Umbau Wireguard-Server

ebugigaconnect · 2024-12-18T06:54:27+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

ebugigaconnect

So, jetzt mal ein Thema um die Profis in diesem Forum aus dem Bau zu locken ;-)

Die Ausgangslage:

Sunrise 2.5Gbit Kabelanschluss (ConnectBox 3)
Sauber verlegtes LAN-Kabel zum 2.5Gbit Switch, daran, NAS und PC.
Alle Hardwarekomponenten sind für 2.5Gbit ausgelegt.

Über die Wochen gemessener Speed mit MacBookPro immer um die 2Gbit (komischerweise mit einem Windows-PC sogar um die 2.3Gbit.

Spezial: An der Connectbox hängt ein Raspberry Pi5 auf dem der Wireguard-VPN-Server installiert ist. Von der CB3 wird der notwendige Port auf den Pi geroutet. Damit ist sichergestellt, dass ich von extern auf mein NAS zugreifen kann.

Alles läuft stabil. Es gäbe keinen Grund, daran etwas zu ändern.

Wie ich vielfach schon gelesen habe, wäre es sicherheitstechnisch idealer, wenn Wireguard direkt auf dem Router eingerichtet würde. Das lässt die CB3 jedoch nicht zu. Ebenso lässt Sunrise es nicht zu einen eigenen Router zu verwenden.

Der Plan:

CB3 in den Bridge-Modus versetzen (IPv4 ist vorhanden)
Vom 2.5Gbit Port der CB3 via LAN auf die Coaxial-Buchse der Fritz!Box 4060 (ein entsprechender Adapter wird benötigt.) Damit kommt an der 4060 der maximale Speed an.
Via dem 2.5Gbit Port der 4060 dann ins LAN

Vorteil: Der Wireguard-Server würde nicht mehr extern auf dem Pi , sondern direkt in der 4060 laufen. Alle Ports können geschlossen werden. Schutz gegen das böse Internet wiederum um ein µ verbessert.

Nachteil: Beschaffung Fritz4060, Adapter, Stromverbrauch

Fragen in die Runde:

Wird das grundsätzliche funktionieren?
Ist mit Geschwindigkeitseinbussen im LAN zur rechnen - wegen dem Adapter

Bin gespannt auf Eure Meinungen.

oli-h

ebugigaconnect Ebenso lässt Sunrise es nicht zu einen eigenen Router zu verwenden

Doch, das geht ganz gut - zumindest bei dem Setup “Kabelanschluss” wie bei dir.
Die Sunrise’schen Connect-Boxen für den Kabelanschluss bieten nämlich den sog. “Bridge-Mode” (bzw. “Modem-Mode” genannt) an. Im Einstellungs-GUI der Connect-Box sieht dann in etwa so aus:

(das ist ein Screenshot meiner ConnectBox 2 - die ist noch aus UPC-Zeiten)

In diesem Bridge-Mode:

Ist das WiFi der Connect-Box inaktiv
Bekommst du an den Ethernet-Anschlüssen via DHCP eine Public-IP.
Faktisch sind dies 4 Ethernet-Ports dann kein “LAN” mehr sondern “WAN”
Kannst und solltest Du dann einen eigenen Router betreiben
Deine ConnectBox erreichst Du danach via http://192.168.100.1 (und nicht mehr via http://192.168.1.1)

Aber Achtung: Ein Router, der 2.5 GBit/s Durchsatz stemmt, ist nicht einfach zu finden.

Nachtrag: Du musst für deinen Anschluss noch “IPv4” schalten lassen –> Anruf an der Hotline oder Private-Message an Sunrise-Moderatoren hier im Forum.

EZS1234

ebugigaconnect Vom 2.5Gbit Port der CB3 via LAN auf die Coaxial-Buchse der Fritz!Box 4060 (ein entsprechender Adapter wird benötigt.) Damit kommt an der 4060 der maximale Speed an.

ebugigaconnect Darum auch die Idee mit dem Adapter und der Nutzung der Coaxial-Buchs an der 4060. So ist dann nämlich der WAN/LAN Port frei um als 2.5Gbit LAN Port eingerichtet zu werden.

Bitte was? 🤔🤔🤔

Von was für einem Adapter sprichst du da? Wo bitte soll die 4060 eine “Coaxial-Buchse” haben?

pato

ebugigaconnect Kannst du machen, Haupt Nachteil, die Fritzbox 4060 hat nur einen einzelnen 2.5 Gbps Port, welchen du als Uplink brauchst. Das heisst, via LAN können deine Clients dann nur noch 1 Gbps nutzen. Meine Empfehlung, lass das mit dem Pi wie es ist und kaufe dir einen günstigen 2.5 Gbps Switch welchen du an die CB3 hängst.
Weiterer Vorteil vom Pi, dort erhältst du regelmässigere Updates wie bei einer Fritzbox und du brauchst kein zusätzliches Gerät.

ebugigaconnect

oli-h

Vielen Dank für Deine Einschätzung. Ja, mir ist bewusst, dass die CB3 dann nur noch als Modem dient und kein WLAN mehr anbietet.

Soweit ich das bis jetzt herausgefunden habe, würde die Fritz!Box 4060 eine 2.5Gbit LAN anbieten.

https://ch.avm.de/produkte/fritzbox/fritzbox-4060/

Der (blaue) 2.5GBit WAN Port kann softwaremässig auf 2.5Gbit LAN Schnittstelle eingerichtet werden. Darum auch die Idee mit dem Adapter und der Nutzung der Coaxial-Buchs an der 4060. So ist dann nämlich der WAN/LAN Port frei um als 2.5Gbit LAN Port eingerichtet zu werden.

Nachtrag: IPv4 ist schon länger freigeschaltet, sonst könnte ich den extern Pi als Wireguard-Server gar nicht betreiben. Hab es auch entsprechend im Beitrag (Der Plan) erwähnt… :-)

ebugigaconnect

@EZS1234 Da habe ich mich doch tatsächlich verschrieben. Es ist nicht die 4060, sondern die 6660, die ich verwenden würde. Die 6660 hat sowohl einen Koax Port wie auch 2.5Gbit RJ45 Port.

Also von der CB3 (Rj45-2.5Gbit) an den Koax-Port der 6660. Vom 2.5Gbit LAN-Port der 6660 ins LAN. So der Plan. Um von RJ45 auf Koax zu kommen benötigt es einen Adapter (RJ45/Koax).

pato Danke für Deine Einschätzung. Den entsprechenden Switch habe ich ja schon…

Die Idee ist ja lediglich aufgepoppt, weil ich dachte, sicherheitstechnisch eine Verbesserung zu erzielen. So wie es jetzt läuft, läuft es ja gut.

EZS1234

ebugigaconnect Es ist nicht die 4060, sondern die 6660, die ich verwenden würde. Die 6660 hat sowohl einen Koax Port wie auch 2.5Gbit RJ45 Port.

Die Wahl zur 6660 verstehe ich nun wirklich nicht wenn einem bewusst ist das man diese von Sunrise nicht freigeschaltet bekommt und man vornedran eine CB benötigt… 😕

ebugigaconnect Um von RJ45 auf Koax zu kommen benötigt es einen Adapter (RJ45/Koax).

Ein Adapter (vermutlich soll er auch noch noch einfach und günstig sein) den es nicht gibt.
Ausser du kannst mich (uns?) vom Gegenteil überzeugen. 😉

Die Lösung ist aber eigentlich relativ einfach 👉 FRITZ!Box 7690

oli-h

ebugigaconnect Also von der CB3 (Rj45-2.5Gbit) an den Koax-Port der 6660

Wie andere auch schon geschrieben haben: Das ist nicht kompatibel.
Das eine (RJ45) ist “Ethernet”, das andere (Coax) ist ein Frequenzgemisch aus DVB-C, DAB+ Cable, DOCSIS (3.0, 3.1) sowie bis vor kurzem UKW/FM.
Deine Idee ist ungefähr, als ob Du eine Antenne direkt in dein Ohr steckst und dann erwartest, dass Du dann Teletext-Seiten siehst. (obwohl - je nach Funkfrequenz und Feldstärke hörst oder spürst Du immerhin was :-) )

Also dein eigener Router Fritz!Box 6660 müsstest Du mit dessen einzigem 2.5-GBit-Ethernetport mit dem (auch wieder einzigen) 2.5-GBit-Ethernetport der ConnectBox 3 verbinden. Der Port der Fritz!Box ist dort dann der “WAN”-Anschluss und alle anderen Fritz!Box-Ethernet-Ports sind “LAN” - die sind aber leider alle nur 1 GBit/s.

Die 2.5 GBit/2 kannst Du dennoch auslasten, sofern Du an drei LAN-Ports jeweils einen PC mit 1GBit/s anschliesst und auf allen drei einen Speedtest gleichzeitig durchführst. Dann wird jeder der drei PCs ca. ein Drittel von 2.5 GBit/s (also ca 800 MB/s) messen können

oli-h

EZS1234 Die Wahl zur 6660 verstehe ich nun wirklich nicht

Die 6660 ist neben DOCSIS-Modem auch noch SAT>IP Server - für bis zu 4 Streams gleichzeitig.
Kannst also z.B. via VLC die unverschlüsselten DVB-C Sender (TV und Radio) nutzen - oder z.B. mittels https://www.mythtv.org/ aufzeichnen ;-)

ebugigaconnect

@EZS1234

Vielen Dank für den Hinweis zur 7690. Das ist mal ne Richtung, die tatsächlich realisierbar ist.

Manchmal sieht man vor lauten Bäumen den Wald nicht mehr und ist für jeden Wink (auf mit dem Zaunpfahl) froh.

Dann mein ursprünglicher Plan via RJ45 (von der CB3) auf Koax an der 6660 wird nicht funktionieren. Technisch gesehen kann ein passiver Ethernet (RJ45) nicht auf Koax geleitet werden. So die Aussage seitens eins Netzwerk-Technikers.

Für mich ist das Thema somit abgeschlossen.

ebugigaconnect

@oli-h @EZS1234

Hier kurz eine Abschlussmeldung meines kleinen Projektes:

Ich habe mir also die Fritz!Box 7690 beschafft. Diese hat einen 2.5Gbit WAN/LAN Port (blau) sowie einen 2.5Gbit LAN-Port (gelb). Ausserdem besteht die Möglichkeit ein Wireguard-VPN einzurichten. Alles was ich brauche.

Gesten Abend ging es ans Werk:

CB3 in den Bridge Modus versetzt.
LAN von CB3 (2.5GBit-Port) an den WAN (2.5Gbit) der 7690
Fritz!Box eingeschaltet
warten
Nach kurzer Zeit und einigen Einstellungen lief alles wie gewünscht.

Aufgefallen ist mir:

via LAN kommen am PC rund 100Mbit mehr an als via CB3. Rund 2.3Gbit von den versprochenen 2.5Gbit.
via WLAN kommt nur etwa ¼ der Geschwindigkeit am Messpunkt an. Begründet damit, dass die CB3 mit 5Ghz den Messpunkt erreicht und die FritzBox lediglich mit 2.4Ghz. Konkret sind es rund 100MBit via FB gegenüber rund 400-500 via ConnectBox. Damit könnte ich leben.

Aber was gar nicht geht ist: Wireguard lässt sich nicht einrichten. Trotz DynDNS und korrekten Einstellungen an der FritzBox komme ich nicht durch die CB3 zum WG-Server der FritzBox!. (Ich betreibe andernorts eine FritzBox mit WG-Server, weiss wie WG auf der FB einzurichten ist.)

Gibt es allenfalls CB3 spezifische Einstellungen die an der FB gemacht werden müssen, von denen ich nichts weiss? Am anderen Standort wo ich die FritzBox 6850 5G mit WG betreibe nutze ich ein Swisscom Mobile Netz mit CCA Option, damit ich den NC-Server erreichen kann.

Wireguard auf der FritzBox ist jedoch das Ziel der ganzen Übung. Wenn das nicht möglich ist, dann nutzt mir die FritzBox nichts. Dann bleibe ich bei der ConnectBox als Hauptrouter (ohne Bridge) und lass den Pi mit WG-Server weiterhin daran laufen.

Was vermutlich auch gehen würde, wäre die DMZ Funktion. Aber so eine Routerkaskade ist auch nicht das Gelbe vom Ei.

oli-h

ebugigaconnect WLAN […] Konkret sind es rund 100MBit via Fritz!Box

Ja, da stimmt offensichtlich etwas nicht.
Ich betreibe eine Fritz!Box 6660 (ist also älter als deine 7690) an einer ConnectBox 2. ConnextBox 2 bietet mir “lediglich” 1 Gbit/s am Sunrise-Coax-Netz.
Dennoch erreicht ich locker 400-500 MBit/s via WiFi.

EZS1234

ebugigaconnect Aber was gar nicht geht ist: Wireguard lässt sich nicht einrichten. Trotz DynDNS und korrekten Einstellungen an der FritzBox komme ich nicht durch die CB3 zum WG-Server der FritzBox!. (Ich betreibe andernorts eine FritzBox mit WG-Server, weiss wie WG auf der FB einzurichten ist.)

Wenn die CB3 im Bridge Modus ist wird es nicht an dieser liegen und es ist dort keine spezielle Einstellung nötig. Das soll ja der Vorteil des Bridge Modus sein. Ausser du hast was verbastelt.

Mit DynDNS meinst du einen Service unter

Meiner Meinung nach ist keine Nutzung eines dieser DynDNS Services nötig für die Standard Nutzung von Wireguard per Fritzbox. An einem nicht funktionierenden DynDNS wird es also nicht liegen.

Wie hast du eine Wireguard Verbindung erstellt und am Client eingerichtet?
Über Internet -> Freigaben -> VPN (Wireguard) -> Verbindung hinzufügen -> Einzelgerät verbinden
Danach per QR-Code oder config Datei die Verbindung (ohne ein Anpassung) am Client eingerichtet?

Standardmässig verwendet wird der myfritz.net Dienst um die Fritzbox aus dem Internet zu erreichen.

oli-h

Das erste, was ich mal prüfen würde: Funktioniert dein DynDNS korrekt.
Dazu mal mit einem potenten DNS-Resolving-Tool (“dig” unter Linux) oder alternativ mit einem Online-DNS-Lookup-Dienst (z.B. https://www.nslookup.io/) deinen DynDNS-Eintrag prüfen.

Zudem kann ich dir mal anbieten, dass Du mir per PM (Private Nachricht hier im Forum) deinen DynDNS-Domainname nennst. Dann kann ich einen unabhängigen Blick drauf werfen. Dein Entscheid.

Und dann noch ein Blick auf den “Online-Monitor –> Verbindungsdetails” der Fritz!Box, ob da unter “Internet” wirklich “IPv4” steht.

ebugigaconnect

Danke für Eure Hilfestellungen

@EZS1234 Ich kann Dir bestätigen:

Der DynDNS funktioniert einwandfrei. Habe das entsprechend Deinem Link geprüft. Hab den Eintrag ausserdem zum testen mal auf eine Docker-Container-App geroutet. Funktioniert.
Ja, der “Online-Monitor” sagt “IPv4” / IPv6 ist deaktiviert.
Auf das Angebot der PN komme ich allenfalls zurück

@oli-h

Wenn ich mich mit dem iPhone direkt neben die FritzBox setze, werden 800-900 Mbit auf 5Ghz angezeigt. Sobald ich mich entferne - also z.Bsp. zum Wohnzimmertisch (1 Stock tiefer) bewege, wechselt die FritzBox auf 2.4Ghz und gibt nur noch um die 100Mbit an. Am selbigen Ort erreicht die CB3 mit 5Ghz noch um die 400-500Mbit. Die FB und die CB3 stehen auf dem selben Schrank. Die Werte sind Download. Im Upload stelle ich keinen Unterschied fest.

Mein Schluss daraus: entweder die FritzBox braucht noch etwas Zeit um die Kanäle zu sortieren, oder das 5Ghz Netz der FB ist eindeutig schlechter als jenes der CB.

Aber das mit der Geschwindigkeit ändert nichts daran, dass ich via WG-VPN nicht bis zur FB komme. Daran werde ich heute noch arbeiten, aber wenn das nichts wird, geht die FB zurück an den Absender. Ich habe in anderen Foren gelesen, dass die FB, was das WG-VPN betrifft, mit der Konstellation hinter einem anderen Router/Modem etwas Mühe hat - weil AVM offenbar den WG-Server speziell implementiert hat.

Nun ja, wir werden sehen….

EZS1234

ebugigaconnect @EZS1234 Ich kann Dir bestätigen:

habe zwar noch nichts Nachgefragt oder kommentiert, aber seis drum 😉

ebugigaconnect

EZS1234 ups… mein Fehler… tschuldigung… auch an @oli-h 😇

ebugigaconnect

EZS1234 Wenn die CB3 im Bridge Modus ist wird es nicht an dieser liegen und es ist dort keine spezielle Einstellung nötig. Das soll ja der Vorteil des Bridge Modus sein. Ausser du hast was verbastelt.

Das sehe ich auch so. Da ist gar nichts verbastelt.😉

EZS1234 Meiner Meinung nach ist keine Nutzung eines dieser DynDNS Services nötig für die Standard Nutzung von Wireguard per Fritzbox. An einem nicht funktionierenden DynDNS wird es also nicht liegen.

Da bin ich nicht ganz Deiner Meinung. Soweit ich in Erfahrung bringen konnte, soll via MyFritz und vorgehängtem Modem, Wireguard nicht funktionieren. Darum der DynDNS bei einem anderen Anbieter.

EZS1234 Wie hast du eine Wireguard Verbindung erstellt und am Client eingerichtet?
Über Internet -> Freigaben -> VPN (Wireguard) -> Verbindung hinzufügen -> Einzelgerät verbinden
Danach per QR-Code oder config Datei die Verbindung (ohne ein Anpassung) am Client eingerichtet?

Genau so.

EZS1234 Standardmässig verwendet wird der myfritz.net Dienst um die Fritzbox aus dem Internet zu erreichen.

Ja, aber eben nur dann, wenn der FritzBox nichts vorgehängt ist. Soweit meine Informationen. Aber wie gesagt… das prüfe ich noch nach.

Irgendwo habe ich gelesen, dass der Endpunkt bei den WG-Einstellungen - die standardmässig auf MyFritz lauten, auf die DynDNS geändert werden müssen um das Durchkommen zu gewährleisten. Es kann aber sein, dass das nur bei DMZ Einstellung gilt und dann zusätzlich auf der CB3 noch eine Portweiterleitung auf die FB gemacht werden müsste. Das ist vorerst aber nur Halbwissen - das prüfe ich noch. Bevor ich da was verbastle will ich sicher sein was ich mache. So von wegen Lerneffekt 😉

Vermutlich werde ich am späteren Nachmittag mal auf Feld 1 zurückgehen und komplett von vorne beginnen.

EZS1234

ebugigaconnect Irgendwo habe ich gelesen, dass der Endpunkt bei den WG-Einstellungen - die standardmässig auf MyFritz lauten, auf die DynDNS geändert werden müssen um das Durchkommen zu gewährleisten. Es kann aber sein, dass das nur bei DMZ Einstellung gilt und dann zusätzlich auf der CB3 noch eine Portweiterleitung auf die FB gemacht werden müsste. Das ist vorerst aber nur Halbwissen - das prüfe ich noch. Bevor ich da was verbastle will ich sicher sein was ich mache. So von wegen Lerneffekt 😉

Irgendwo? Hier in der Community?

CB3 Fibre (DMZ) - eine Fritzbox dahinter bekommt nicht die öffentliche IP sondern eine 192.168.x.x und darum kann myFritz und DynDNS er Fritzbox nicht funktionieren

CB3 HFC (im Bridge Modus) - eine Fritzbox dahinter bekommt die öffentliche IP und myFritz und DynDNS können korrekt auflösen.

Wenn du auf einem Client den QR Code oder die config Datei für die Wireguard Verbindung aus der Fritzbox ohne Änderung verwendest. So ist dort als Ziel aus dem Internet (siehe vorhergehendes Bild: Internet Adresse dieser Fritzbox) die myFritz Adresse eingetragen. Nur weill du einen zusätzlichen DynDNS Service auf der Fritzbox konfigurierst wird diese nicht automatisch in der Standard Wireguard Config verwendet.

Unter Internet -> MyFRITZ!-Konto siehst du deine MyFRITZ!-Adresse. Kopiere dir diese und teste sie mit der von @oli-h genannten Möglichkeit nslookup.io. Schauen ob die korrekt auflöst mit der IP welche dir die Fritzbox unter Internet -> Online-Monitor -> Internet, IPv4 -> IP-Adresse anzeigt.

ebugigaconnect

EZS1234 Irgendwo? Hier in der Community?

Nein nicht hier…

Die restlichen Tipps nehme ich gerne in die weitere Vorgehensweise mit… Danke

ebugigaconnect

EZS1234 Unter Internet -> MyFRITZ!-Konto siehst du deine MyFRITZ!-Adresse. Kopiere dir diese und teste sie mit der von @oli-h genannten Möglichkeit nslookup.io. Schauen ob die korrekt auflöst mit der IP welche dir die Fritzbox unter Internet -> Online-Monitor -> Internet, IPv4 -> IP-Adresse anzeigt.

Dies das Ergebnis:

Nächste Seite »