FritzBox mit ASUS-Router // PPPoE konfigurieren

[Jendevi]

Hallo zusammen,

ich komme mit meinem FritzBox-ASUS-Setup nicht weiter und würde mich über ein paar helfende Kommentare sehr freuen. Aber der Reihe nach:

Worum geht's?:

• Meine FritzBox (FB) 7590 soll als DSL-Modem für meinen ASUS XT8 Router fungieren
• Der ASUS-Router soll quasi nur die Internet-Verbindung per WAN über die FritzBox bekommen, mehr brauche ich nicht
  • Idealerweise arbeitet der ASUS-Router mit seinem eigenem LAN bzw. DHCP
• Die FB 7590 lässt sich nativ leider nicht in den Bridge-Mode versetzen (bei anderen Modellen geht das)
• Der Workaround über das manuelle Aktivieren der "lanbridges_gui_hidden"-Einstellung im Export der Systemeinstellungen funktioniert auch nicht

Ich habe nun versucht über die PPPoE-Passthrough-Einstellung der FB die Einwahl für DSL an den ASUS-Router zu übergeben. Allerdings scheitere ich daran, die beiden Geräte überhaupt kommunizieren zu lassen oder der ASUS-Router schafft es nicht eine Verbindung über PPPoE aufzubauen.

Kennt Ihr ein gutes Tutorial oder einen vergleichbaren Fall, wo ich mich Sschritt für Schritt mal durch die Einstellungen hangeln kann? Oder habt Ihr andere Ideen?

Danke und viele Grüße


PS: Hintergrund:

• Ich möchte einen VPN über WireGuard einrichten, der im Router hinterlegt und somit für alle Geräte im Haushalt aktiv ist (inkl. Kill-Switch)
• Die FritzBox beherrscht zwar WireGuard, aber nur von FB zu FB
• Es gibt momentan momentan leider keine DSL-Modem-Router-Kombi, die nativ WireGuard unterstützt

 

[mikne64]

Hallo,

ich kenne mich hier nicht aus, aber vielleicht helfen Dir folgende Links weiter

Fritz!Box als reines Modem verwenden
https://www.boernyblog.de/fritzbox-als-reines-modem-verwenden/

Fritz!Box | DSL-Modem (aka Bridge-Modus)
https://ubiquiti-networks-forum.de/wiki/entry/55-fritz-box-dsl-modem-aka-bridge-modus/

Viele Grüße

 

[lisanet]

... so ganz versteh ich den Hype um Wireguard nicht.

IPSec ist z.Bsp mittels eines sehr guten Projekts auf Github extrem einfach einzurichten. Und IPSec läuft nativ auf allen Apple Devices / Rechnern ohne extra Software.

https://github.com/hwdsl2/setup-ipsec-vpn

 

[Jendevi]

Danke für die Rückmeldungen. Leider hilft mir das nicht weiter. Ich möchte auch keine Diskussion über WireGuard, IPSec etc. WireGuard ist für mich durch den VPN-Anbieter gesetzt.

@mikne64: Die Links kenne ich schon, aber Danke trotzdem.

Mir ist es jetzt erstmal wichtig die beiden Router sauber miteinander zu verbinden.

 

[lisanet]

Ich möchte auch keine Diskussion über WireGuard, IPSec etc. WireGuard ist für mich durch den VPN-Anbieter gesetzt.

Sorry, aber ich will dich nicht von Wireguard abbringen, ich will nur verstehen, warum Wireguard angeblich so toll sei und nach deiner neuen Antwort zuidem auch, was ein VPN-Anbieter überhaupt technicch damit zu tun haben soll, wenn du dich von wo auch immer zuhause in dein LAN einwählen willst.

Und zum anderen lasse ich mir nicht vorschreiben, was ich frage oder schreibe. Wenn du Antworten vorgeben willst, besorge dir bezahltge Angestellte.

Technisch zu deinem Problem mit den Routern

a) wenn dein VPN erfordert, dass der Asus komplett ungeschützt am Netz hängt um darauf dein VPN laufen lassen zu können, musst du zwangsweise ein Modem davor schalten. Kann die FB nicht als Modem fungieren geht es ncith

b) Erlaubt dein VPN deiner Wahl deine Verbindung über spezifische Ports, die du festlegen kannst oder die vorgegeben sind, reicht ein Portforwarding von der FB an den Asus aus.

c) die Verbindung von FB zu Asus via WLAN ist suboptimal, da der Asus zusätzlich wohl als DHCP und Router (auch für WLAN?) genutzt werden soll.

 

[hopeless]

• Es gibt momentan momentan leider keine DSL-Modem-Router-Kombi, die nativ WireGuard unterstützt

Doch die Fritzbox 7590 z.b. https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

 

[tbo]

Darf ich fragen, wieso du hinter der Fritzbox einen Router benutzen willst? FRITZ!OS 7.50 unterstützt Wireguard, auch von Endgeräten zur Fritzbox, nicht bloß von Fritzbox zu Fritzbox. Der Asus XT8 kann auch im AP-Modus laufen, vielleicht erleichtert das etwas den Aufbau. Wobei ich glaube, dass du dies auch mit AVM-Hardware hinbekommen kannst.

 

[MrChad]

ich will nur verstehen, warum Wireguard angeblich so toll sei

Im Prinzip ist für mich IPSec auch gut genug. Aber, soweit ich weiß, verlangt das eine öffentliche IPv4-Adresse an der Fritzbox.

Ich habe hier zwei Leitungen.
An der (schnelleren) Vodafone-Leitung liegt ne 10....-Adresse an (CG-NAT), war also nix.
An der (langsamen) O2-Leitung habe ich noch eine IPv4-Adresse, also wenigstens das.

Wenn ich jetzt die O2-Leitung umstelle, bekomme ich von denen keine IPv4-Adresse mehr und bin mit IPSec gekniffen.
Deswegen schiele ich im Richtung Wireguard, was das angeblich via IPv6 kann.

 

[lisanet]

Im Prinzip ist für mich IPSec auch gut genug. Aber, soweit ich weiß, verlangt das eine öffentliche IPv4-Adresse an der Fritzbox.

Ich habe hier zwei Leitungen.
An der (schnelleren) Vodafone-Leitung liegt ne 10....-Adresse an (CG-NAT), war also nix.
An der (langsamen) O2-Leitung habe ich noch eine IPv4-Adresse, also wenigstens das.

Wenn ich jetzt die O2-Leitung umstelle, bekomme ich von denen keine IPv4-Adresse mehr und bin mit IPSec gekniffen.
Deswegen schiele ich im Richtung Wireguard, was das angeblich via IPv6 kann.

hhmm, ich selbst habe einen Dual-Stack Anschluss und daher eine öffentliche, statische IPv4, aber AFAIK kann IPSec auch VPN über IPv6 realisieren.

Ein "Problem" bei IPv6 können da dann eher die Privacy Extensions seine oder ein Prefix-Wechsel. Man muss dann halt wie bie IPv4 mit DynDNS arbeiten. Das ist eigentlich das übliche Spiel zwischen Sicherheit / Privacy und Bequemlichkeit.

Eine grundsätzlich recht interessante Alternative zu VPN-Zugriff aufs eigene LAN wäre auch "Cloduflare Tunnels". Das habe ich vor kurzem entdeckt und werde mir das mal näher ansehen. Wenn das so läuft wie ich es mit ad-hoc denke, dann ist das einfacher und universeller als jede VPN-Lösung. Eher ähnlich wie das alte "Back to my Mac". Und Carrier Grade NAT ist uninteresant dabei.

Hier mal ein Video dazu, das ich entdeckt habe -> https://www.youtube.com/watch?v=ZvIdFs3M5ic

 

[oneOeight]

Erklärt das ein wenig den Hype:
https://www.bitblokes.de/wireguard-openvpn-ipsec-abloesen-vpn/

 

[MrChad]

"Cloudflare Tunnels"

oder ZeroTier ?

• https://www.zerotier.com/

 

[Jendevi]

b) Erlaubt dein VPN deiner Wahl deine Verbindung über spezifische Ports, die du festlegen kannst oder die vorgegeben sind, reicht ein Portforwarding von der FB an den Asus aus.

Ja, das ist die sogenannte "Exposed Host"-Funktion, die ich heute entdeckt habe. Das muss ich noch testen. Ist ggf. ein Workaround.

c) die Verbindung von FB zu Asus via WLAN ist suboptimal, da der Asus zusätzlich wohl als DHCP und Router (auch für WLAN?) genutzt werden soll.

Die Geräte stehen direkt nebeneinander und sind per LAN verbunden. WLAN und alle nicht notwendigen Dienste der FB werden deaktiviert.

Doch die Fritzbox 7590 z.b. https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

Leider ist das nur die halbe Wahrheit. Mit AVM hatte ich bereits Kontakt. Der Kundenservice gibt als Rückmeldung:

"Die FRITZ!Box unterstützt allerdings nicht die von Internet-Anonymisierungsdiensten verwendeten Verfahren wie OpenVPN oder das IKEv2-Protokoll. Es ist daher derzeit (7.50) nicht möglich, mit der FRITZ!Box eine VPN-Verbindung zu einem Internet-Anonymisierungsdienst, wie NordVPN, herzustellen."​

Darf ich fragen, wieso du hinter der Fritzbox einen Router benutzen willst? FRITZ!OS 7.50 unterstützt Wireguard, auch von Endgeräten zur Fritzbox, nicht bloß von Fritzbox zu Fritzbox. Der Asus XT8 kann auch im AP-Modus laufen, vielleicht erleichtert das etwas den Aufbau. Wobei ich glaube, dass du dies auch mit AVM-Hardware hinbekommen kannst.

Momentan gibt es nur sehr wenige Router, die nativ das WireGuard-Protokoll unterstützen. Das gilt für die Hersteller ASUS, Vilfo und GL.iNet, aber nicht für deren komplette Produktlinie. Bei ASUS sind es bisher nur die AX-Router. Keiner der Hersteller bietet jedoch eine Router-Modem-Kombination inkl. WireGuard an. OpenWRT wäre theoretisch eine Option, allerdings fallen dann gewisse Funktionen der Router weg und die Performance sinkt. Für mich nur ein Notnagel.

Erklärt das ein wenig den Hype:
https://www.bitblokes.de/wireguard-openvpn-ipsec-abloesen-vpn/

Ich hatte auch ein wenig geforscht und offenbar gibt es einen erheblichen Leistungsunterschied zwischen WireGuard und den restlichen Protokollen. Da ich meinen kompletten Traffic per VPN abbilden möchte, ist mir das Performance-Thema schon eher wichtig. Die Nutzung eines VPNs bedarf auch eine gewisse Rechenleistung. Die kann die FB allerdings nur bedingt liefern. Vermutlich wird daher auch der Funktionsumfang von WireGuard in der FB reduziert.

 

[lisanet]

wenn ich das so lese, dann verstehe ich dein Anwendungsszenario nicht so recht.

Ja, das ist die sogenannte "Exposed Host"-Funktion, die ich heute entdeckt habe.

Port forwarding ist nicht "exposed host". Bei port forwarding leitest du einzelnen incoming ports auf einzelne Rechner und deren Ports weiter. Bei einem exposted host, ist derjenige Rechner komplett offen im Internet ohne jedwede Firewall.
Aber das spielt eigentlich keine Rolle, wenn du ein VPN nur für ausgehenden Traffic nutzen willst, so wie du hier schreibst:

Leider ist das nur die halbe Wahrheit. Mit AVM hatte ich bereits Kontakt. Der Kundenservice gibt als Rückmeldung:
"Die FRITZ!Box unterstützt allerdings nicht die von Internet-Anonymisierungsdiensten verwendeten Verfahren wie OpenVPN oder das IKEv2-Protokoll. Es ist daher derzeit (7.50) nicht möglich, mit der FRITZ!Box eine VPN-Verbindung zu einem Internet-Anonymisierungsdienst, wie NordVPN, herzustellen."

Allerdings verstehe ich dann, wenn du wir hier geschildert, ausgehenden Traffic über einen VPN-Anbieter realiseren willst, warum du dann Wireguard auf deinem Router aufsetzen willst. Kann dein Wunsch-VPN-Anbieter nur Wireguard? Kann ich mir nicht vorstellen.

Was versprichst du dir von folgendem?

Da ich meinen kompletten Traffic per VPN abbilden möchte,

Den komplette ausgehenden Verkehr über ein VPN abzuwicklen ist nicht recht sinngebend. Mal abgeshen davon, dass Geoblocking mit VPN umgangen werden kann, sind doch heutzutage die meisten Dienste eh schon verschlüsselt. Webseiten sind eigentlich alle via HTTPS erreichbar, Mailserver sind ebenso per TLS verschlüsselt, Messenger auch alle, ssh sowieso per design. Und mit Private Relay hättest du auch verschlüsseltes DNS. Wozu dann noch ein VPN für outgoing?