Wireguard Site-to-Site mit FritzBox
-
Gibt es inzwischen einen best practise bzgl. Wireguard mit einer Fritzbox? Ziel soll es sein, dass die Fritzbox den WG "Server" stellt und die pfSense den Tunnel zu ihr aufbaut damit das FritzBox Netz auf das pfSense Netz zugreifen kann.
Nach meinen Tests ist die Fritzobx (7590) leider immer abgeschmiert, wenn ich eine WG export Datei der pfSense importiert habe.
Netgate 6100 MAX
-
Muss es unbedingt WG sein?
Habe so eine Box stabil über IPsec IKEv1 Main Mode angebunden. -
@nocling Da die Fritten mit IPsec ja doch recht lahm sind, wäre WG von Vorteil.
-
@mrsunfire said in Wireguard Site-to-Site mit FritzBox:
wenn ich eine WG export Datei der pfSense importiert habe.
Warum sollte das auch funktionieren, wie sieht es mit einer "manuellen" Einrichtung aus?
-
Um welche geht es denn, die 7590 die hier als Gegenstelle arbeitet schieb ganz entspannt 60MBit durch den Tunnel.
Die Generation kann ja AES in Hardware und damit tut sich auf den Kisten zu WG nicht viel.Eine 6490 wird WG z.B. gar nicht mehr erhalten.
-
@nocling Ja, eine 7590. Ich würde es auch aus Neugier gerne zum Laufen bekommen. Zu einer anderen pfSense steht ein WG Tunnel, nur die AVM Box stellt sich quer.
-
Ja, eine 7590. Ich würde es auch aus Neugier gerne zum Laufen bekommen. Zu einer anderen pfSense steht ein WG Tunnel, nur die AVM Box stellt sich quer.
Die Fritzbox ist sowohl mit IPSec, wie auch mit WG nicht ganz unproblematisch.
Setzt man die von AVM angegebenen, modernen Verschlüsselungsmöglichkeiten mit IPSec um, so ist das ohne ein wenig Modifikation gar nicht so ohne weiteres möglich.
Mit Aggressiv-Mode und Sha1 ist das natürlich auf Anhieb machbar, nur wer will das noch?
Letztlich kocht AVM hier, wie auch bei WG, sein eigen Süppchen und sicher nicht ohne Hintergedanken.
Ein WG-Tunnel ohne den Umweg, einen AVM-Account einzurichten, funktioniert nicht wirklich.
Zwei Fritten zu verbinden, wird wohl problemlos funktionieren, ist dann leider, kommt Fremdhardware ins Spiel, nicht mehr so einfach.
Die Fritte ist eben ein Consumerprodukt, wenn auch nicht ganz schlecht, so hat Sie eben Ihre Grenzen.
Das wird auch bei der beschränkten Konfigurierbarkeit deutlich, wenn einmal Änderungen notwendig werden. Das geht schon los, wenn sich im Netz des "Gegenübers" etwas verändert.
Eine bestehende Config, wenn nötig, auf dem Gerät zu ändern, ist nicht machbar. Wie auch, wenn man weder per ssh, noch mit Telnet auf das Innenleben kommt.
Es wird also immer wieder eine Neue Konfiguration eingespielt werden müssen.
Die Fritzbox spielt mit ein wenig "Gefrickel" mit, kein Thema.
Wenn ich das produktiv umsetzen müsste, würde ich andere Hardware für einen VPN-Tunnel empfehlen.
Gruß orcape -
Mit dem FBEditor-0.6.9.7k ist das doch auch keine Raketentechnik, einfach nach dem Tunnel suchen und die Parameter fix anpassen, fertig.
Hier läuft mit der 7590 als Gegenstellte jetzt IKEv1 Main mit DH15 sauber und zuverlässig, naja jedenfalls so lange mein Provider kein Leck hat und alle Packate auf dem Weg aus der Leitung fallen. -
@nocling
@nocling said in Wireguard Site-to-Site mit FritzBox:Mit dem FBEditor-0.6.9.7k ist das doch auch keine Raketentechnik, einfach nach dem Tunnel suchen und die Parameter fix anpassen, fertig.
Sollte man das von remote aus machen müssen, was in meinem Fall zutraf, wird das schon zum Problem.
Ich hatte im LAN der 7590 einen OpenWRT-Router, der mir die vorläufige Verbindung zur Fritzbox mit OpenVPN hielt.
Aber das Problem mit dem FBEditor-0.6.9.7k tritt wohl auch auf, wenn man vor Ort einrichtet.
Die zusätzliche Bestätigung (2FA), die das aktuelle Fritz-OS bei solchen Änderungen verlangt und die sich auch nicht so einfach abstellen ließ, macht hier Probleme.
Erst nach einem Downgrade auf eine vorherige OS-Version und das Abschalten von 2FA hat das funktioniert und somit ist der FBEditor im Augenblick mit dem aktuellen OS eigentlich gar nicht wirklich nutzbar.
Ich hatte diesbezüglich mit dem AVM-Support einigen EMail-Verkehr, in dem mir das auch bestätigt wurde.
Ob man das dann einmal in die Entwicklung mit einfließen lässt oder ob die vermeintliche Sicherheits-Politik von AVM dem entgegensteht, werden wir in zukünftigen OS-Versionen sehen.
Gruß orcape
