Wireguard VPN zonder MyFritz! of DynDNS

FritzOS 7.50 (voor mijn Fritz!Box 7583) heeft nu de ook mogelijkheid om VPN via WireGuard op te zetten. Daar wilde ik wel eens mee experimenteren. Echter, om WireGuard in te kunnen schakelen is het blijkbaar verplicht om ook een MyFritz! account of DynDNS in te schakelen. Dit lijkt me onnodig aangezien ik al een vast IPv4 en IPv6 adres heb, en een eigen DNS domein waarin records voor deze vast adressen zijn opgenomen. Ik wil liever helemaal geen MyFritz! of DynDNS gebruiken. Is dit een situatie die men bij AVM over het hoofd gezien heeft, of is er een reden dat het echt niet zonder MyFritz! of DynDNS kan werken?

1 like

Ik gebruik al jaren VPNs tussen fritzboxen op de wijze zoals jij beschrijft. Vooralsnog op basis van IPsec. Ik gebruik dit om remote beheer te doen voor mijn dochters en een ex buurvrouw van 80+. Het werkt prima als minstens een van beide een 7590 is. Het werkt bij mij niet tussen een 6820 en een 5530 en ook niet tussen een 7530 en een 5530 (FritzOS versie 7.29) De 7590s zijn inmiddels naar 7.50 opgewaardeerd. De 5530 (freedom), 6820 (camping) en 7530 (1 dochter met T-mobile aansluiting) hebben nog steeds 7.29
Laat weten of dit met 7583 ook lukt zonder dyndns/myfritz. Ik zie niet in waarom dit voor wireguard anders zou zijn als voor IPsec. Ik heb overigens in mijn eigen domein zowel een A-record als een AAAA-record aangemaakt voor elke bestemming. De 6820 en 7530 hebben geen vaste IP-adressen en IPv6 range, misschien is dat wel een voorwaarde? Daarom gebruik ik bij de 6820 en de 7530 wel myfritz, maar dan kunnen ze evengoed niet met de 5530 en wel met de 7590 verbinden.

Ik gebruik ook al tijden de “oude” IPSec VPN tussen de Android telefoon en mijn Fritz!Box. Maar de nieuwe WireGuard op de Fritz!Box kun je alleen aanzetten als je ook MyFritz! of DynDNS aanzet op. Dat staat ook in de webinterface:

For configuration you will need the following:

- The WireGuard® App for smartphones and tablets or the WireGuard® software for computers (...)
- A MyFRITZ! address or DynDNS address for your FRITZ!Box
WireGuard® connections only make sense if your FRITZ!Box has its own DynDNS address. We recommend registering your FRITZ!Box with MyFRITZ! This way you receive a free DynDNS address for your WireGuard® connection.

Op de service pagina’s van AVM wordt alleen over MyFritz! gesproken als voorwaarde.

Vond het ook niet geweldig.

Daarnaast bijkt dat Wirguard op de Fritz!Box, per apparaat een account op de Wireguard VPN server heeft.
Met de IPSec VPN van de Fritz!Box was en is dat altijd username/passowrd en shared key gebaseerd.
Die methode vind ik pretiiger. Ik ben niet geinteresserd in welk apparaat verbinding heeft, maar welke gebruiker.
Ook zie ik de voordelen niet van Wireguard tov IPSec.
Voor installeren van Wirguard zijn meer specifieke admin rechten op de PC nodig, die ik niet overal heb. Met IPSec heb ik dta probleem niet.
Ik kan ook met Wireguard VPN nog steeds niet instellen dat een verbinding met de Wireguard VPN server uitkomt op het gasten netwerk van de Fritz!Box.

Als het met dyndns of myfritz werkt, zou het ook met A-record en AAAA-record op je eigen domeinnaam moeten werken. Maar je moet wel eerst je subdomeinnamen naar de betreffende apparaten laten wijzen voordat je ze in de configuratie kunt gebruiken

Ik keek ook uit naar de ingebouwde Wireguard functie tot bleek dat je dus myfritz nodig hebt. Begrijp ook niet waarom je niet gewoon je vaste ip in zou kunnen geven.
Dat is namelijk exact wat ik nu doe met de server die achter mijn fritzbox hangt. Bijzondere keuze van AVM.

Is dat echt zo, of staat dat alleen zo in de documentatie. Anders gewoon proberen.

Hoe weet de software of een adres een myfritz adres of dyndns adres is. In beide gevallen krijg je gewoon een IP-adres terug via een of andere DNS query. Ik zie nog steeds niet in waarom een adres dat komt uit een A-record en/of een AAAA-record van je eigen domein anders zou werken.

In de webinterface kun je WireGuard dus niet aanzetten als niet ook MyFritz! of DynDNS is configureerd. De hele optie WireGuard is dan geblokkeerd.

En als je nu bij de dyndns instelling in de fritzbox bij update-url “geen” invuld, bij domein de host+domein die naar je ip wijst (dus bijv. “mijnrouter.mijneigendomen.extensie” en zorgt dar daarvoor ook een geldige dns entry bestaat) en bij gebruikersnaam “geen” en bij wachtwoord “geen”. Ik heb dat ooit eens zo ingesteld om met de volledige naam via https vanaf de buitenkant in te kunnen loggen op de webinterface, mogelijk dat dat hiervoor ook werkt?