Hallo zusammen.
ich nutze og Kombination und möchte gerne mit Wireguard und/oder OpenVPN (PiVPN) auf mein Netzwerk von aussen über Handy (Android) zugreifen.
Ich habe schon mehrere Tutorials und Videos durch und ich komme einfach nicht weiter.
Sowohl die FritzBox interne Wireguard Lösung als auch die Wireguardverbindung über PiVPN funtktionieren nicht. Bei beiden Wireguard Verbindungen wird die Verbindung erfolgreich hergestell (zumindest bekomme ich keine Fehlermeldung und in der App wird diese als Online Angezeigt) ich komme aber auf keine interne Ressourcen, wie z.B meine Kameras.
Bei der Openvpn Variante zeigt mir die OpenVPN App den Fehler „Network unreachable“ an.
Ich habe für mein RPi4 in der FritzBox eine entsprechende Portweiterleitung an den RPi4 erstellt und die entsprechenden Port freigegeben.
Ich greife über den DynDNS Dienst goip.de auf meine Fritzbox zu und die goip.de Adresse die über die FritzBox DynDNS Dienst getriggert wird scheint auch aktuell zu sein und läuft.
Meine Internetverbindung ist bei Deutsche Glasfaser. Intern kommuniziere ich über IPv4 , IPv6 ist bei mir deaktiviert.
In der FritzBox habe ich meinen PiHole, der auch PiVPN ist, als DNS eingetragen. Auf dem PiHole habe ich ein Conditional Forwarding auf 192.168.0.0/24 DHCP 192.168.0.1 Fritz.Box eingetragen. Als Upstream DNS Server läuft IPv4 Google (ECS, DNSSEC).
Ich habe mittlerweile soviel hin und her probiert, dass ich mittlerweile ziemlich verloren bin und ich keinen Rat mehr habe. Hätte vielleicht jemand eine zündende Idee?
Auch habe ich PiHole und PiVPN auf meinem RPi4 neu installiert. Zugriff über ssh funktioniert einwandfrei, auch das interne DNS und in meinem Netz, komme ich auf alles ohne Probleme drauf.
Ich bin leider kein Linux Mensch und habe daher leider nicht unbedingt die notwendigen Kenntnisse.
Zuerst dachte ich an Firewall und habe in der FritzBox alles geprüft. Bei PiVPN/PiHole gehe ich einfach mal davon aus, dass diese richtig eingestellt ist. Hab ja nichts dran gefummetl…:!!!
Wäre Tailscale eine Alternative für dich? Ist ein kostenloses Mesh-VPN mit einfacher Bedienung, aber optional vielen Funktionen. Kannst du direkt auf deinen Geräten wie Smartphones, Server und Laptops installieren und benötigt kein Port-Forwarding.
Warum willst du Ports freigeben, wenn du per VPN zugreifen willst?
Ich empfehle Wirguard direkt auf der FritzBox zu nutzen - man benötigt keine Portfreigabe.
Wenn die Verbindung hergestellt wurde, würde ich erstmal nen Ping auf die IP testen - für mich klingt das nach einem DNS-Problem.
Welche Wireguard App auf dem Handy nutzt du, und welcher DNS wird dort hinterlegt wenn du die Konfiguration der Wireguard Verbindung der FritzBox einspielst?
Weil es einfacher ist und ihm eine Menge Zeit und Nerven gespart hätte. Einfach auf jedem Gerät installieren, das man verbinden will, einloggen und die Verbindung ist da. Zudem kann es alle Geräte mit allen anderen Geräten direkt zueinander mit VPN automatisch verbinden. Das geht mit einem einfachen VPN nicht.
Dann bitte an entsprechende Sicherheitsmaßnahmen wie TLS denken, damit die Verbindung zwischen Router und Server auch sicher ist. Heimnetzen sollte nach Möglichkeit nicht vertraut werden.
Heimnetzen sollte man nach Möglichkeit nicht vertrauen, aber ich soll einem „fremden“ Anbieter meine Infos anvertrauen?
Wenn ich den VPN-Zugang korrekt eingerichtet habe, kann ich mich auch von außerhalb mit all meinen Geräten im Heimnetz verbinden.
So sehr ich deine anderen Beiträge zu anderen Themen hier schätze, kann ich das direkte Verweisen auf Tailscale bei VPN-Themen hier nicht wirklich nachvollziehen…
Was meinst du genau mit Verbindung zwischen Router und Server?
Ich habe das vor einer ganzen Weile auch versucht und bin nach meiner Recherche in diversen Foren etc. halt bei Feste-IP.NET gelandet, was für mich seither gut funktioniert. Anders wäre es mit jedoch auch lieber, zumal Feste-IP ja auch Geld kostet.
Ich werde diesen Thread verfolgen und wenn @Schmitzb es so hinbekommt, versuche ich das auch.
Wenn man Wireguard direkt auf die Fritzbox macht, stellt die doch nur eine Verbindung von einem Klienten (bspw. Smartphone mit Wireguard App) zur Fritzbox und damit zum Heimnetz her. Die Verbindung des Servers zur Fritzbox ist ja nicht im Wireguard-Tunnel, sondern nur Fritzbox zu Smartphone. Also sollte die Verbindung von Server zu Fritzbox noch abgesichert werden. Das kann z.B. über TLS gehen.
Welche Infos? Das ist alles Ende-Zu-Ende-Verschlüsselt zwischen deinen Geräten und die privaten Schlüssel verbleiben auf deinen Geräten. Die Verbindung ist direkt zwischen deinen Geräten, nicht über Tailscale-Servers. Tailscale vermittelt die Verbindung nur. Die Metadaten die Tailscale sieht (welches Gerät sich mit welchem Gerät verbinden will und deren IP-Adressen) sind ziemlich uninteressant. Siehe https://tailscale.com/security
Wenn du mehr als ein paar Geräte hast und Server an verschiedenen Orten und in den Genuss eines Mesh-VPNs gekommen bist, das dazu noch einfach und sicher ist, aber auch ACLs und andere Features anbietet, wirst du es verstehen.
Für die meisten Threat Models stellen die genannten Daten überhaupt kein Problem dar. Vielleicht erfordert es dein Threat Model wirklich, das kann ich nicht beurteilen. Für die meisten anderen gilt: man kann sich auch unnötig das Leben schwer machen, wenn man sich über jeden Datenkrümel sorgen macht. Und nein, man kann eben nicht dasselbe mit Bordmitteln erreichen.
Hallo,
vielen Dank für die Beteiligung an diesem Thema.
Nun, eine Wireguard direkt über die Fritzbox fuktioniert nicht. In der VPN Übersicht wird keine letzte Aushandlung angezeigt. Nur wenn ich mich im internen Netz mit Wireguard verbinde.
Als ich die Fritzbox mit IPv6 eingestellt hatte, habe ich keine Verbindung hin bekommen, da hieß es „Sinngemäß“ xxx.myfritz.net kann nicht aufgelöst werden. Nun bekomme ich mit IPv4 diese Meldung nicht mehr, aber auch keine Verbindung. Pings auf meine Ressourcen sind nicht möglich
Daraufhin habe ich PiVPN installiert auf meinem PiHole.
Auch hier wird zwar in der APP eine erfolgreiche Verbindung angezeigt, jedoch habe ich auch hier keinerlei Verbindung auf meine internen Ressourcen auch kein Ping.
Wireguard Verbindungsdaten bei meiner „PiHole Verbindung“
Adresse ist 10.178.95.x/24
Nameserver 192.168.0.x (meine interne PiHole IP)
erlaubte IPs 0.0.0.0/0,;;/0
Bei meiner PiVPN Verbindung auf dem Handy bekomme ich im Log folgende Meldung
"Contacting [xxxx.goip.de]:1194 (100.108.92.xx) via UDP
Server Poll timeout
Contacting 2a00:6020:xxxx:xxx::xxxx]:1194 via UDP
Transport Error UDP Connect error on xxx.goip.de:1194 ([2a00:6020:xxxx::xxxx]:1194)
Network is unreachable
Wohl gemerkt, ich habe die Portfraigaben korrekt eingerichtet.
Allerdings kein IPv6
Mein lokaler DNS ist mein PiHole 192.168.0.x
Ich bin echt am Ende…
Tailscale ist leider für mich keine Alternative, auf Kameras kann ich es nicht installierne und ich benötige Zugriff auf mein komplettes Netz.
Ich wäre für weitere Tipps sehr dankbar…:!!!
Das hat ja auch @Dabbler bereits angemerkt. Denn du hast keine eigene öffentliche IP. Vielmehr teilst du diese mit anderen Kunden. Und daher kannst du mittels IPv4 auch nicht ohne Umwege auf dein Heimnetz zugreifen, egal was du probierst. Es gibt nur 2 Möglichkeiten:
Die Deutsche Glasfaser ermöglicht dir richtigen Dual Stack, sodass du auch eine eigene IPv4 erhältst.
Du nimmst den Weg über einen Portmapper, wie es @Dabbler macht. Denn IPv6 funktioniert, obwohl es die schon lange gibt, nach wie vor nicht überall. Vieles läuft immer noch mit IPv4.
Nun, das lutige ist, der ganze Kram hatte schonmal ohne Probleme funktioniert und ohne, das ich überhaupt etwas gemacht hätte, funktionierte es von heute auf morgen nicht mehr.
Was mir bekannt war, war eine Mail bzw. Allgemeiner Hinweis der Deutschen Glasfaser bzgl Wartungsarbeiten. Wahrscheinlcih muss hier etwas umgestellt worden sein, denn danach lief nichts mehr und ich habe jetzt das Problem. Man verwies mich auf einen Artikel, indem bei den Internet-Zugansdaten-IPv6 Einstellungen der FritzBox auf „Native IPv4-Anbindung verwenden“ verwiesen wurde. Als ich dies aktivierte funktionierte der „Verbindungsufbau“ über Wireguard FritzBox gar nicht mehr, mit dem Verweis, der Hostname kann nicht aufgelöst werden.
Da brat mir doch einer einen Storch… @Dabbler
Gibt es denn keine andere Lösung als über die FIP-Box. Könntest Du mir vielleicht berichten wie die Einrichtung und der VPN zugriff läuft.
Könnte man mir vielleicht jemand seine FritzBox Einstellungen geben der auch einen Glasfaser Deutschland Anschluss hat. Mittlerweile habe ich soviel probier und installiert, das ich derzeit maximal verwirrt bin.
Vielleicht hat ja jemand auch PiHole und PiVPN auf einem Rpi4 laufen.
Ich hatte auf dem RPi4 sogar denn DDclient laufen und war über Dedyn.io angemeldet. Alles hatte mal funktioniert, deswegen finde ich die Lösung über die FIP-Box eher weniger gut.
Auf der Startseite, wenn man sich auf der FritzBox einloggt, wird meine ich unter dem Punkt Verbindungen angezeigt, ob die Verbindung mittels DS-Lite aufgebaut wurde. Kann ja sein, dass du vorher normalen Dual Stack hattest und nach den Wartungsarbeiten nicht mehr. Ich beziehe mein Internet über Kabel und hatte mit DS-Lite zu kämpfen. Daher kenne ich die Problematiken mit dieser Verbindungsart, wenn man Zugriff von außen zu seinem Netz herstellen möchte.
Ich möchte auch keineswegs unterstellen, dass es zwangsläufig an diesem Problem liegt. Für den weiteren Verlauf erachte ich es jedoch für sinnvoll zu wissen, ob DS-Lite oder normaler DS vorliegt.
Ich habe es mir leicht gemacht und die FIP-Box easy2connect gekauft. Das ist nicht anderes als ein umgelabeltes Raspberry-Pi. Die ist soweit fertig konfiguriert. Dazu gibt es eine ZIP-Datei mit den Verschlüsselungs-Files. Auf dem Handy/Tablet/Notebook verwende ich OpenVPN.
Das ist auf der Seite ganz gut erklärt. Da muss man sich mal einlesen.
