Wireguard zwischen Büro und Fritzbox Zuhause

[kd31]

Hi, liebe Community,

ich habe auf meiner Fritzbox 6990 Wireguard eingerichtet und aktiviert.
Ich möchte vom Büro meines Sohnes Daten auf den an meiner 6990 angeschlossenen Speicher kopieren.
Leider hat das Büro eine Mietbox 6490, auf der kein Wireguard läuft.
Also habe ich auf einem der Büro-PCs den Wireguard-Client installiert und den Tunnel aktiviert. Das funktioniert soweit, ich habe Zugriff auf meine Festplatte bei mir Zuhause.
Da die Daten im Büro auf einem alten Zyxel-NAS liegen, kann ich sobald der Tunnel steht, nicht mehr auf das NAS zugreifen. Ist ja auch logisch, die einzige Netzwerkkarte die in dem PC steckt hat ja jetzt die Tunnelverbindung.
Die einfachsten Lösungen wären wahrscheinlich entweder eine neue Fritte oder ein neues NAS. Beides würde so um die 200€ kosten und das wollte ich erst umsetzen wenn es nicht anders geht.
Ich könnte noch einen WLan-Stick an den Büro-PC stecken, WLan mit dem NAS verbinden und über LAN den Tunnel aufbauen.
Würde das funktionieren?
Vielen Dank schonmal fürs Lesen.

LG kd31

 

[tocotronaut]

haben die Fritzboxen den gleichen IP-Adressbereich?
(Beide die IP-Adresse 192.168.178.1?)

Das solltest du ändern. Dann sollte der Rechner das eigentlich auseinander halten können...

 

[oneOeight]

Kannst kein zweites Interface auf der Netzwerkkarte aktivieren?

 

[kd31]

haben die Fritzboxen den gleichen IP-Adressbereich?

Es hat jede einen anderen Adressbereich, aber das ist auch nicht das Problem, denn der Tunnel steht ja bereits und ich kann auf die Freigabe zuhause zugreifen.

zweites Interface auf der Netzwerkkarte

Ich bin ein ziemlicher Netzwerklaie, wie macht man das?

 

[tocotronaut]

Es hat jede einen anderen Adressbereich, aber das ist auch nicht das Problem, denn der Tunnel steht ja bereits und ich kann auf die Freigabe zuhause zugreifen.

Nein. So ist kein Problem, aber wenn sie gleich wären wäre das ein problem...


Eine Alternative wäre noch eine herkömmliche LAN-LAN Kopplung zwischen den Fritzboxen einzurichten. Also mit dem alten IPSEC VPN.
https://avm.de/service/vpn/ipsec-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

 

[kd31]

Also mit dem alten IPSEC VPN

Ich gehe mal davon aus, dass das für mich zu kompliziert ist, deshalb habe ich mich über die Wireguard-Implementierung der neueren Fritzboxen gefreut.

@oneOeight Ich habe hier was gefunden, wie man einer Netzwerkkarte zwei IP-Adressen zuweist (alternative Konfiguration).
Wenn ich das getan habe, muss ich dann die eine Adresse für die Verbindung zum NAS und die andere Adresse für den Tunnel zuweisen.
Richtig so?

 

[oneOeight]

Wenn ich das getan habe, muss ich dann die eine Adresse für die Verbindung zum NAS und die andere Adresse für den Tunnel zuweisen.
Richtig so?

Genau.
Nur musst du wohl auch dafür sorgen, dass vom Tunnel zum NAS kommst.

 

[tocotronaut]

Ich finde Wireguard komplizierter.
Und jetzt fängst du an, deinen Rechner zu verdrehen.

Bei LAN-LAN musst du am Rechner selbst nix einstellen.

Aber letztlich geht das natürlich auch. Viele Wege führen zum Ziel.

 

[kd31]

Nur musst du wohl auch dafür sorgen, dass vom Tunnel zum NAS kommst.

Wenn der Tunnel steht und über die andere IP die NAS-Freigabe gemappt ist, kann ich doch für beides ein Explorer-Fenster öffnen und dann die Daten kopieren. Oder nicht?

Ich finde Wireguard komplizierter

Sorry, aber Wireguard auf der Fritte einrichten, eine conf exportieren und beim Gegenüber auf dem Client importieren war jetzt nicht wirklich kompliziert. Und das ohne einen Port zu öffnen.

 

[oneOeight]

Wenn der Tunnel steht und über die andere IP die NAS-Freigabe gemappt ist, kann ich doch für beides ein Explorer-Fenster öffnen und dann die Daten kopieren. Oder nicht?

Ich weiß nicht, ob das automatisch das Routing setzt.
Musst ausprobieren.

 

[kd31]

So probiere ich das mal aus und melde mich wieder wenn es funktioniert. Wahrscheinlich komme ich erst Montag wieder dazu.
Vielen Dank erstmal.

 

[MacGiver2000]

Sofern du über das VPN nur auf die FRITZ!Box (und damit die Festplatte) zugreifen möchtest, kannst du die Wireguard-Konfiguration am Client auch dahingehend abändern, dass nur die IP der Fritzbox, auf der der Wireguard-Server läuft, durch den VPN-Tunnel angesprochen werden kann.
Beispiel:

[Interface]
PrivateKey = DeinKey
Address = 192.168.0.201/24
DNS = 192.168.0.1
DNS = fritz.box

[Peer]
PublicKey = DeinKey
PresharedKey = DeinKey
AllowedIPs = 192.168.0.1/32
Endpoint = DeineDynDNS.myfritz.net:58733
PersistentKeepalive = 25

Bei AllowedIPs musst du die IP der FRITZ!Box eintragen und dann /32 anfügen.

 

[kd31]

@MacGiver2000

Meine config sieht so aus:

[Interface]
PrivateKey = xxxxx
Address = 10.x.x.xxx/8
DNS = 10.x.xx.xxx
DNS = fritz.box

[Peer]
PublicKey = xxxxx
PresharedKey = xxxxx
AllowedIPs = 10.0.0.0/8,0.0.0.0/0
Endpoint = xxxxx.myfritz.net:56248
PersistentKeepalive = 25

Dann muss ich bei AllowedIPs folgende IP eintragen: 10.x.xx.xxx/8
Das ist dann sicherer?

 

[MacGiver2000]

Bei AllowedIPs gehört nur die IP der FRITZ!Box hin, mit der du dich verbinden möchtest.
Meine FRITZ!Box hat die IP 192.168.0.1, daher muss ich 192.168.0.1/32 eintragen. /32 bedeutet vereinfacht gesagt, dass nur diese eine IP berücksichtigt wird.
Du müsstest dann 10.x.x.xxx/32 eintragen, natürlich mit den korrekten Zahlen statt den Xen.

Die Änderung hat nichts mit Sicherheit zu tun, sondern erlaubt dir, alle anderen Geräte in deinem Netzwerk, z.B. das NAS, weiterhin zu erreichen, da kein Full-Tunnel aufgebaut wird.

 

[kd31]

Mit den Xen ist klar, die habe ich selber eingefügt.
Muss bei einem 10er Netz hinter dem Slash nicht eine 8. Sorry, ich frage lieber nochmal nach, da ich bei dem Thema nicht so tief drin stecke.

 

[MacGiver2000]

Die /8 bräuchtest du, wenn du auf das gesamte Netz zugreifen möchtest. Um nur auf die FRITZ!Box zuzugreifen, musst du die /32 eintragen.

Wichtig: nicht die Netzwerkadresse, sondern die IP-Adresse der FRITZ!Box eintragen, welche ja meist die erste Adresse im Netzwerk hat.
Die Netzwerkadresse endet üblicherweise auf .0.

 

[kd31]

Das mit der zweiten IP auf die Netzwerkkarte hat leider auch nicht funktioniert. Wenn ich sie an der Fritzbox anmelden will muss ich die MAC-Adresse eintragen und das scheitert dann, da sie schon vorhanden ist. Außerdem habe ich keinen Schimmer wie ich die zwei IP-Adressen jeweils dem NAS und dem Tunnel zuweisen soll.
Dann habe ich den Wireguard-Tunnel aktiviert und einfach mal probeweise ein paar Daten der Festplatte des Büro-PCs nach Hause geschickt.
Die Geschwindigkeit war mit 50 bis 350 kb/s so grottenschlecht, dass ich den Versuch nach 20 Minuten abgebrochen habe.
Eine Recherche im Web brachte zwar die Erkenntnis dass viele sich über die Übertragungsrate beschweren, aber selbst die hatten wenigstens 1 bis 4 MB/s. Das wäre für mich wahrscheinlich ausreichend, da täglich immer nur eine geringe Datenmenge kopiert werden sollte.

 

[ElectricWizard]

Du könntest versuchen die MTU etwas runter zu stellen. Kann gut sein, das Pakete fragmentiert werden und dass deshalb die Geschwindigkeit in den Keller geht.

 

[kd31]

Darüber habe ich auch schon einen Blog im Netz gefunden. Leider wird auch da nicht erklärt wie und wo man das einstellt.

 

[diver68]

[Interface]
PrivateKey = xxxxx
MTU = 1420