Versucht man mithilfe einer FRITZ!Box ein WireGuard-VPN (die FRITZ!Box ist der Server) einzurichten, geht das ansich recht einfach. Zugriffe wie per HTTP sind dann vom VPN-Client zum Netzwerk der FRITZ!Box ohne Einschränkungen möglich.
Anders sieht das bei Windows-Freigaben aus. Zum einen werden diese nicht automatisch erkannt, zum anderen ist selbst bei manueller Eingabe der Zieladresse keine Verbindung möglich. Aus dem lokalen Netz hingegen schon.
Im Internet und ChatGPT wird schlicht auf die Aktivierung einer Option „NetBIOS“ in den VPN-Einstellungen der FRITZ!Box verwiesen. Richtet man das VPN allerdings normal über den Assistenten in der FRITZ!Box als „Client“ ein, erscheint eine derartige Option gar nicht. Man sucht während und auch nach der Erstellung der Client-Konfiguration vergebens nach dieser Einstellung.
Weil es sie nicht gibt (FRITZ!Box 7590, Firmware 8.20). Stattdessen bekommt man die besagte Einstellung nur, wenn man im Assistenten auswählt, ein Site-to-Site VPN zu erstellen „Netzwerke koppeln“ und im späteren Verlauf nicht „Einzelgerät“ sondern „WireGuard-fähiger Router“ auswählt.
Der korrekte Pfad im Assistenten wäre demnach aktuell:
„Netzwerke koppeln“ -> „Nein“ -> „Nein“ -> „WireGuard-fähiger Router“ -> Name eingeben -> DNS-Domain „fritz.box“ (oder andere) -> Entferntes IPv4-Netzwerk „192.168.7.0/30“, Subnetzmaske „255.255.255.252“, Entfernte IPv6-Adresse „leer“ oder ein zufälliges, lokales Prefix -> Weitere Einstellungen treffen „NetBIOS über diese Verbindung zulassen“, ggf. weitere -> Bestätigen per Authenticator, Telefon oder Button auf der FRITZ!Box -> Konfiguration herunterladen
Als entferntes IPv4-Netzwerk wähle ich immer ein Netzwerk, welches nicht in den internen IP-Bereich der FRITZ!Box fällt und möglichst klein gehalten ist, jedoch genug Adressen hat um genau einen Client zu beherbergen. Ein /30 Subnetz ist hier genau richtig, da der WireGuard-Client hier genügend Adressen für Netzadresse, Broadcast und einen Client (eigentlich zwei) hat.
Die Einstellung ist in der Form deshalb nötig, weil beim herkömmlichen WireGuard-Client in der FRITZ!Box sonst keine Option für NetBIOS existierte. Würde AVM hier nachbessern und die Option für einfache Clients zur Auswahl stellen, wäre der Prozess insbesondere für Anfänger um einiges simpler und verständlicher. Der technische Hintergrund warum eine FRITZ!Box NetBIOS nur zur Auswahl stellt, wenn ein Site-to-Site VPN eingerichtet wird, ist mir nicht bekannt.
Wir missbrauchen im Grunde die Site-to-Site VPN-Einstellung um ein Client-to-Site VPN zu realisieren. Selbstverständlich könnten wir nun im späteren Verlauf mit den entsprechenden Netzwerkmodifikationen unseren VPN-Client für seine „Site“ als Gateway nutzen um ein „echtes“ Site-to-Site VPN herzustellen.