Hadmut Danisch
Ansichten eines Informatikers

Mehr zum AVM-Murks

Hadmut
18.6.2025 18:10
Uncategorized

Antwort der Support-Hotline.

AVM antwortet mir:

Guten Tag Herr Danisch,

vielen Dank für Ihre Anfrage an den FRITZ!-Support.

Es ist bedauerlich, dass Sie Probleme bei der WireGuard Verbindungskonfiguration in Ihrer FRITZ!Box erfahren.
Sollten wir einen Fehler bei der Umsetzung des WireGuard Protokolles feststellen, werden wir dieses natürlich per Update korrigieren.

Bitte haben Sie zu diesem Zeitpunkt der Diagnose Verständnis dafür, dass ich mich über Spekulationen über die Fähigkeiten bestimmter Kollegen in der Entwicklung nicht äußere, zumal ich bisher keinen Anlass habe, an jenen zu zweifeln, da mir ähnliche Vorwürfe wie die von Ihnen geäußerten in anderen Kundentickets bisher nicht begegnet sind.
Auch haben Entwickler, die am Wireguard-Protokoll mitarbeiten, die Gelegenheit mit unseren Entwicklern in Kontakt zu treten, um auf mögliche Fehler hinzuweisen oder Protokollfragen zu diskutieren.

Das ist kein Problem. Spekulationen über die Fähigkeiten derer Kollegen in der Entwicklung übernehmen dann ich.

Dann kommen zwei Hinweise zu Kontakt und Information, die ich jetzt nicht öffentlich wiedergebe.

Ich kann Ihnen zwar keinen Entwicklersupport anbieten (dies tun Sie bitte über die o. g. Kontaktmöglichkeiten), dafür aber einen Endkundensupport, um Ihnen eine Lösung für Probleme zu nennen, die bei der Nutzung unserer Produkte auftreten.

Sie möchten – so verstehe ich Ihre Schilderung bisher – eine WireGuard-VPN-Verbindung zwischen einem Router eines anderen Herstellers und der FRITZ!Box einrichten.

Jau. Genau das möchte ich.

Unter der Firmware 8.03 wird dies vorgenommen wie hier beschrieben (bitte prüfen Sie die Aktualität Ihrer Firmware in der FRITZ!Box und verwenden Sie Version 8.03 für eine völlige Übereinstimmung unserer Anleitungen mit Ihrer FRITZ!Box:

Das hatte ich im Service-Request schon beschrieben, dass ich 8.03 fahre, und nicht mehr geht, was ich unter 7.x noch hinbekommen hatte.

Und jetzt kommt ein Brüller:

Voraussetzungen / Einschränkungen

  • Der andere Router muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten. Die FRITZ!Box muss vom Internetanbieter eine IP-Adresse derselben Protokoll-Version (IPv4 oder IPv6) erhalten.
  • In der FRITZ!Box dürfen noch keine WireGuard-Verbindungen eingerichtet sein (z.B. für ein Smartphone). Sollten in der FRITZ!Box bereits WireGuard-Verbindungen eingerichtet sein, müssen diese vor der Einrichtung der Verbindung zum anderen Router gelöscht werden.

Das, was die da als „Voraussetzungen/Einschränkungen“ beschreiben, sind genau die Fehler ihrer GUI, die mich am Einrichten hindern.

Denn diese Einschränkungen/Voraussetzungen stimmen nicht:

  1. Es stimmt bei Wireguard nicht, dass der andere Router eine öffentliche Adresse haben muss. Es reicht, wenn eine Seite das hat. Wireguard funktioniert auch wunderbar hinter NAT, wenn der Router mit der öffentlichen Adresse einen festen Port hat und „angerufen“ werden kann, und der Router hinter NAT weiß, wohin er die Verbindungen aufbauen muss.

    Die Fritzbox kann das auch. Ich habe das nämlich seit zwei Jahren laufen. Man kann es nur nicht neu eintragen. Es ist keine Einschränkung von Wireguard oder der Fritzbox, sondern die GUI ist zu blöd.

  2. Dass man alle Verbindungen vorher löschen muss, ist genau der Quatsch, den ich vermeiden wollte, weil ich dann nämlich alle Rechner neu konfigurieren muss. Das könnte ich zwar im Prinzip, weil ich die mit Puppet/Ansible verwalte, aber was soll der Scheiß? Warum kann man das nicht zu einer bestehenden Konfiguration dazuschreiben, wie bei jedem anderen Router auch?
  3. Selbst wenn man AVM darin folgen würde und das so macht, wie die das wollen, also vorher alles löscht: Man könnte dann immer nur eine LAN-LAN-Kopplung eintragen, weil man ja immer vorher alles löschen muss. Man kann keine IPv6-Maske wählen. Und der eigentlich geheime Private-Key der Gegenseite wird von der Fritzbox erzeugt.

Es ist also kein Versehen von AVM. Die wollen das so. Und die wissen, dass das so ist.

Aber ich glaube nicht, dass die wissen, warum das so ist. Es ist technisch nicht sinnvoll, es ist unnütz und schikanös, es sind unnnötige Beschränkungen, und vor allem: Es ist unsicher. Der Private Key eines entfernten Routers darf nur dort und nicht auf der Fritzbox erzeugt werden.

Wenn ich Tunnel unter Linux (wg-quick, systemd, NetworkManager, netplan) oder auf dem Linux-basierten Router-Betriebssystem OpenWRT eintrage, habe ich diese Probleme alle nicht. Unter OPNsense und pdsense (FreeBSD) habe ich das nur irgendwann mal testweise angeguckt, da schien es mir aber auch normal. Nur AVM macht so einen Krampf daraus. Ich kenne keinen anderen Router, der sich so krampfig dabei anstellt.

Es verstärkt meinen Eindruck, dass die GUI von jemandem geschrieben wurde, der Wireguard und Private/Public Keys nicht verstanden hatte, und sich drei Beispiele aus irgendwelchen Howto-Seiten herausgesucht und nachgebastelt hatte, und deshalb nur genau so agieren kann, wie das in irgendwelchen drei Beispielen erzählt wurde.

Man könnte aber auch meinen, da hätte irgendwer gegen irgendwelche Nutzungen interveniert. Als wollte man bestimmte Nutzungen erschweren oder verhindern.