Wireguard zwischen Büro und Fritzbox Zuhause
- Ersteller kd31
- Erstellt am
diver68
Aktives Mitglied
- Dabei seit
- 24.07.2011
- Beiträge
- 587
- Reaktionspunkte
- 185
Pauschal lässt sich das nicht sagen. Du müsstest dazu iperf auf der Fritz!Box aktivieren und probieren, welche MTU bei Dir am optimalsten ist. Anbei ein Verweis auf eine "Berechnung" des MTU's, ob man das aber so stehen lassen kann... Ich weiß nicht.
https://schroederdennis.de/vpn/wireguard-mtu-size-1420-1412-best-practices-ipv4-ipv6-mtu-berechnen/#:~:text=Um%20es%20erstmal%20einfach%20zu,95%25%20der%20Einsatzf%C3%A4lle%20funktionieren%20wird.
https://schroederdennis.de/vpn/wireguard-mtu-size-1420-1412-best-practices-ipv4-ipv6-mtu-berechnen/#:~:text=Um%20es%20erstmal%20einfach%20zu,95%25%20der%20Einsatzf%C3%A4lle%20funktionieren%20wird.
Als ich die MTU in die config eintragen wollte öffnete ich die Client-Software und klickte auf "Bearbeiten". Da sah ich eine kleine aktivierte Box mit der Beschreibung "Blockiere Verkehr außerhalb des Tunnels (Not-Aus)".
Nach dem deaktivieren dieser Funktion konnte ich plötzlich beide Wege gehen, also vom Büro-PC zum Büro-NAS und vom Büro-PC über den Tunnel zu mir nach Hause.
Leider hat sich die langsame Geschwindigkeit der Übertragung nicht geändert, egal welchen Wert ich bei MTU eingetragen habe.
Nach dem deaktivieren dieser Funktion konnte ich plötzlich beide Wege gehen, also vom Büro-PC zum Büro-NAS und vom Büro-PC über den Tunnel zu mir nach Hause.
Leider hat sich die langsame Geschwindigkeit der Übertragung nicht geändert, egal welchen Wert ich bei MTU eingetragen habe.
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Sehe gerade, du hast/hattest 0.0.0.0/0 in der AllowedIPs-Variable stehen.
Da wird dann eine Route gesetzt, die den kompletten Traffic über das WG-Interface leitet und du kannst logischerweise nicht mehr auf das lokale Netz zugreifen.
Am Besten wäre es, ausschließlich die IP-Adressen dort einzutragen, die auch über den Tunnel erreichbar sein sollen.
Da wird dann eine Route gesetzt, die den kompletten Traffic über das WG-Interface leitet und du kannst logischerweise nicht mehr auf das lokale Netz zugreifen.
Am Besten wäre es, ausschließlich die IP-Adressen dort einzutragen, die auch über den Tunnel erreichbar sein sollen.
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Nein, sollte keinen Einfluss darauf haben.
Welche MTU-Werte hast du denn probiert?
Was hast du im Büro und Zuhaues für ISPs?
DSL, Kabel, Fiber?
Welche MTU-Werte hast du denn probiert?
Was hast du im Büro und Zuhaues für ISPs?
DSL, Kabel, Fiber?
von 1300 aufwärts in 20er Schritten bis 1420. Das ist wohl der Wireguard-Standard-Wert.
Beide Standorte sind bei Vodafone Kabel.
EDIT:
Zuhause: 250 MBit und im Büro wahrscheinlich nur 16 MBit. Das ist das Büro meines Sohnes, deshalb weiß ich das nicht so genau. Aber unter 16 auf keinen Fall. Upload in diesem Fall wahrscheinlich nur 1Mbit. Es könnten aber auch mehr sein, da es ein Business-Vertrag ist.
Wenn es aber mal angenommen wirklich nur 1MBit Upload sind, würde das die 50 - 350 kb/s erklären?
Beide Standorte sind bei Vodafone Kabel.
EDIT:
Zuhause: 250 MBit und im Büro wahrscheinlich nur 16 MBit. Das ist das Büro meines Sohnes, deshalb weiß ich das nicht so genau. Aber unter 16 auf keinen Fall. Upload in diesem Fall wahrscheinlich nur 1Mbit. Es könnten aber auch mehr sein, da es ein Business-Vertrag ist.
Wenn es aber mal angenommen wirklich nur 1MBit Upload sind, würde das die 50 - 350 kb/s erklären?
Zuletzt bearbeitet:
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Hm, da kann wirklich viel der Flaschenhals sein... 
Eventuell waren die 20er Schritte etwas zu grob.
Weißt du wie AVM diesen foo.myfritz.net-Kram implementiert? Ist das nur ein Dyn-DNS oder ist da auch ein Tunnel?
Mit Vodafone Kabel hast du ja auch schon Tunnel am Laufen, wenn du da noch nichts ändern lassen hast.
Eventuell waren die 20er Schritte etwas zu grob.
Weißt du wie AVM diesen foo.myfritz.net-Kram implementiert? Ist das nur ein Dyn-DNS oder ist da auch ein Tunnel?
Mit Vodafone Kabel hast du ja auch schon Tunnel am Laufen, wenn du da noch nichts ändern lassen hast.
Ich bin schon 20 Jahre bei Vodafone, ich weiß gar nicht ob es da DS-Lite schon gab. Aber die können mich ja stillschweigend umgestellt haben. Wie kriege ich das denn raus? Machen die DS-Lite auch für Business-Kunden?
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Was sagt denn die FritzBox zum thema DS-Lite? Die müsste es doch anzeigen, oder?
Hast du Ports auf der FritBox für den WG-Server freigegeben? Oder ist das irgendwie magisch über dieses myfritz.net-Zeug passiert?
Kenne mich mit den Implementierung von WireGuard in FritzBoxen leider nicht aus.
Bin selten auf Consumerhardware unterwegs. Sorry.
Hast du Ports auf der FritBox für den WG-Server freigegeben? Oder ist das irgendwie magisch über dieses myfritz.net-Zeug passiert?
Kenne mich mit den Implementierung von WireGuard in FritzBoxen leider nicht aus.
Bin selten auf Consumerhardware unterwegs. Sorry.
Ich habe in der Fritzbox noch nie was von DS-Lite gelesen, aber es kann auch sein, dass es mir nur noch nicht aufgefallen ist. Ich schau mal nach.
Wireguard ist so implementiert, dass man keine Ports öffnen muss. Geht also alles über myfritz.net und soll angeblich recht performant sein.
Edit:
Ich finde in der Fritzbox unter Kabel-Informationen nichts was mit DS-Lite zutun haben könnte.
Wireguard ist so implementiert, dass man keine Ports öffnen muss. Geht also alles über myfritz.net und soll angeblich recht performant sein.
Edit:
Ich finde in der Fritzbox unter Kabel-Informationen nichts was mit DS-Lite zutun haben könnte.
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
50 - 350 kb/s klingen für mich aber doch ziemlich unperformant.
Dem kann ich nichts entgegensetzen.50 - 350 kb/s klingen für mich aber doch ziemlich unperformant.
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Was zeigt die FritBox denn an? Hast du eine öffentliche IPv4, oder eine aus einem privaten Netzbereich?
ElectricWizard
unregistriert
- Dabei seit
- 13.08.2019
- Beiträge
- 591
- Reaktionspunkte
- 604
Hmm, mein gefährliches Halbwissen über FritzBoxen und Internetanschlüsse über Fernsehkabel sagt, dass du vermutlich kein DS-Lite hast.
Wird dir die selbe v4-Adresse auch bei https://ipv4.icanhazip.com/ angezeigt?
Wird dir die selbe v4-Adresse auch bei https://ipv4.icanhazip.com/ angezeigt?
Blaubeere2
Aktives Mitglied
- Dabei seit
- 06.01.2015
- Beiträge
- 1.667
- Reaktionspunkte
- 931
Bei meiner 7590 findet sich unter Internet > Zugangsdaten > IPv6 unterhalb von „Native IPv6-Anbindung verwenden“ die Option „IPv4-Anbindung über DS-Lite herstellen“. Aus der Hilfe ist zu erfahren, dass der Internetanbieter DS-Lite unterstützen muss. Ob euer Kabelanschluss das unterstützt, kann ich nicht beurteilen.
Ja, so ist es. Ich habe dir gestern schon geantwortet und vergessen den "Antworten-Button" zu klicken. Ist das jetzt schon beginnende Demenz? Ich muss mal meinen Arzt konsultieren.
Vielen Dank für die Info, aber ich bin kann, glaube ich, ganz gut ohne DS-Lite leben.
Blaubeere2
Aktives Mitglied
- Dabei seit
- 06.01.2015
- Beiträge
- 1.667
- Reaktionspunkte
- 931
Hier noch ein Artikel über DS-Lite:
https://www.computerwoche.de/a/ipv6-macht-vpns-probleme%2C3210854
Wenn ich es richtig verstehe, ist DS-Lite allerdings eher eine Notlösung und kann Probleme bei VPN verursachen. Besser ist Dual Stack ohne Lite.
https://www.computerwoche.de/a/ipv6-macht-vpns-probleme%2C3210854
Wenn ich es richtig verstehe, ist DS-Lite allerdings eher eine Notlösung und kann Probleme bei VPN verursachen. Besser ist Dual Stack ohne Lite.
Sehe ich auch soVielen Dank für die Info, aber ich bin kann, glaube ich, ganz gut ohne DS-Lite leben.