Wechseln zu:Navigation, Suche
Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























































































De.png
En.png
Fr.png








Site-to-Site-Verbindung einer UTM mit einer Fritz!Box mit WireGuard
Letzte Anpassung: 09.2023
Neu:
Zuletzt aktualisiert: 
    12.2023
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Authentifizierung →Schlüssel → VPN →WireGuard





  • Hinweis
    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.

  • Einleitung

    Einleitung

    Dieses HowTo beschreibt die Konfiguration einer WireGuard Site-to-Site VPN-Verbindung einer Securepoint UTM mit einer Fritz!Box.


    Schlüssel hinzufügen

    Schlüssel hinzufügen

    Damit eine Kommunikation zwischen der UTM und der Fritz!Box möglich ist, sind folgende Schlüssel notwendig:

    • Schlüssel vom Typ x25519 für die UTM
    • x25519 Schlüssel für die Fritz!Box

    Von beiden Schlüsseln wird der öffentliche und der private Teil benötigt.

    Schlüssel hinzufügen
    Schlüsselverwaltung öffnen unter → Authentifizierung →Schlüssel und mit der Schaltfläche Schlüssel hinzufügen den Dialog öffnen
    Beschriftung Wert Beschreibung UTM v12.4 Schlüssel.png
    Name: x25519_a.vpn Eindeutigen Namen vergeben
    Hier der Schlüsselname für die UTM
    Typ: X25519 Als Typ X25519 auswählen
    Dialog mit der Schaltfläche Speichern schließen.
    Fritz!Box-Schlüssel
    Den oben beschriebenen Vorgang für einen Schlüssel mit dem Namen x25519_fritzbox-1 wiederholen.
    • Den öffentlichen und privaten Teil des Schlüssel für die Fritz!Box x25519_fritzbox-1 im .raw-Format exportieren
      Zur Einstellung des Exportformats siehe Wiki-Artikel Schlüssel.
    • Den Schlüssel x25519_fritzbox-1 auf der UTM anschließend löschen
    UTM v12.5.1 Schlüssel Fritzbox-öffentlich.png
    Der fertige Zustand beider Schlüssel
    Auf die Schaltfläche Schlüssel importieren klicken und den öffentlichen Teil des Fritz!Box-Schlüssels importieren.

    WireGuard-Verbindung hinzufügen

    WireGuard-Verbindung hinzufügen

    WireGuard-Konfiguration an der UTM

    WireGuard-Konfiguration an der UTM

    Unter → VPN →WireGuard auf die Schaltfläche WireGuard Verbindung hinzufügen klicken

    Schritt 1 - SchnittstelleSchritt 1 - Schnittstelle
    Beschriftung Wert Beschreibung UTM 12.4.2 VPN Wireguard Schritt1.png
    WireGuard Assistent - Schritt 1
    Schnittstelle: wg0 Name der Schnittstelle, die für die Verbindung angelegt wird (automatische Vorgabe, kann nicht geändert werden)
    Name: wg_s2s_fritzbox Eindeutiger Name für die Verbindung
    IPv4 Adresse: 10.0.0.1/24 IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes der UTM
    IPv6 Adresse: fd00:0:0:0::1/64 IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes der UTM (optional)
    Listening Port: 51820Link= Default-Port für WireGuard Verbindungen
    Privater Schlüssel: x25519_a.vpn Privater Schlüssel im Format x25519.
    Es sind nur solche Schlüssel auswählbar, die auch über einen privaten Schlüsselteil verfügen.
    Servernetzwerke global freigeben:     Zusätzliche Netzwerke für die (lokale) Serverseite, auf die der WireGuard-Tunnel der Peers zugreifen können
    Schritt 2 - Peer Schritt 2 - Peer
    Verwende AD Benutzer als Peers: Aus Die Verwendung An von AD Benutzern als Peer wird dann empfohlen, wenn diese mit einem AD/LDAP-Server vebunden sind und diese die richtigen Attributseinstellungen vorweisen. Weiterhin muss eine Benutzergruppe auf der UTM mit einer Benutzergruppe im AD/LDAP verknüpft sein und diese die WireGuard-Berechtigung besitzen.
    Weitere Informationen sind im Wiki-Artikel AD/LDAP-Anbindung zu finden.
    UTM 12.5.1 VPN Wireguard Schritt2.png
    WireGuard Assistent - Schritt 2
    Name: wg_peer_fritzbox-1 Bezeichnung der Gegenstelle für die Fritz!Box
    Erlaubte IPs: »192.168.100.0/24 Das interne Netz der Fritz!Box, auf das zugegriffen werden soll
    Endpunkt: d-vpn.spdns.org Öffentliche DNS auflösbarer FQDN der Fritz!Box
    Endpunkt Port: 51820Link= Der Listening Port der Fritz!Box
    Öffentlicher Schlüssel: x25519_fritzbox-1_pub_b64 Den öffentlichen Schlüsselteil der Fritz!Box auswählen
  • Öffentlicher Schlüssel vorhanden, aber nicht auswählbar?
    Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface nocht keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird.
    Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.
  • Pre-Shared Key: …8DmBioPyPNqZ7Rk= Pre-Shared Key zur weiteren Absicherung der Verbindung
    Erzeugt einen sehr starken Pre-Shared Key
  • Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!
  • Kopiert den PSK in die Zwischenablage
    Keepalive: Aus Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. Ein Die Aktivierung wird empfohlen.
    25Link= Sekunden Abstand in Sekunden, in dem ein Signal gesendet wird
    Schritt 3 - AllgemeinSchritt 3 - Allgemein
    Routen zu den Netzwerken des Peers erstellen: Nein Aktivierung Ein wird empfohlen.
    Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 2 unter Erlaubte IPs eingetragen wurden mit der Schnittstelle als Gateway, die in Schritt 1 angezeigt wurde.
    UTM 12.4.2 VPN Wireguard Schritt3.png
    WireGuard Assistent - Schritt 3
    Zonen erstellen: Ja Erzeugt eine neue Zone für die WireGuard Schnittstelle
    Zonenname: wireguard-wg0-1 Einen Namen für die Zone eintragen
    Netzwerkobjekte für den Peer erstellen: Ja
    »wg_peer_fritzbox-1-0
    Erzeugt bei Aktivierung Ja Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
    Regeln zwischen dem Peer und internal-networks erstellen: Nein Erzeugt bei Aktivierung Ja autogenerierte Regeln, die die Inbetriebnahme erleichtern. notempty
    Diese Regeln müssen unbedingt durch eigene Regeln, die nur notwendige Dienste mit notwendigen Netzwerkobjekten erlauben, ersetzt werden.
    Mit der Schaltfläche Fertig werden die Einstellungen übernommen.
    Anschließend wird über die Schaltfläche Neustart der WireGuard-Dienst neu gestartet.
    Die UTM wird nicht neu gestartet.

    WireGuard-Konfiguration an der Fritz!Box

    WireGuard-Konfiguration an der Fritz!Box
    Schritt 1 - Öffentlicher Schlüssel Schritt 1 - Öffentlicher Schlüssel

    Den öffentlichen Teil des Schlüssels der UTM x25519_a.vpn im .raw-Format exportieren.

    Schritt 2 - Konfigurationsdatei erstellen Schritt 2 - Konfigurationsdatei erstellen

    Eine Konfigurationsdatei mit folgendem Inhalt wird erstellt. Dazu wird eine Datei in einem beliebigem Editor geöffnet.

    [Interface]
    PrivateKey = $PRIVATE_KEY_FRITZBOX
    ListenPort = $LISTENPORT_WIREGUARD_FRITZBOX
    Address = $LOCAL_IP_FRITZBOX/$NETMASK
    
    [Peer] PublicKey = $PUBLIC_KEY_UTM PresharedKey = $PRESHAREDKEY AllowedIPs = $NETWORK_FRITZBOX/$NETMASK Endpoint = $HOSTNAME_UTM:$LISTENPORT_WIREGUARD_UTM PersistentKeepalive = 1


    Beschriftung Wert Beschreibung FRITZ!Box-7590 VPN WireGuard Konfigurationsdatei.png
    Beispiel solch einer Konfigurationsdatei
    PrivateKey = $PRIVATE_KEY_FRITZBOX Private Key aus dem heruntergeladenem Schlüssel eintragen
    ListenPort = $LISTENPORT_WIREGUARD_FRITZBOX ListenPort der Fritz!Box eintragen
    Im Beispiel 51378
    Address =
    $LOCAL_IP_FRITZBOX/$NETMASK Statische IP-Adresse der Fritz!Box im internem Netzwerk mit Netzmaske eintragen
    Im Beispiel 192.168.100.1/24
    PublicKey = $PUBLIC_KEY_UTM Den heruntergeladenem public Key der UTM eintragen
    PresharedKey = $PRESHAREDKEY Den preshared Key der UTM eintragen
    AllowedIPs =
    $NETWORK_FRITZBOX/$NETMASK Interne Netzwerk der Fritz!Box eintragen
    Im Beispiel 192.168.100.0/24 (aus Schritt 2 - Peer)
    Endpoint = $HOSTNAME_UTM:$LISTENPORT_WIREGUARD_UTM Hostname der UTM und Endpoint der UTM (aus Schritt 1 - Schnittstelle) eintragen. Beides durch einen Doppelpunkt trennen.
    PersistentKeepalive = 1 Abstand in Sekunden, in dem ein Signal gesendet wird (aus Schritt 2 - Peer)
    Im Beispiel 25
    Schritt 3 - Konfigurationsdatei hochladenSchritt 3 - Konfigurationsdatei hochladen

    Im Interface der Fritz!Box anmelden und unter InternetFreigaben→ Reiter VPN (WireGuard) wechseln.
    Dort auf Verbindung hinzufügen klicken.

    FRITZ!Box-7590 VPN Wireguard Schritt1.png
    Abb.1
    Im neuem Fenster auf  Benutzerdefinierte Einrichtung klicken und dann auf Weiter >.
    FRITZ!Box-7590 VPN Wireguard Schritt2.png
    Abb.2
    Bei der Frage unter Benutzerdefinierte Einstellungen festlegen auf  Ja klicken und anschließend auf Weiter >.
    FRITZ!Box-7590 VPN Wireguard Schritt3.png
    Abb.3
    Bei Name der WireGuard-Verbindung einen Namen eintragen und über Durchsuchen... die erstellte Konfiguationsdatei auswählen. Dann auf Fertigstellen klicken.













    Nach dem automatischem Wechsel auf den Dialog VPN (WireGuard) wird auf Aktualisieren geklickt und die WireGuard-Verbindung ist aktiv.
    Sollte unter anderem beim Hochladen der Konfigurationsdatei ein Fehler auftreten, wird unter SystemEreignisse die entsprechende Fehlermeldung angezeigt.


    Troubleshooting beim Port nach Import der Konfigurationsdatei

    Troubleshooting beim Port nach Import der Konfigurationsdatei

    Beim Import der Konfigurationsdatei kann es vorkommen, dass die Fritz!Box den eingetragenen Port ignoriert und einen eigenen Port selbstständig vergibt.

    • In InternetFreigaben→ Reiter VPN (WireGuard) wird über die Schaltfläche Bearbeiten der Konfigurationsdialog der entsprechenden WireGuard-Verbindung geöffnet
    • Im Abschnitt Verwendete Internet-Adresse der Gegenstelle und Ihrer Fritz!Box kann nachgelesen werden, welcher Endport (nach dem Doppelpunkt) genutzt wird
    • Wurde dieser Port verändert, diesen dann als Listening-Port in der WireGuard-Verbindung der UTM eintragen