WireGuard VPN verbinding naar Fritz!box (Fritz OS beta 7.39)

@Mr. Freeze

AVm heeft vandaag een nieuwe beta uitgebracht voor 7530 waarin performance verbeteringen worden belooft voor Wireguard. Heb het zelf nog niet uitgeprobeerd.

Ik heb sinds gisterenavond ook deze nieuwe beta v.7.39 op m'n nieuwe 7530 gezet. Ik heb van ProtonVPN een Wireguard-profiel aangemaakt, gedownload en in de FritzBox weten te zetten. Mag ik aannemen dat nu alle devices in huis aangesloten, bedraad en via wifi nu over de vpn van Proton verbinding maken met het internet en deze apparaten nu het ip-adres van Protonvpn laten zien ipv. het ip-adres van KPN het modem heeft toegekend? Want als ik het ipadres op m'n laptop nu opvraag krijg ik nog steeds het ip-adres van KPN te zien ipv het ip-adres van de vpnserver.

Ik heb op m'n iPhone de WireGuard-app gedownload en hetzelfde wireguard-profiel geimporteerd en als ik nu via die app dus verbinding maak krijg ik wel het ip-adres van Protonvpn te zien...

Ik wil geen extra app's op de apparaten in huis maar wel dat ze allemaal via de vpn van Proton op de FritzBox gaan. Is dat wel mogelijk?

Mr. Freeze schreef op dinsdag 27 september 2022 @ 15:35:
@vj_slof Wat ik in dit topic deed vragen was om een vpn naar de Fritz!box toe, niet om de router naar buiten toe te verbinden via een vpn verbinding.

Wat jij wilt is mogelijk beschreven op deze pagina van AVM

https://nl.avm.de/service...ws-configureren-fritzvpn/

Het is juist die beschrijving die je noemt waar ik niks aan heb maar jij volgens mij dan weer wel. Ik heb wel ervaring met de procedure beschreven zoals op deze pagina maar kwam al snel tot de conclusie dat de vpn-verbinding van en naar de FritzBox op deze manier niet veel sneller gaat en kan dan 10 MB/s.

Wireguard is simpel.

Configureer je verbinding met je myfritz account.
gebruik de QR of config file om de app op je telefoon te configureren
Als deze is opgeslagen wijzig je het myfritzadres met het WAN adres van je modem.

Dit zou moeten werken bij glasvezel
Als je geen vast (WAN) IP adres hebt, dan heb je inderdaad dyndns of soortgelijke service nodig.

Je provider kan hier antwoord op geven.
Succes

[ Voor 23% gewijzigd door RWJvdB op 23-11-2022 00:59 ]

Er zijn twee manieren waarop je een VPN in de Fritzbox kunt gebruiken.
Als server en als client.
Als je vanaf het internet op je Lan wilt komen dan moet die Fritzbox als server geconfigureerd worden.
Als je vanaf je Lan naar een VPN server van ProtonVPN wilt, dan moet je de Fritzbox als VPN client configureren om zo met een VPN server van ProtonVPN een VPN tunnel op te zetten.

Maar wat is het nut om je devices via een VPN tunnel het internet op te laten gaan?
Als het verkeer de Proton VPN server verlaat gaat hij gewoon weer normaal verder het internet op om zijn bestemming te bereiken.
En als die bestemming een https server is, is al het verkeer toch al encrypted.

Werkt het bij iedereen nog naar behoren?

Ik had veel last van random internet disconnects (KPN Glasvezel, Fritzbox als router, geen experiabox). Alles maar opnieuw ingesteld, naar fabrieksinstellingen en laatste versie erop (zat op 7.29 nu op 7.50).

Als ik Wireguard wil instellen, dan krijg ik foutmelding:
"Er is een fout opgetreden bij het opvragen van het volgende beschikbare IP-adres voor de WireGuard®-remote site."

Vervolgens zie ik in de logs dat de internetverbinding kort is verbroken en opnieuw tot stand is gebracht.

Iemand anders dit probleem?

Wat wil je doen met die Wireguard VPN?
Gebruik je hem als Vpn server wilt gebruiken zodat je vanaf het internet met een Vpn connectie veilig op je Lan kunt komen?
Welke Vpn client gebruik je hier dan voor?

Of wil je hem als Vpn client gebruiken om via een Vpn server van een Vpn provider het internet op te gaan.
In het laatste geval wat is dan je Vpn provider?

Welke snelheid halen jullie via de vpn? En allicht een stomme vraag, maar hoe veilig is het? Ik zie dat het aanmaken van een vpn vanaf een client naar de router super simpel is. Staat de router nu altijd te "luisteren"? Of kun je zonder zorgen een vpn aanmaken?

Mr. Freeze schreef op vrijdag 16 december 2022 @ 18:01:
[...]


Nu op m’n werk WiFi haal ik 60MB/s up en down, niet verkeerd. Wat betreft veiligheid maak ik me geen zorgen, daar is Wireguard voor gemaakt lijkt me zo. En ja, een router staat nu altijd open voor je vpn verbinding maar daar is hij ook voor.

We zijn nu diverse bèta’s verder, wordt alleen maar beter, voor de 7590 is de final 7.50 er al.

Ik heb idd alle Labors gehad, en nu de stable. Heb een VPN aangemaakt, dat ging erg makkelijk en lijkt goed te werken.

M.b.t. dat dikgedrukte, als je dus wilt dat ie niet meer open staat moet je alle verbindingen weghalen? Het is jammer dat je niet de volledige VPN functionaliteit uit kunt schakelen.

Mr. Freeze schreef op zaterdag 17 december 2022 @ 08:51:
[...]


Vraagje uit nieuwsgierigheid als dat mag, maar waarom zou je die verbinding willen uitschakelen? Hij is enkel en alleen voor je betreffende apparaat, als je een tweede apparaat wilt verbinden via vpn moet je, zoals je zelf wel hebt gezien, een nieuwe verbinding aanmaken.

Ik heb het niet goed genoeg uitgelegd. Hoe ik het zie/denk dat het werkt: op de router draait nu WireGuard, welke continu aan het luisteren is of een van de clients (waarvoor je een verbinding hebt geconfigureerd) wilt verbinden. Maar stel nu dat ik die clients niet had geconfigureerd, had WireGuard dan ook al open gestaan naar het internet/staan luisteren? Oftewel, verklein ik het risico door de geconfigureerde verbindingen te verwijderen en daarmee WireGuard volledig uit te schakelen? Of maakt het niks uit en is het, onafhankelijk van wel of niet geconfigureerde verbindingen even (on)veilig?

Oftewel, ik ben eigenlijk op zoek naar hoe veilig het is, en of het niveau van veiligheid afhankelijk is van het wel of niet geconfigureerd hebben van verbindingen.

[ Voor 7% gewijzigd door zunrob op 17-12-2022 09:04 ]

zunrob schreef op zaterdag 17 december 2022 @ 09:03:
Oftewel, ik ben eigenlijk op zoek naar hoe veilig het is, en of het niveau van veiligheid afhankelijk is van het wel of niet geconfigureerd hebben van verbindingen.

Het is altijd verstandig om zo min mogelijk services bereikbaar te maken voor 'iedereen' op het internet. Doe je dat bijvoorbeeld met een NAS, dan weet je zeker dat je op den duur problemen krijgt.

Waar het bij de NAS misgaat is dat men perongeluk een account aanmaakt met een wachtwoord aanmaakt dat gemakkelijk te raden is. En als het dat niet is, dan blijkt keer op keer dat de softwareschrijvers van de NAS het niet zo nauw nemen met beveiliging: het is een kwestie van tijd tot er weer een lek is dat iedereen toegang geeft tot je NAS, wachtwoord of niet.

Daarom dus een VPN. Anders dan bij de NAS is bij noch OpenVPN, noch WireGuard alleen een wachtwoord voldoende om in te kunnen loggen: de kans dat iemand een wachtwoord raadt en zo toegang krijgt is precies nul.

Blijft nog over beveiligingslekken. Bij de NAS mag iedereen de webinterface bekijken, waarvan dan weer meermaals blijkt dat er toch een stukje code met een lek is dat iedereen zonder in te loggen kan gebruiken.

OpenVPN en WireGuard zijn zo gemaakt dat je écht alleen kunt inloggen: iets anders is er niet. Daarnaast is beveiliging het doel van het product in plaats van bijzaak. OpenVPN is een zeer veilig product, en WireGuard gaat nog wat stappen verder.

Maar stel nu dat ik die clients niet had geconfigureerd, had WireGuard dan ook al open gestaan naar het internet/staan luisteren?

Mogelijk. Je maakt bij WireGuard eerst de eigen interface aan (privesleutel genereren, poort instellen) en voegt daarna pas clients toe. Het ligt er maar net aan hoe de FritzBox naar hun interface vertaalt.

Oftewel, verklein ik het risico door de geconfigureerde verbindingen te verwijderen en daarmee WireGuard volledig uit te schakelen? Of maakt het niks uit en is het, onafhankelijk van wel of niet geconfigureerde verbindingen even (on)veilig?

Praktischer antwoord: WireGuard is geschreven met security als uitgangspunt en zou dus veilig moeten zijn mét clients. Dan is het ook minstens net zo veilig zonder clients.

Zo kun je bij WireGuard niet eens vaststellen of iemand WireGuard aan heeft gezet op z'n router: het reageert alleen op berichten van clients die de juiste cryptografische sleutel bezitten. Als je als uitgangspunt neemt dat de code veilig is, dan maakt WireGuard 'aan' (maar zonder clients) dus ook niets uit.

Ik heb Wireguard ingesteld op mijn Fritzbox 7590 en mijn pc, tablet en telefoon client gemaakt. Ik kan nu via internet een prima verbinding maken met mijn Fritzbox, maar heb daar nog een vraag over. Ik dacht altijd dat als je een VPN verbinding gebruikt, dat dan je ip nummer niet zichtbaar is voor de buitenwereld.
Als ik een test site gebruik, dan blijkt dat mijn ip nummer niet afgeschermd te zijn.
Hoe zit dat nou? Ik heb zeer oppervlakkige kennis van netwerken, excuus.

Ik probeer 2 Fritzboxen 7590 via Wireguard te verbinden. Maar helaas krijg ik een foutmelding dat de DNS naam van My Fritz niet omgezet kan worden.

Contact gehad met AVM support maar die weten het ook niet.
Aangegeven dat 1 Fritzbox ingesteld is met een backup file van een 7490.
Advies is om die Fritzbox schoon in te stellen vanaf fabrieksinstellingen. Maar dat wil ik uiteraard pas als allerlaatste proberen.

Iemand nog suggesties? Ik begrijp dat de Fritzbox zowel een server als cliënt kan zijn.
Ik heb ook een Raspberry Pi met PiHole en PiVPN, Wireguard variant.
Maar een config file van PiVPN wil de Fritzbox niet.
Terwijl als je de config file van PiVPN en de Fritzbox in een texfile vergelijkt zie ik wel grote overeenkomsten.

IK heb ook een wireguard VPN naar mijn Frits router (7590), en krijg prima een 'intern' IP adres. Maar ik kan dan alsnog niet naar interne services zoals bv HomeAssistant. Dat werkte voorheen wel prima met ipsec.

Moet ik nog iets anders dan?