Support Netzlaufwerk erstellen mit Wireguard funktioniert nicht

[Bidermann]

Moin

Ich habe ein frisch aufgestztes Notebook mit Windows 11 pro 25H2

Wirguard installiert, Profil importiert ...Okay
Ping zum entfernten Server ...Okay
Remotedesktop auf entfernten Server ...Okay
Zugriff auf entfernte Fritzbox 7590 - Frimware 8.20 ... Okay
Netzlaufwerk verbinden mit \\Server-IP\Freigabename ...funktioniert nicht

Das ganze hat bei Windows 10 22H2 pro auf dem selben Notebook wunderbar funktioniert

...was mach ich falsch ??
...was hat sich bei Windows 11 geändert ?

 

[prangsta]

Erzähl uns mal lieber was du vor hast !
Evtl ist es die windows firewall auf dem gerät - port einstellungen oder oder oder

 

[Token]

evtl. fehlt auch in deiner wg0.conf ein "AllowedIPs = 192.168.178.0/24" ?!
ansonsten FW prüfen, ports freischalten, etc. (aber das sagte ja @prangsta auch schon!)

 

[Bidermann]

was habe ich vor ...

Ich will nur eine neue Wireguard Verbindung zu meinen funktionierenden hinzufügen.
Die alten, bestehenden Verbindungen funktionieren alle, nur die neu angelegte nicht
...kann also nix mit der Firewall zutun haben. Auch wenn ich die Firewall temp. ausschalte kann ich mit der neuen Config kein Netzlaufwerk erstellen / verbinden

die neu angelegte sieht so aus ...

Spoiler

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.3.137/24
DNS = 192.168.3.1
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.0/24,0.0.0.0/0
Endpoint = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.myfritz.net:54293
PersistentKeepalive = 25

eine alte bestehende, wo alles funktioniert, sieht so aus ...
Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.3.132/24
DNS = fritz.box

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.0/24
Endpoint = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.myfritz.net:54293
PersistentKeepalive = 25

PS: ich habe auch IPV6 in der Box und am Rechner abgeschaltet ....funktioniert trotzdem nicht

was mich stutzig macht ...bei der neuen Config hat die Box das /32 hinter der IP weggelassen, kann das damit was zutun haben ?

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[Osprey]

AllowedIPs = 192.168.3.0/24,0.0.0.0/0

Willst du das alles 0.0.0.0/0 über das Netzwerk geht oder nur 192.168.3.0/24 ?
Also entweder oder.

 

[Token]

also das komplette 0.0.0.0/0 übern tunnel wäre ja irgendwie sinnfrei,
wenn er nur sein internes Network verbinden will.

 

[prisrak]

@Bidermann Auch wenn manche über die KI meckern, so teile bitte mit, ob es dir weiterhilft oder eben nicht.

Spoiler: Ki Info

du denkst schon in die richtige Richtung

Das Verhalten ist absolut erklärbar, und es liegt nicht an SMB oder Windows 11 selbst, sondern an der WireGuard-Konfiguration, genauer an den AllowedIPs und der Routenaufteilung.

---

TL;DR – Das Problem​

Die neue Config:

´AllowedIPs = 192.168.3.0/24,0.0.0.0/0`

leitet den gesamten Internet-Traffic (0.0.0.0/0) über das VPN.
Damit verlässt auch der SMB-Traffic deinen PC über den Tunnel, aber der Server liegt ebenfalls im Tunnelnetz (192.168.3.0/24).
Das erzeugt eine Routingkollision → Windows (bzw. WireGuard) weiß nicht mehr, welche Route Vorrang hat → SMB-Verbindungen scheitern.

Die alte, funktionierende Config:
AllowedIPs = 192.168.3.0/24
leitet nur dein internes VPN-Subnetz über den Tunnel.
→ Perfekt für dein Szenario.

---

Warum du trotzdem pingen & RDP kannst​

• ICMP (Ping) und RDP (TCP 3389) sind unempfindlicher gegenüber Routing-Ambiguität.
• SMB dagegen (TCP 445) prüft stärker auf Quell-IP-Konsistenz und kann keine Mischrouten ab.

---

/24 vs /32​

Das /32 spielt bei WireGuard nur auf der Gegenstelle (Server) eine Rolle.
Wenn der Server dem Client /24 oder /32 zuweist, bestimmt das, wie groß der Adressraum des Clients im Tunnel ist.
→ Das allein verursacht kein Problem — der kritische Punkt ist das 0.0.0.0/0 in AllowedIPs.

---

Lösung​

Variante 1 – Nur internes Netz tunneln (empfohlen)​

Ersetze in der neuen Config:
AllowedIPs = 192.168.3.0/24,0.0.0.0/0
durch:
AllowedIPs = 192.168.3.0/24
→ Danach kannst du sofort wieder Netzlaufwerke verbinden.

---

Variante 2 – Du willst​

Dann brauchst du eine Split-Routing-Ergänzung auf der Fritzbox-WireGuard-Seite:

• Füge im Peer-Eintrag auf der Fritzbox bei „Erlaubte IPs“ nicht 0.0.0.0/0 hinzu,
  sondern nur die Teilnetze, die wirklich geroutet werden sollen (z. B. 192.168.3.0/24).
• Oder: füge eine statische Route am Windows-Client hinzu, die sicherstellt, dass SMB-Ziele korrekt geroutet bleiben.

Aber in 99 % der Fälle reicht Variante 1 völlig aus.

---

Bonus: Warum das unter Windows 10 „zufällig“ ging​

Windows 10 22H2 hatte noch eine andere Route-Priorität und „verzieh“ Routing-Überlappungen, während Windows 11 25H2 das strenger handhabt (besonders mit aktivierter Secure-Routing-Policy).
Daher funktionieren alte Profile weiter, neue nicht.

---

Fazit​

• Ursache: AllowedIPs = 0.0.0.0/0 → überschreibt Standardroute → SMB bricht ab.
• Lösung: AllowedIPs = 192.168.3.0/24
• /32 spielt keine Rolle.
• Keine Firewall- oder SMB-Einstellungen nötig.

 

[Bidermann]

klar macht das keine Sinn mit 0.0.0.0/0
Nur so generiert die Fritzbox die Config-Datei, warum soll ich darin herumfingern
Wie schon beschrrieben ...
Mit der alten bestehenden Config funktioniert ja alles !

...Nur nicht mit der neuen angelegten

Ich war vorhin beim Bekannten, welcher auch eine Fritzbox 7590 hat ... allerdings die AX
Dort Wireguard Config erzeugt > bei mir auf dem Notebook installiert > funktioniert

Ich tippe, meine Fritzbox hat ne Macke

 

[Token]

ich denke, du solltest das eher als Bug an AVM/FRITZ! melden.

 

[Bidermann]

...schon passiert

 

[Osprey]

Mit der alten bestehenden Config funktioniert ja alles !

Du siehst doch in der alten config die funktioniert den Unterschied? Es ist die AllowedIPs= Einstellung

 

[Bidermann]

Ich habe den Beitrag der KI noch mal angeschaut.

Warum funktioniert diese (alte)Konfiguration ....

Du siehst doch in der alten config die funktioniert den Unterschied? Es ist die AllowedIPs= Einstellung

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

... Und warum funktioniert diese (neue) nicht ?

Du musst Regestriert sein, um das angehängte Bild zusehen.

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[Osprey]

Und auf die FB kommst du drauf mit

Sie müssen registriert sein, um Links zu sehen.

?

 

[prangsta]

1. Beide Konfigurationen im Vergleich:

Oben (funktioniert):
• Adresse: 192.168.3.132/24, fd45:e342:c29a::132/64
• DNS: 192.168.3.1, fd45:e342:c29a:0:b2f2:8ff:fe1:7165, fritz.box
• AllowedIPs= → 0.0.0.0/1, 128.0.0.0/1, 192.168.3.0/24, ::/1, 8000::/1, fd45:e342:c29a::/64
(also inkl. lokales Subnetz 192.168.3.0/24)

Unten (funktioniert nicht):
• Adresse: 192.168.3.137/24, fd45:e342:c29a::137/64
• DNS: gleich
• AllowedIPs= identisch
• Tunnel aktiv, aber keine funktionierende Verbindung trotz Key-Tausch.

2. Das Wichtige Detail:
Dein Peer bekommt eine IP im selben lokalen Netz (192.168.3.x) wie der interne Router.
Wenn du also über WireGuard ins eigene LAN tunneln willst und sowohl Client als auch Server im selben Subnetz liegen, blockiert das Routing — weil das System denkt: „192.168.3.x? Das ist doch direkt erreichbar im LAN, dafür brauche ich kein Tunnel!“
Der Traffic geht also nicht durch WireGuard, sondern versucht direkt übers lokale Interface zu laufen.

Das erklärt, warum die alte Config (mit .132) funktioniert, wenn sie nicht gleichzeitig physisch im LAN hängt (z. B. Mobilverbindung oder anderes Netz).
Die neue (.137) aber vielleicht im gleichen lokalen Netz betrieben wird und daher Routing-Konflikte bekommt.



3. Der technische Kern:
AllowedIPs definiert sowohl, welche Ziel-IPs über den Tunnel geroutet werden, als auch welche IPs auf dem Server-Interface als „vom Peer kommend“ akzeptiert werden.

Wenn du 0.0.0.0/0 (bzw. die Split-Halbierung 0.0.0.0/1 + 128.0.0.0/1) einträgst, leitest du sämtlichen Traffic über WireGuard.
Aber sobald dein Peer im selben IP-Bereich ist wie dein physisches LAN (192.168.3.x), stört das.
Die Route zum lokalen Netz hat Vorrang vor der Tunnel-Route → Daten kommen nicht an.



4. Mögliche Lösungen:
• Ändere die Adressen im Tunnel, z. B. auf ein anderes Subnetz wie 10.0.0.0/24 oder 10.253.0.0/24.
Dann hast du keine Konflikte mit deinem LAN.
• Alternativ: Beschränke AllowedIPs beim Client z. B. auf 192.168.3.0/24 nicht, sondern nur auf 0.0.0.0/1,128.0.0.0/1 (also alles außer das lokale Netz).
• Oder (unsauber, aber machbar): route lokal 192.168.3.0/24 explizit über den Tunnel, indem du die lokale Route änderst – das braucht aber manuelles Tuning.


Kurz :
Die neue Config „funktioniert nicht“, weil Client- und Server-Netz überlappen und das Betriebssystem daher den Tunnel-Traffic nicht korrekt routet, trotz funktionierendem Handshake.

 

[Bidermann]

Und auf die FB kommst du drauf mit

Sie müssen registriert sein, um Links zu sehen.

?

Ja ... auch wenn ich eingebe: fritz.box lande ich auf der Fritzbox
Ich kann mich auch via Remote Desktop mit der IP 192.168.3.5 oder Netbiosnamen SERVER dem enternten Server verbinden
nur, wie gesagt, eine Netzlaufwerkverbindung ist nicht möglich. Was bei der alten bestehenden Config ja funktioniert

@prangsta
Danke für die schnelle Antwort
Ich habe jetzt auch die lokale Route geändert, funktioniert auch nicht

Mir ist nicht klar, was die Fritzbox da für eine Config erzeugt.
Ich denke, das der Fehler in der Fritzbox liegt. Fritz (AVM) hat bereits den gesamten Fehlerbericht von mir bekommen und warte auf dessen Antwort