VPN-Einrichtungsfragen zum Fritzbox OS 7.56

tospert · 03.08.2023, 16:59

Hallo,

ich möchte ein VPN zur heimischen Fritzbox für ein Smartphone erstellen.
Ich nutze die FB 7590 mit OS-Version 7.56.
Cane hat im Privacy-Handbuch eine Anleitung zur Einrichtung eines VPNs in der Fritzbox bereit gestellt.
Leider hat sich – wohl im Zuge des Betriebsystemupdates für die Fritzbox – die Oberfläche geändert und macht es zumindest mir deutlich komplizierter.
Es sieht für mich so aus, dass AVM jetzt praktisch zur Erstellung eines MyfFritz Kontos zwingt, was ich aber nicht möchte. Denn ich benötige
1. keine Pushmails und 2. finde ich es bedenklich, dass die Registrierung des Kontos nach Erhalt des Bestätigungslinks nur über das Lösen eines Googlecaptchas möglich ist.

Alternativ habe ich mich bei dem von Cane ebenfalls im Handbuch empfohlenen DynDNS Anbieter desc.io angemeldet und die erhaltenen Daten gemäß Anleitung von DESEC in die WebGui der Fritzbox unter dem Reiter DynDNS eingetragen.
Dann dachte ich, dass man damit dann eine Wireguard-Verbindung erstellen könne. Die angebotene Datei im Wireguardreiter der Fritzbox schließlich habe ich herunter geladen und in der Wireguard App auf dem Androidsmartphone installiert, erhalte aber keine Verbindung.
Im Protokoll der App wird u.a. ein Handshakefehler angezeigt.
Vielleicht unterliege ich irgendwo einem Denkfehler. Allerdings lassen m.E.'s die Formulierungen in Anleitungen zur VPN-Erstellung von AVM darauf schließen, dass inzwischen auch bei Nutzung eines anderen DynDNS Anbieters ein MyFritzkonto zwingende Voraussetzung sein könnte.
Oder verstehe ich das falsch?

Meine Frage mangels Vorerfahrung:
Wie kann ich hier weiter kommen, um ein VPN zur eigenen Fritzbox zu erstellen, vermutlich ja am einfachsten mit dem Wireguardprotokoll und unter Vermeidung der Registrierung eines MyFritzkontos und zudem möglichst mit den Daten von desec.io?
Kann mir bitte jemand weiter helfen?
Vielen Dank im Voraus.

nomain · 03.08.2023, 17:46

Hast du die offizielle Anleitung gesehen?
VPN mit FRITZ! Wissensdokument #3448 FRITZ!Box 7590

tospert · 04.08.2023, 12:07

Ja, habe ich!
Z.B. u.a.:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3684_WireGuard-VPN-zur-FRITZ-Box-am-Smartphone-oder-Tablet-einrichten/
Hilft mir aber nicht weiter. Der Weg geht offensichtlich nur immer über eine Registrierung bei
MYFritz. Zumindest kann ich nicht erkennen, wie es ohne diese gehen könnte.
Das war meine Frage.Ich dachte,ich sollte dies etwas ausführlicher beschreiben,um es verständlicher zu machen. Und es scheint, dass eben mit dem Update des FritzOS auf V. 7.56 dies nochmal geändert wurde.
Die WebGUI sieht anders aus als in den meisten Anleitungen, die man im Web findet.

nomain · 04.08.2023, 19:41

Zitat von: tospert am 04.08.2023, 12:07Der Weg geht offensichtlich nur immer über eine Registrierung bei MYFritz.

Theoretisch geht jeder andere VPN Dienst auch. Irgendwas mit DYNDNS. Ich kratze nur an der Oberfläche.

Edit:

ZitatDynamisches DNS oder DDNS ist eine Technik, um Domains im Domain Name System (DNS) dynamisch zu aktualisieren. Der Zweck ist, dass ein Computer (bspw. ein PC oder ein Router) nach dem Wechsel seiner IP-Adresse automatisch und schnell den dazugehörigen Domaineintrag ändert. So ist der Rechner immer unter demselben Domainnamen erreichbar, auch wenn die aktuelle IP-Adresse für den Nutzer unbekannt ist.

https://ddnss.de/

Edit2:
Ich glaube was ich geschrieben habe, kennst du alles schon.
Wir brauchen einen Profi. cane !

kane · 05.08.2023, 12:23

Auszug aus den Release Notes von Fritz!OS v. 7.56:

ZitatFür eine sinnvolle Erreichbarkeit Ihrer FRITZ!Box über WireGuard VPN benötigen Sie eine MyFRITZ!-Adresse (durch Registrierung Ihrer FRITZ!Box bei MyFRITZ!Net) oder eine DynDNS-Adresse eines Drittanbieters für Ihre FRITZ!Box.

Sollte also weiterhin mit einem Drittanbieter gehen. Das neue GUI von Fritz!OS habe ich aber noch nicht gesehen.

Könnte auch sein, dass es an der Internetadresse liegt. Die Fritz!Box muss eine öffentliche IP Adresse bekommen haben. Die externe IP Adresse darf NICHT aus dem Bereich 100.64.0.0 - 100.127.255.255 (Carrier-grade NAT) oder 192.0.0.0 - 192.0.0.7 (DS-Lite-Tunnel) sein. Damit kann man kein VPN aufbauen.

Die externe IP Adresse findet man im im Menü "Internet" unter "Online-Monitor".

duda · 05.08.2023, 21:29

Zitat von: kane am 05.08.2023, 12:23Auszug aus den ...

Nutzerfreundlicher (besser) ist die alternative Informationsquelle:
https://download.avm.de/fritzbox/fritzbox-7590/deutschland/fritz.os/info_de.txt

tospert · 08.08.2023, 12:13

Vielen Dank an alle für die Antworten!
Nachfolgend ein paar Beobachtungen:

1.
Wie schon geschrieben scheinen die Fritzboxoberflächen mit FritzOS Version 7.56. unterschiedlich
zu sein. Leider habe ich keinen direkten Vergleich zu einer anderen 7590, aber offensichtlich sieht es bei z.B. einer 7490 so aus, wie von Cane auf privacy-handbuch.de oder auch an anderen Stellen im Web beschrieben.D.h.ja sonst,dass man, anders als auf der 7590 Oberfläche hier,lediglich für MyFritz!seine seine Mailadresse angeben muss, um unter dem Wireguard Tab ein VPN anlegen zu können - fertig.
Hier aber muss ich mich für MyFritz! zwingend registrieren, wenn ich keinen DynDNS-Anbieter geschaltet habe,zunächst auch durch Angabe meiner Mailadresse.
Dann werde ich jedoch mit einem zugesandten Registrierungslink aufgefordert, eine Kontoregistrierung unter myfritz.net durchzuführen – u.a. Anlage eines Passwortes – zu deren Abschluß das Lösen eines Googlecaptchas erforderlich ist. Das ist von AVM nicht datenschutzfreundlich gelöst!
Außerdem erhält man sofort eine Pushmail mit Details zu seiner Fritzbox, die bei mir z.T. fehlerhaft waren (falsche OS Version) und die ich gar nicht will. Allerdings kann man diese wohl auch schon ohne Kontoregistrierung über einen Link abbestellen.Weitere Einstellungen sind nur nach Registrierung des MyFritz! Kontos möglich.

Unklar bleibt für mich, inwieweit die Kontoregistrierung unbedingt in dieser Abfolge erfolgen muss.
Ein VPN scheint auch ohne Registrierung des Kontos möglich zu sein, also nur nach Angabe der eigenen Mailadresse im Wireguard Tab aber ohne Verwenden des Registrierungslinks in einem Browser mit dortiger Angabe des Passwortes für das Konto.
Da bleibt allerdings für mich fraglich, ob bzw. ggf. wie lange dieses Konto ohne Registrierung gültig bleibt. Andererseits ein Konto ohne Passwortschutz – wie sicher ist das bzw. wie wirkt sich das auf die Sicherheit auf eine mit MyFritz! registrierte VPN-Verbindung aus? Irgendwie dürfte ja beides miteinander "gekoppelt" sein.
Also hier gibt es wohl noch einigen Klkärungs und Verbesserungsbedarf – zumindest nach dem, was ich hier sehe.

2.
Ja, die Anlage eines Wireguard VPNs ist mit einem alternativen DynDNS-Anbieters auch hier weiterhin möglich.
Wenn dessen Daten korrekt im Tab DynDNS eingefügt sind – hier hatte sich leider bei mir zunächst ein Fehler in der Updatedatei eingeschlichen – dann kann man im Wireguard Tab der FB-Oberfläche ein VPN mit dem gewählten Anbieter anlegen.

Vielleicht habt ihr noch wichtige Hinweise,Ergänzungen und Erfahrungen oder auch Korrekturen?
Wäre prima!

duda · 08.08.2023, 18:18

Zitat von: tospert am 08.08.2023, 12:13Leider habe ich keinen direkten Vergleich zu einer anderen 7590,

Zu gegebener Zeit kann ich dahingehend evtl. helfen.