Fritz!Box per WireGuard mit Linux-WireGuard-Server verbinden und direktes Routing nutzen (ohne NAT)

Möchte man die Fritz!Box als Client zu einem bestehenden WireGuard-Server verbinden, muss man einen Trick nutzen, um nicht versehentlich internes NAT zu aktivieren. (Bei WireGuard wären alle Teilnehmer „Peers“, aber der Einfachheit halber benennen wir Client und Server hier spezifisch.)

Der Trick besteht darin, in der WireGuard-Konfiguration, welche man mit den entsprechenden Schlüsseln versieht und dann in der Fritz!Box hochläd, in der Einstellung [Interface] den Wert „Address“ auf die Fritz!Box-eigene Haupt-IP einzustellen.

Was erstmal komisch und abwegig klingt, denn wenn man ein bisschen in das Thema VPN und Netzwerk eingestiegen ist, wird man selten Geräte finden, die so eine Einstellung verlangen. In den meisten Fällen würde man für die Zwecke des VPN ein Transfer-Netz bereitstellen und dessen IPs für die Tunnelendpunkte verwenden. Tut man das mit der Fritz!Box, wird diese automatisch VPN-intern NAT aktivieren, was in den meisten Fällen von vertrauenswürdigen Site-to-Site VPN nicht gewünscht ist. Leider sind die individuellen Einstellungsmöglichkeiten der Fritz!Box sehr beschränkt, es ist eben ein Endanwendergerät.

Mit diesem Trick klappt es trotzdem:

[Interface]
PrivateKey = <Private-Key des Clients>
Address = 192.168.178.1/24

[Peer]
PublicKey = <Public-Key des Servers>
AllowedIPs = 192.168.188.0/24, 10.80.80.0/24
Endpoint = <IP oder DNS des WireGuard-Servers>:51820
PersistentKeepalive = 4

Der geneigte Anwender wird es schon sehen: Am Beispiel werden die Netze 10.80.80.0/24 sowie 192.168.188.0/24 durch das VPN geroutet. Die Route vom 192.168.188.0/24 in 192.168.178.0/24 sieht dann z. B. so aus:

  1     2 ms     1 ms     1 ms  fritz.box [192.168.188.1]
  2    21 ms    20 ms    20 ms  10.80.80.2
  3    44 ms    42 ms    42 ms  192.168.178.152
  4   179 ms    48 ms    48 ms  192.168.178.152

10.80.80.2 ist hierbei der WireGuard-Server, welcher als Router zwischen den internen Netzen fungiert. Kein NAT. Keine Portweiterleitung. Kein „DIFFERENT ADDRESS“.

Schreibt eure Erfahrungen und interessante Beiträge zum Thema in die Kommentare!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert