IPSec LAN-LAN Kopplung (m/o FritzBox)

Aus TippvomTibb
Zur Navigation springen Zur Suche springen

Allgemeines

Wieder mal so ein Problem, dessen Lösung auf den ersten Blick simpel erscheint, aber mit Sonderwuenschen auch ChatGPT und Perpexity aus der Bahn wirft.

Es geht um eine LAN-LAN-Kopplung über das Internet. Am "einfachsten" erscheint eine VPN (WireGuard) Konfiguration in den Fritzboxen. Sellt man aber die Bendingung, die Kopplung ohne MyFritz zu realisieren, sind die Anleitungen von AVM eher nutzlos.

Zudem geistern in den Foren noch Infos, dass IPSec unsicher sei weil die Implementierung von IPSec im FritzOS (>7.50?) nur IKEv1 (IKEv1 ist seit 04/2023 historisch[1]) unterstuetzt. Dies betrifft aber ja nur den den Austausch der Schluessel und beeinflusst, daher nicht die Variante mit PreSharedKeys.

Problemstellungen

Folgende Teilprobleme muss ich fuer mich klaeren, bevor ich eine Loesung verfolge.

  • VPN LAN-LAN-Koppelung
  • Kein MyFritz, DynDNS oder aehnlisches
  • IPSec oder Wireguard
  • IPv4 oder IPv6

Zudem besteht stellenweise, die Verwirrung bei der Bezeichnung der vom Internet-Provider zugeordneten IP-Adresse.

  • oeffentlich
  • fest
  • privat

ClientSoftware

Grundlagen

3 Arten von VPN:

  • End-to-Site VPN (Remote-Access-VPN)
  • Site-to-Site VPN
  • End-to-End VPN


Einstieg

Ich fange mal mit dem leichtesten an. Wireguard auf der Fritzbox einrichten und App auf dem Mobil. Am besten die Wireguard-App ueber die Homepage [5] und dann dem passenden Link (zum Store) folgen, dann laeuft man weniger Gefahr eine falsche App zu erwischen. Den von der Fritzbox erzeugten QR-Code scannen und in wenigen Sekunden ist die Verbindung hergestellt.

Der QR-Code enthaelt als Textkodierung die gleichen Informationen wie Datei die fuer die Desktop-Konfiguration zum Download angeboten wird.

[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
Address = 192.168.1.202/24
DNS = 192.168.1.1
DNS = fritz.box

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.1.0/24,0.0.0.0/0
Endpoint = XXXXXXXXXXXXXXXX.myfritz.net:57695
PersistentKeepalive = 25


https://www.ip-phone-forum.de/threads/vpn-lan-lan-kopplung-ohne-myfritz-eine-seite-hat-feste-ip-die-andere-nicht.292923/

https://www.ip-phone-forum.de/threads/wireguard-lan-2-lan-kopplung-mit-%C3%B6ffentlicher-und-privater-ip.315489/

https://www.reddit.com/r/WireGuard/comments/hkablc/wireguard_with_openvswitch/