter VPN Verbindungen oder IPSec Verbindungen eingerichtet, die den Konflikt auslösen. Im Zweifel solltest du noch mal einen Reset auf Werkseinstellungen auslösen und alles frisch einrichten.

 

[buddsoup]

Den Reset (also kompletten Reset) habe ich bereits schon gemacht. Und dann direkt nach neuer Einrichtung als eine der ersten Sachen das mit Wireguard probiert. Der Fehler kam direkt wieder.
Daran kann es somit eigentlich dann auch nicht liegen. IPSec Verbindungen habe ich auch nie genutzt.