Moin moin und dann recht herzlich willkommen im Forum @Reynik 

Ich kann soviel sagen, ich habe es aktuell auch mal versucht mit WireGuard mit einem Kollegen der hat eine Cable Box von Vodafone und ich hab eine FRITZ!Box 5590 GF nach über 3 Stunden testen.

kriegen wir nicht mal ne richtige Verbindung hin

Ich würde gegebenfalls den Tipp geben, direkt bei AVM sich zu wenden 

weil so gesehen, nicht das Problem ja nicht in erster Instanz bei der Telekom, sondern bei AVM und soweit ich zusätzlich weiß, gibt die Telekom dafür auch kein Support kann mich aber diesbezüglich auch täuschen

Gegebenenfalls schaust du dir vielleicht mal diese Anleitung an 

soweit ich auch aktuell denken kann, wirst du vermutlich selbst bei eingerichteter S2S keine Telefonie da drüber leiten lassen können

https://download.avm.de/fritzbox/fritzbox-7530/deutschland/fritz.os/info_de.txt

# Weitere Verbesserungen im FRITZ! OS 7.55

## Internet:
- **Verbesserung** Die Einstellung, den gesamten IPv4-Datenverkehr der FRITZ!Box über die WireGuard- VPN -Verbindung zu (!) einem Einzelgerät zu senden, wird nicht mehr unterstützt

Der VoIP Traffic der Fritzbox läuft am VPN vorbei, wie bei WLAN Call des Smartphones der Netzwerkverkehr am Userland VPN vorbeiläuft.

Das hat AVM extra in der Labor Firmware für die 07.50er Serie gefixt, weil es damit zunächst sporadisch Probleme gab (meiner Erinnerung nach). Auf einer damaligen Labor Firmware traten VoIP Probleme auf, wenn der gesamte Netzwerkverkehr über Wireguard gerouted wurde und VoIP über die Fritzbox lief, die Fritzbox als VoIP Client fungierte.

Mir fehlen in der Fragestellung folgende Angaben:

• Fritzbox ist eine Site, was ist die andere?
• Soll VoIP am VPN vorbei laufen oder nicht?
• Welches Gerät auf welcher Site stellt die VoIP Verbindung her? Die Fritzbox oder ein Client?
• Wo soll diese Verbindung rauskommen? Von welchem Endpunkt aus soll der VoIP Server die öffentliche IP welcher Deiner 2 Sites sehen?

@Reynik  schrieb:

Ob das stimmt oder nicht, weiss ich nicht.

SIP Logins funktionieren nur am

entsprechenden Anschluss. Das ist mein letzter Stand.

@Reynik  schrieb:

1. Site1 AVM <--> Site2 ProtonVPN

Die Fritzbox Wireguard Implementation ist nicht für VPN Anonymisierungsdienste geeignet. Es gibt

• keinen Killswitch
• keine Option für VPN Zwang
• Unterbrechungen des VPN Tunnels führen zu einem Rückfall auf die öffentliche Router Provider IP

Eine dritte Instanz kann die Anonymisierung bzw. den VPN Tunnel

• damit jederzeit abschalten
• unterbrechen
• pausieren
• Ein ausfallender oder nicht erreichbarer VPN Server führt zum selben Ergebnis

@Sherlocka  schrieb:

ist darunter etwas, was du gesucht hast?

Ja, vielen Dank.

@Reynik  schrieb:

Hättest du hier Vorschläge?

OpenWrt? OPNsense?

@Reynik  schrieb:

Ich weiss allerdings nicht, ob die "kleinen" Gateways etwas taugen.

Das hängt von Deiner Internetanbindung, Ansprüchen, paralleler Nutzeranzahl, Anzahl offener Verbindungen ab.

Eine Fritzbox 4040 schafft laut Heise (https://www.heise.de/ratgeber/Fritzbox-4040-mit-dem-alternativen-Router-Betriebssystem-OpenWrt-betreiben-4405224.html) bis zu 400 Mbit/s. Ein ordentlicher Linux Client schafft mehrere Hundert Mbit/s.

Die kleineren Geräte können oft den Durchsatz nicht liefern, den größere Geräte oder professionelle Appliances bieten. Gleichzeitige parallele Streams von mehreren Nutzern lassen den Durchsatz einbrechen, pro Stream und gesamt. Auf der anderen Seite ist es nicht kosteneffizient, sich ein Gerät zu kaufen, dessen VPN Durchsatz weit über dem möglichen Durchsatz deiner Leitung liegt.

Folgende Punkte könnten wichtig sein:

• Ob Du einem Closed Source Hersteller vertrauen möchtest oder einer Open Source Lösung
• wie lange der Hersteller für die Geräte Sicherheitsupdates garantiert
• ob Du Support in Anspruch nehmen möchtest
• ob es eine fertige Lösung sein soll oder Du selbst konfigurieren möchtest
• Durchsatz pro Protokoll
• vorgesehene Anzahl Nutzer
• Erwartung an Durchsatz festlegen, gesamt und pro Gerät

Hilfreich ist, technische Datenblätter zu lesen oder den Support vor dem Kauf zu befragen, wie hoch der zu erwartende VPN Durchsatz ist (IPS, NAT, WAN, IPSec, OpenVPN, Wireguard).

Appliances, die für kleine Büros mit 5 oder mehr Nutzer ausgelegt sind, liefern voraussichtlich akzeptable Ergebnisse.

Ich habe bisher nur kleine Consumer Router im Einsatz, keine professionellen VPN Gateways. Steht noch auf der Wunschliste.

@Reynik  schrieb:

Es handelt sich um einen 100Mbit/40Mbit VDSL Anschluss. 

Hier sollte ein kleiner Router als VPN Gateway, z.B. eine Fritzbox 4040 mit OpenWrt ausreichen.

@Reynik  schrieb:

Sobald Wireguard an der Fritze eingeschaltet ist, funktioniert die Telefonie nicht mehr. Ich versuche einen Weg zu finden, der es erlaubt, Wireguard + VOIP mit Telekom parallel zu betreiben.

Das sollte auf der aktuellen Firmware eigentlich funktionieren, am VPN vorbei. Was sagt der AVM Support dazu?

• VoIP einer Telekom MSN ist von einer Telekom IP aus möglich. D.h. nur ohne Wireguard von deiner Anschluss IP (ohne VPN oder am VPN vorbei) oder wenn VPN Site 2 ein Telekom Anschluss wäre
• Der VoIP Client ein Gerät ist, dessen Traffic geroutet wird zu einer Telekom Site (ohne VPN über deinen Anschluss, VPN zu Telekom Site)
• Die Fritzbox sich korrekt verhält, korrekte Konfiguration, keine Bugs

Am Besten wäre hier, den AVM Support zu kontaktieren bzw. das VPN mit einem VPN Gateway zu realisieren, welches im LAN an die Fritzbox angeschlossen wird. Fritzbox macht SIP aber kein VPN , VPN Gateway setzt VPN Tunnel um.