Wireguard (Fritzbox) Handshake did not complete after 5 seconds.......

[Matrix5678]

Hallo,
ich habe an meiner Fritzbox Wireguard aktiviert, leider bekomme ich mit dem Handy keine Verbindung.
Es erscheint im Log immer der Fehler: "Handshake did not complete after 5 seconds".

Als Dyndns verwende ich dynv6.com, welcher auch zu Funktionieren scheint, bzw. auf der Hompage, dort wird die aktuelle IPv6 Adresse die auch in der Firtzbox ist angezeigt.
Der Internetzugang geht per IPv6 über Starlink, dessen Router im Bypss-Modus ist an Port 1 der Fritzbox.
Habe dann den QR-Code in der Fritzbox mit dem Handy eingescannt und wollte eine Verbindung herstellen, leider ohne Erfolg.


Was kann ich da machen (bzw. muss noch ein Port z.B. 51820 freigeben werden, oder mach die Firtzbox das Automatisch)?

 

[washieiko]

Zeigt ein nslookup der dyndns adresse auf deine ip? in der fritzbox übersichtsseite unter online monitor steht dyndns eingetragen und aktiviert?

portfreigabe macht die fritzbox selbst für die wg verbindung. allerdings wechseln die ports wenn du die verbindungen löscht und von 0 neue anlegst wenn ich mich richtig erinnere. deswegen muss man am besten nen platzhalter einbauen und deaktiviert lassen wenn man beim gleichen port bleiben möchte.

ansonsten sollte das mit dem QR Code eigentlich funzen

 

[Matrix5678]

Siehe Screenshot.
Bin in IPv6 nicht so fit, aber Traceroute scheint zu Funktionieren?

 

[washieiko]

Mhh schaut gut aus, habe allerdings keine Ahnung von Starlink :/

Die FB Protokolle geben nichts her zum Zeitpunkt des Connectversuches? "Handshake did not complete after 5 seconds" deutet ja eigentlich auf einen Versuch hin. Zieh dir vlt mal die config auch manuell und öffne sie mit dem editor, check mal ob das alles sinn macht was drin steht und check wie gesagt nochmal die ports! wenn man eine verbindung erstellt und wieder löscht, hat die nächste neue config einen neu vergebenen port der fritzbox. das war bei mir der fehler bei einer verbindung zwischen fb und einer pfsense hinter telekom hybrid.

 

[Matrix5678]

Also an der FB ist Port 58710 offen, daher müsste das eigentlich funktionieren.

Hier mal die Wiregurad-Config aus meiner FB:


[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
ListenPort = 58710
Address = 192.168.1.1/24
DNS = 192.168.1.1
DNS = fritz.box

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/=
AllowedIPs = 192.168.1.201/32
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey =XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.1.202/32
PersistentKeepalive = 25
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 192.168.1.203/32
PersistentKeepalive = 25






Was ich mal getestet habe, war wenn meine Geräte schon lokal im Wlan sind die Wireguard Verbindung aufzubauen.
Dieser Test war erfolgreich, unter der FB waren dann die Geräte als eingeloggt anzeigt.
Vermute mal das die Wireguard Config /Kommunikation somit korrekt.
Kann ich Prüfen ob am Starlink Router der Port 58710 zur Firtzbox offen ist?
Oder sind im Bypassmodus immer alle Ports offen zur Fritzbox?

 

[Bob.Dig]

Zeigt deine DDNS-Adresse auch auf eine IPv4-Adresse? Das würde ich mal verhindern. Und deine Fritzbox nutzt als LAN 192.168.1.0/24? Das ist ja vom Regen in die Traufe, hat aber mit deinem Problem erst mal nichts zu tun.

 

[Matrix5678]

Ja zeigt auch auf eine IPv4 Adresse, diese darf wegen CGN aber nicht benutzt werden?!

Was meinst du mit 192.168.1.0/24 ?

 

[Bob.Dig]

Ja zeigt auch auf eine IPv4 Adresse, diese darf wegen CGN aber nicht benutzt werden?!

Genau. Mindestens zum Testen mal komplett löschen.

 

[Matrix5678]

Wie will ich die IPv4 denn löschen, kann ich den Aufbau über IPv6 erzwingen?

 

[h00bi]

Also an der FB ist Port 58710 offen, daher müsste das eigentlich funktionieren.

Was meinst du mit Port ist offen?
Die Fritzbox macht ihren Wireguard Port von ganz alleine auf. Da musst du nichts tun. Du müsstest nur darauf achten, dass dieser Traffic durch den Stralink Router geht. Das hast du ja mit dem Bypass mode erreicht.

Wenn du irgendeine Konfig auf Port 58710 gesetzt hast, dann ist genau das dein Problem.

 

[sandreas]

"Handshake did not complete after 5 seconds".

Hatte ich auch. Haste die Fritzbox nach dem Hinzufügen der Konfiguration mal neu gestartet? Oft ist das bei Wireguard nötig, damit das Interface neu initialisiert wird.

 

[Matrix5678]

FB ist neugestartet, aber leider ist das Problem immer noch vorhanden.
Kann ich irgendwie testen wie weit ich von extern komme, z.B. mit nmap auf die öffentliche IP Pingen?

 

[h00bi]

Kann ich irgendwie testen wie weit ich von extern komme

Das einfachste wäre, temporär das https Webinterface deiner Fritzbox nach außen zu öffnen.
Danach ein Portforwarding auf einen funktionierenden Dienst einrichten und testen. Keine Ahnung was du laufen hast.
Webinterface eines Druckers? Switch? Linux Gerät mit SSH?

 

[or2k]

Auch probiert beim DynDNS Link den IPv4 Teil raus zu nehmen? Also z.B. anstatt von

https://www.duckdns.org/update?domains=****=****&ip=<ipaddr>&ipv6=<ip6addr>

https://www.duckdns.org/update?domains=****=****&ipv6=<ip6addr>

Dann beim Betreiber noch die alte IPv4 Adresse entfernen

 

[Matrix5678]

Glaube erst mal nicht das es daran liegt.

Habe aber mal einen Portscan durchgeführt und festgestellt, das der Wireguard Port 58710/tcp als "closed unknown" geführt ist?

Ist das Normal?




Hans@mx-linux:~
$ nmap -6 2a0d:3344:1500:3078:3e37:12ff:fe61:face
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-28 20:14 CET
Nmap scan report for customer.frntdeu1.pop.starlinkisp.net (2a0d:3344:1500:3078:3e37:12ff:fe61:face)
Host is up (0.00093s latency).
Not shown: 995 closed tcp ports (conn-refused)
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
443/tcp open https
5060/tcp open sip
8181/tcp open intermapper

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds
Hans@mx-linux:~
$ nmap -6 2a0d:3344:1500:3078:3e37:12ff:fe61:face -p 58710
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-28 20:15 CET
Nmap scan report for customer.frntdeu1.pop.starlinkisp.net (2a0d:3344:1500:3078:3e37:12ff:fe61:face)
Host is up (0.00065s latency).

PORT STATE SERVICE
58710/tcp closed unknown

Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds
Hans@mx-linux:~

 

[Bob.Dig]

Ist das Normal?

Ja. Den WireGuard Port kann man nicht von außen "scannen" und eine Bestätigung erwarten. Davon ab nutzt es kein TCP.

 

[Matrix5678]

Aber was kann ich jetzt noch machen?
Kann es sein, dass Starlink überhaupt kein VPN zulässt, bzw. bewusst blockiert ?

 

[h00bi]

Aber was kann ich jetzt noch machen?

Wie in #13 geschrieben erstmal verifizieren ob du überhaupt irgendwelche Services erreichst.

 

[Matrix5678]

Also, das Problem liegt bei Starlink, es erfolgt keine Portweiterleitung zwischen Fritzbox und Starlinkrouter.
Da ich den Starlinkrouter ich konfigurieren kann, bleibt also nur noch ein VPS im Internet.
Thread kann geschlossen werden.

 

[bul]

Kannst du den Wireguardserver auf einen Standardport legen?
DNS AAAA, Record passt? Wireguard über IPv6 ist immer spannend.