Wireguard VPN zonder MyFritz! of DynDNS

FritzOS 7.50 (voor mijn Fritz!Box 7583) heeft nu de ook mogelijkheid om VPN via WireGuard op te zetten. Daar wilde ik wel eens mee experimenteren. Echter, om WireGuard in te kunnen schakelen is het blijkbaar verplicht om ook een MyFritz! account of DynDNS in te schakelen. Dit lijkt me onnodig aangezien ik al een vast IPv4 en IPv6 adres heb, en een eigen DNS domein waarin records voor deze vast adressen zijn opgenomen. Ik wil liever helemaal geen MyFritz! of DynDNS gebruiken. Is dit een situatie die men bij AVM over het hoofd gezien heeft, of is er een reden dat het echt niet zonder MyFritz! of DynDNS kan werken?

1 like

Ik gebruik al jaren VPNs tussen fritzboxen op de wijze zoals jij beschrijft. Vooralsnog op basis van IPsec. Ik gebruik dit om remote beheer te doen voor mijn dochters en een ex buurvrouw van 80+. Het werkt prima als minstens een van beide een 7590 is. Het werkt bij mij niet tussen een 6820 en een 5530 en ook niet tussen een 7530 en een 5530 (FritzOS versie 7.29) De 7590s zijn inmiddels naar 7.50 opgewaardeerd. De 5530 (freedom), 6820 (camping) en 7530 (1 dochter met T-mobile aansluiting) hebben nog steeds 7.29
Laat weten of dit met 7583 ook lukt zonder dyndns/myfritz. Ik zie niet in waarom dit voor wireguard anders zou zijn als voor IPsec. Ik heb overigens in mijn eigen domein zowel een A-record als een AAAA-record aangemaakt voor elke bestemming. De 6820 en 7530 hebben geen vaste IP-adressen en IPv6 range, misschien is dat wel een voorwaarde? Daarom gebruik ik bij de 6820 en de 7530 wel myfritz, maar dan kunnen ze evengoed niet met de 5530 en wel met de 7590 verbinden.

Ik gebruik ook al tijden de “oude” IPSec VPN tussen de Android telefoon en mijn Fritz!Box. Maar de nieuwe WireGuard op de Fritz!Box kun je alleen aanzetten als je ook MyFritz! of DynDNS aanzet op. Dat staat ook in de webinterface:

For configuration you will need the following:

- The WireGuard® App for smartphones and tablets or the WireGuard® software for computers (...)
- A MyFRITZ! address or DynDNS address for your FRITZ!Box
WireGuard® connections only make sense if your FRITZ!Box has its own DynDNS address. We recommend registering your FRITZ!Box with MyFRITZ! This way you receive a free DynDNS address for your WireGuard® connection.

Op de service pagina’s van AVM wordt alleen over MyFritz! gesproken als voorwaarde.

Vond het ook niet geweldig.

Daarnaast bijkt dat Wirguard op de Fritz!Box, per apparaat een account op de Wireguard VPN server heeft.
Met de IPSec VPN van de Fritz!Box was en is dat altijd username/passowrd en shared key gebaseerd.
Die methode vind ik pretiiger. Ik ben niet geinteresserd in welk apparaat verbinding heeft, maar welke gebruiker.
Ook zie ik de voordelen niet van Wireguard tov IPSec.
Voor installeren van Wirguard zijn meer specifieke admin rechten op de PC nodig, die ik niet overal heb. Met IPSec heb ik dta probleem niet.
Ik kan ook met Wireguard VPN nog steeds niet instellen dat een verbinding met de Wireguard VPN server uitkomt op het gasten netwerk van de Fritz!Box.

Als het met dyndns of myfritz werkt, zou het ook met A-record en AAAA-record op je eigen domeinnaam moeten werken. Maar je moet wel eerst je subdomeinnamen naar de betreffende apparaten laten wijzen voordat je ze in de configuratie kunt gebruiken

Ik keek ook uit naar de ingebouwde Wireguard functie tot bleek dat je dus myfritz nodig hebt. Begrijp ook niet waarom je niet gewoon je vaste ip in zou kunnen geven.
Dat is namelijk exact wat ik nu doe met de server die achter mijn fritzbox hangt. Bijzondere keuze van AVM.

Is dat echt zo, of staat dat alleen zo in de documentatie. Anders gewoon proberen.

Hoe weet de software of een adres een myfritz adres of dyndns adres is. In beide gevallen krijg je gewoon een IP-adres terug via een of andere DNS query. Ik zie nog steeds niet in waarom een adres dat komt uit een A-record en/of een AAAA-record van je eigen domein anders zou werken.

In de webinterface kun je WireGuard dus niet aanzetten als niet ook MyFritz! of DynDNS is configureerd. De hele optie WireGuard is dan geblokkeerd.

En als je nu bij de dyndns instelling in de fritzbox bij update-url “geen” invuld, bij domein de host+domein die naar je ip wijst (dus bijv. “mijnrouter.mijneigendomen.extensie” en zorgt dar daarvoor ook een geldige dns entry bestaat) en bij gebruikersnaam “geen” en bij wachtwoord “geen”. Ik heb dat ooit eens zo ingesteld om met de volledige naam via https vanaf de buitenkant in te kunnen loggen op de webinterface, mogelijk dat dat hiervoor ook werkt?

https://www.reddit.com/r/fritzbox/comments/ymshoj/tutorialworkaround_how_to_use_fritzbox_wireguard/ doet het prima als vervanger voor de DynDNS check

1 like

Ik kan op mijn iPhone in de Wireguard app het DynDNS of Fritz.net account vervangen door het IPv4-adres dat ik van Freedom heb gekregen, wel dezelfde poort op de FB blijven gebruiken. Werkt prima, dus je kunt proberen om eerst een nep DynDNS account in te voeren en dit later op je Wireguard client te vervangen door het eigen IPv4-adres.

Wireguard functionaliteit op de FB werkt echter niet met het IPv6-adres. Daarom gebruik ik maar een RaspberryPi achter de FB als Wireguard server…

Dat is zot. Misschien iets voor avm om recht te zetten in 7.60

Om te beginnen, ik ben geen WireGuard-expert, gewoon een gebruiker.
Maar ik heb wel artikelen gelezen dat men bij AVM bij de WireGuard implementatie, bepaalde design-keuzes gemaakt heeft die anders zijn dan andere implementaties.
Het kan dus zijn dat een gevolg van zo’n design-keuze is dat er een FQDN moet zijn, omdat WireGuard gewoon niet werkt op basis van IP-only.

Dan begrijp ik het nog niet. Want als je in je eigen domein een A-record en een AAAA-record maakt voor het vaste IP-adres van je thuis aansluiting heb je een FQDN : mijn-fritzbox.mijn-aansluiting.tld bijv. thuis.mijndomeinnaam.nl
Bij mij werkt het al jaren zo op basis van IPSEC (althans als aan een kant een FB 7590 zit; tussen 7530 en 5530 krijg ik het niet werkend; tussen 6820 en 5530 ook niet; overigens ook niet via myfritz)

1 like

WireGuard werkt prima zonder hostname. Ik heb dit al jaren zo werkend dmv een vps. In dit geval heeft AVM waarschijnlijk rekening gehouden met dynamische aansluitingen voor onervaren gebruikers. Zou mooi zijn als MyFritz/DynDNS niet nodig is als je een statisch IP hebt.

Het DynDNS protocol is een simpele HTTP GET request met basic auth die een status 200 moet teruggeven. Als je eerst op de DynDNS tab een provider maakt die de robots.txt van de Fritzbox zelf aanroept, dan kan je op de WireGuard tab door naar de volgende stap zonder MyFritz of DynDNS account:

veld waarde
DynDNS Provider: User-defined
Update URL: http://192.168.178.1/robots.txt
Domain name: foo.fritz.box
Username: foo
Password: bar

Ik heb dat net geprobeerd te testen op een FB7590 op afstand, maar die heeft mij nu buitengesloten omdat de IPSec verbinding geen routing meer lijkt te hebben zodra WireGuard actief wordt. Helaas nog voor de WG conf werd gedownload. Dus ik kan weer ergens op visite deze week…

2 likes

Dat komt omdat de Fritzbox geen OSPF ondersteunt. Ik verwacht dat als je aan jouw kant de WireGuard verbinding verbreekt dat dan na enige tijd de IPSec verbinding vanzelf weer opkomt.

Ik heb bij mij thuis een vergelijkbare situatie: een 5530 aan een Freedom account en daarnaast een 7590 aan een KPN4all account. tussen beide had ik al jaren een VPN-verbinding. Inmiddels heb ik een virtuele pfSense router tussen mijn 5530-LAN en mijn 7590-LAN. Die verbinding is natuurlijk veel sneller (1 Gbit/s) dan de omweg via Freedom en KPN. En dus wordt de VPN-verbinding inactief. Als de NAS waarop de pfSense router draait, een firmware update krijgt, komt automatisch de IPsec verbinding weer actief totdat de firmware update van de NAS voltooid is.

Ik verwacht dat als je aan jouw kant de WireGuard verbinding verbreekt dat dan na enige tijd de IPSec verbinding vanzelf weer opkomt.

Nee helaas. Ik moest fysiek op locatie eerst alle IPSec accounts uitschakelen. Vervolgens bleek de WireGuard config niet compleet (geen keys). Na ook WireGuard opnieuw doen werkt het eindelijk.

Leerzaam (en jammer). Blijkbaar zijn de beide VPN-soorten (Wireguard en IPsec) zodanig geĂŻmplementeerd dat op iedere route slechts een van beide actief kan zijn. Het verschil met mijn situatie is dat mijn alternatief via een virtuele pfSense router helemaal niet gebruik maakt van FritzOS. Mijn virtuele router wordt gehost op een NAS die in beide LANs een poort heeft. In de beide Fritzboxen is maar Ă©Ă©n VPN tussen beide geconfigureerd, en die wordt vanzelf actief wanneer de snellere alternatieve route wegvalt.

Voor de volledigheid en leerzaamheid: Met mijn freedom fritz-box is de instelling:
Bij Freedom.nl → Mijn.freedom.nl → Internet → ReverseDNS: Hier de ip-adressen van een naam voorzien. In mijn geval IPv4 en IPv6 de zelfde naam. “thuis.connected.by.freedominter.net”. Gebruik jou eigen naam in de rest van deze tekst :slight_smile:

In de FritzBox
Internet → PermitAccess → DynDNS:

Internet → PermitAccess → VPN(WireGuard): Hier kan ik helaas niet terug zien wat ik toen heb ingevuld. Wel dat ik als thuis locatie “thuis.connected.by.freedominter.net” heb gebruikt en het werkt.

Achtergrond van de dyndns instelleingen: Door de url met de opgegeven opties en de dummy account en wachtwoord informatie zal de fritzbox daar niet meer over zeuren zolang de dns-lookup van “thuis.connected.by.freedominter.net” maar het internet ip adres van de fritzbox oplevert.

2 likes