Nach langer Testphase hat AVM sein FRITZ!OS 7.50 am 01. Dezember 2022 veröffentlicht. Zu den zahlreichen Neuerungen zählt die Integration des VPN-Protokolls WireGuard.
Bei einem unserer wenigen Kunden die eine FRITZ!Box, in diesem Fall das Modell 7590, verwenden sollte nun WireGuard zum Einsatz kommen. Schon direkt beim ersten Dialog kommt eine gewisse Ernüchterung auf:
Es wird zwingend entweder ein MyFRITZ!-Konto oder alternativ ein anderer DynDNS (DDNS)-Anbieter benötigt. Das geht für private Anwender und kleine Firmen völlig in Ordnung. Im konkreten Beispiel wäre das allerdings nicht notwendig, da der Kunde über eine feste öffentliche IP-Adresse verfügt und (wenn es denn unbedingt ein FQDN sein soll) zudem ein entsprechender DNS-Eintrag ebenfalls vorhanden ist.
Gezwungenermaßen wurde bei spDYN ein Host angelegt und gemäß Wiki in der “Fritte” hinterlegt damit man mit der Einrichtung fortfahren konnte. Diese ist gewohnt sehr einfach gehalten, am Ende kann man die Konfiguration unter anderem abspeichern, was hier getan wurde.
Schaut man sich die “wg_config.conf” an stellt man fest das alle DNS-Abfragen und der gesamte Datenverkehr durch das VPN gehen. Das kann gewünscht sein oder auch nicht. Wenn man das nicht möchte, kann man die entsprechenden Zeilen ändern (gilt z.B. für “AllowedIPs =”, löschen oder mit einer “#” auskommentieren.
Bei der Zeile “Endpoint = ” kann man, wie hier gewünscht, den DynDNS-Eintrag durch eine feste öffentliche IP-Adresse ersetzen.
Update 09.12.2022
Kleiner Nachtrag:
Wer WireGuard aus der Ferne über das alte VPN oder direktem FRITZ!Box Web-Interface-Zugriff einrichtet “fliegt” dabei raus. Die neue Verbindung wird zwar angelegt, aber da man den letzten Dialog mit der Scan- und Download-Möglichkeit nicht mehr zu sehen bekommt, hat man keinen privaten Schlüssel oder eine Konfigurationsdatei mit dessen Hilfe man auf seinem Endgerät die WireGuard-Verbindung einrichten könnte.
Offenbar wählt sich die FRITZ!Box neu ins das Internet ein, wenn man eine neue WireGuard-Verbindung anlegt. Nötig wäre das nicht, andere VPN-Router machen das nicht.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Moin Andy,
habe gerade die beta 7.51 auf meiner Arbeitsplatz-Fritzbox (7490) installiert und den Zwang für ein MyFRITZ!-Konto bei der Wireguard-Einrichtung auch durchlaufen. Da ich hier ebenfalls eine feste öffentliche ip-Adresse habe unnötig erscheinend, wie du ja auch geschrieben hast.
Werde erstmal probieren ob das VPN mit Wireguard klappt, dann auch mal das MyFRITZ!-Konto deaktivieren und ggf. auch wieder löschen und hoffen, das der Wireguard-Zugang in der fritzbox trotzdem erhalten bleibt.
Hast du bei deinem Kunden das deaktivieren / löschen vom MyFRITZ!-Konto auch probiert oder einfach das MyFRITZ!-Konto aktiv belassen und in der wg-config auf die feste IP-Adresse umgestellt?
Liebe Grüße
Hallo Hans,
wir nutzen überhaupt keine MyFritz-Konten, sondern nur spDYN als DynDNS/DDNS-Anbieter.
Ein Deaktivieren nach der WireGuard-Einrichtung hab’ ich bislang nicht getestet.
Falls relevant für einen Leser hier:
Nach Einrichtung von VPN-Wireguard kann das dafür ja zwingend anzulegende MyFRITZ!-Konto (bzw. die DynDNS-Einrichtung) wieder deaktiviert werden. Auch die FritzBox aus dem MyFRITZ!-Konto ganz zu löschen geht (natürlich nur machen, wenn für WG eine feste öffentliche IP vorhanden und verwendet wird).
Der Wireguard-Fernzugriff bleibt trotz deaktivierten/gelöschten MyFRITZ!-Konto in der Fritzbox erhalten und ist aktiv!
Nachteil: Der Tab unter Freigaben -> VPN (Wireguard) steht dann wieder auf Neukonfiguartion mit MyFRITZ!-Konto Einrichtung, man kommt also nicht mehr an die bestehende WG-Konfiguration heran oder kann eine neue anlegen (ohne wieder das MyFritz!-Konto zu reaktivieren).
Ich verstehe das nicht warum zwingend ein MyFritz! Konto notwendig ist um eine feste Verbindung zu einem VPN Anbieter herzustellen. Da bleibt mir nichts als der Verdacht, dass doch eben schnell noch bei der Einrichtung die VPN Schlüssel auf den AVM Server geladen werden sollen. Und dass man somit ausgespäht wird.
Bitte bitte erklärt mir das das nicht sein kann.
Danke
Mir kommt das sehr dubios vor dass ein MyFritz! Account notwendig ist um eine Verbindung zu einem VPN Anbieter herzustellen. Werden da vielleicht die keys ausgetauscht?
Offenbar liegt hier ein Missverständnis vor: Im Beitrag geht es um eingehende WireGuard-VPN-Verbindungen zur Fritz!Box hin und nicht um ausgehende Verbindungen.
Wenn die Fritte eine VPN-Verbindung zu einem Anbieter oder Server herstellen muss, wird vermutlich kein Konto bzw. DDNS benötigt. Hab’ das (ausgehend) nicht getestet, daher kann ich dazu nichts weiter sagen.
Das hatte ich bislang nicht, das der Endpoint fehlt.