AVM FRITZ!Box bzw. FRITZ!OS 7.50 und WireGuard – MyFritz! oder DynDNS notwendig

Nach langer Testphase hat AVM sein FRITZ!OS 7.50 am 01. Dezember 2022 veröffentlicht. Zu den zahlreichen Neuerungen zählt die Integration des VPN-Protokolls WireGuard.

Bei einem unserer wenigen Kunden die eine FRITZ!Box, in diesem Fall das Modell 7590, verwenden sollte nun WireGuard zum Einsatz kommen. Schon direkt beim ersten Dialog kommt eine gewisse Ernüchterung auf:

Es wird zwingend entweder ein MyFRITZ!-Konto oder alternativ ein anderer DynDNS (DDNS)-Anbieter benötigt. Das geht für private Anwender und kleine Firmen völlig in Ordnung. Im konkreten Beispiel wäre das allerdings nicht notwendig, da der Kunde über eine feste öffentliche IP-Adresse verfügt und (wenn es denn unbedingt ein FQDN sein soll) zudem ein entsprechender DNS-Eintrag ebenfalls vorhanden ist.

Gezwungenermaßen wurde bei spDYN ein Host angelegt und gemäß Wiki in der “Fritte” hinterlegt damit man mit der Einrichtung fortfahren konnte. Diese ist gewohnt sehr einfach gehalten, am Ende kann man die Konfiguration unter anderem abspeichern, was hier getan wurde.

Schaut man sich die “wg_config.conf” an stellt man fest das alle DNS-Abfragen und der gesamte Datenverkehr durch das VPN gehen. Das kann gewünscht sein oder auch nicht. Wenn man das nicht möchte, kann man die entsprechenden Zeilen ändern (gilt z.B. für “AllowedIPs =”, löschen oder mit einer “#” auskommentieren.

Bei der Zeile “Endpoint = ” kann man, wie hier gewünscht, den DynDNS-Eintrag durch eine feste öffentliche IP-Adresse ersetzen.

Update 09.12.2022

Kleiner Nachtrag:

Wer WireGuard aus der Ferne über das alte VPN oder direktem FRITZ!Box Web-Interface-Zugriff einrichtet “fliegt” dabei raus. Die neue Verbindung wird zwar angelegt, aber da man den letzten Dialog mit der Scan- und Download-Möglichkeit nicht mehr zu sehen bekommt, hat man keinen privaten Schlüssel oder eine Konfigurationsdatei mit dessen Hilfe man auf seinem Endgerät die WireGuard-Verbindung einrichten könnte.

Offenbar wählt sich die FRITZ!Box neu ins das Internet ein, wenn man eine neue WireGuard-Verbindung anlegt. Nötig wäre das nicht, andere VPN-Router machen das nicht.

7 Kommentare

  1. Hans Klaushagen

    Moin Andy,
    habe gerade die beta 7.51 auf meiner Arbeitsplatz-Fritzbox (7490) installiert und den Zwang für ein MyFRITZ!-Konto bei der Wireguard-Einrichtung auch durchlaufen. Da ich hier ebenfalls eine feste öffentliche ip-Adresse habe unnötig erscheinend, wie du ja auch geschrieben hast.

    Werde erstmal probieren ob das VPN mit Wireguard klappt, dann auch mal das MyFRITZ!-Konto deaktivieren und ggf. auch wieder löschen und hoffen, das der Wireguard-Zugang in der fritzbox trotzdem erhalten bleibt.

    Hast du bei deinem Kunden das deaktivieren / löschen vom MyFRITZ!-Konto auch probiert oder einfach das MyFRITZ!-Konto aktiv belassen und in der wg-config auf die feste IP-Adresse umgestellt?

    Liebe Grüße

  2. Andy

    Hallo Hans,

    wir nutzen überhaupt keine MyFritz-Konten, sondern nur spDYN als DynDNS/DDNS-Anbieter.
    Ein Deaktivieren nach der WireGuard-Einrichtung hab’ ich bislang nicht getestet.

  3. Hans Klaushagen

    Falls relevant für einen Leser hier:
    Nach Einrichtung von VPN-Wireguard kann das dafür ja zwingend anzulegende MyFRITZ!-Konto (bzw. die DynDNS-Einrichtung) wieder deaktiviert werden. Auch die FritzBox aus dem MyFRITZ!-Konto ganz zu löschen geht (natürlich nur machen, wenn für WG eine feste öffentliche IP vorhanden und verwendet wird).

    Der Wireguard-Fernzugriff bleibt trotz deaktivierten/gelöschten MyFRITZ!-Konto in der Fritzbox erhalten und ist aktiv!

    Nachteil: Der Tab unter Freigaben -> VPN (Wireguard) steht dann wieder auf Neukonfiguartion mit MyFRITZ!-Konto Einrichtung, man kommt also nicht mehr an die bestehende WG-Konfiguration heran oder kann eine neue anlegen (ohne wieder das MyFritz!-Konto zu reaktivieren).

  4. DerFerderer

    Ich verstehe das nicht warum zwingend ein MyFritz! Konto notwendig ist um eine feste Verbindung zu einem VPN Anbieter herzustellen. Da bleibt mir nichts als der Verdacht, dass doch eben schnell noch bei der Einrichtung die VPN Schlüssel auf den AVM Server geladen werden sollen. Und dass man somit ausgespäht wird.
    Bitte bitte erklärt mir das das nicht sein kann.
    Danke

  5. DerBerserker

    Mir kommt das sehr dubios vor dass ein MyFritz! Account notwendig ist um eine Verbindung zu einem VPN Anbieter herzustellen. Werden da vielleicht die keys ausgetauscht?

  6. Andy

    Offenbar liegt hier ein Missverständnis vor: Im Beitrag geht es um eingehende WireGuard-VPN-Verbindungen zur Fritz!Box hin und nicht um ausgehende Verbindungen.
    Wenn die Fritte eine VPN-Verbindung zu einem Anbieter oder Server herstellen muss, wird vermutlich kein Konto bzw. DDNS benötigt. Hab’ das (ausgehend) nicht getestet, daher kann ich dazu nichts weiter sagen.

  7. Andy

    Das hatte ich bislang nicht, das der Endpoint fehlt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑