Wireguard Fritzbox-pfSense

xt_ntwrk

@m0nji Vielen Dank! Das war der entscheidende Hinweis

Also drauf achten, dass die reale Fritzbox IP, in meinem Beispiel 172.21.22.22/24, eingetragen wird. Andernfalls kommen die Geräte hinter der Fritzbox per NAT Adresse (10.39.112.2) bei der pfSense an. Hier war auch kein Zugriff von Geräten hinter der pfSense zum Fritzbox Netz möglich.

FSC830

Ok, schon etwas älter und der letzte Post immerhin 6 Monate her, aber ich kämpfe auch gerade an dieser Front.

WG läuft auf der pfSense schon länger, alle mobilen Clients haben problemlos Zugriff. Nun wollte ich eine LAN-LAN Kopplung mit einer Fritzbox von IPsec auf WG umstellen.
pfSense 23.05.1 und eine FB7490 mit OS 7.57. Der Tunnel wird auch aufgebaut, jedenfalls sehe ich nach einigem hin- und her sowohl in der pfSense, als auch in der Fritz eine vorhandene Verbindung.
Aber es geht kein Traffic durch den Tunnel, auf beiden Seiten eine statische Route angelegt (das bringt die IPsec Verbindung sofort zum Abbruch).
Auch mit deaktiviertem IPsec kein Traffic. Alle anderen WG Clients zur pfSense funktionieren problemlos, die Firewall Rules passen also auch.
Auch ein ping von A nach B oder umgekehrt geht nicht.
Irgendwo scheint noch etwas zu klemmen, aber wo?
Die Einstellungen entsprechen den o.a., mit der Ausnahme, das die FB zusätzlich zur IP beim DNS einen Eintrag "fritz.box" vornimmt.
Wenn es noch Ideen dazu gibt...

Gruss

xt_ntwrk

@FSC830 Hi, wie sieht deine Wireguard-Config auf deiner FritzBox aus?

m0nji

@FSC830 Zwei Empfehlungen:

• du brauchst keine extra statische Route auf der Fritzbox Seite, das übernimmt die WG Config (AllowedIPs)
• du solltest den IPsec Tunnel auf der Fritzbox Seite löschen. Deaktivieren hatte bei mir auch ein komisches Verhalten gezeigt

Ich hatte bei meinen Tests immer die Remote Funktion über myfritz.net benutzt um von der Ferne die Fritzbox für WG vorzubereiten.

FSC830

Hallo xt_ntwrk, hallo m0nji,

danke für die Antworten.
Die Konfig auf der Fritz sieht wie folgt aus (maskiert ;) ):

[Interface]
PrivateKey = abcde12fgh=
ListenPort 4711
Adress = 192.168.2.1/24
DNS = 192.168.2.1,192.168.1.1
DNS = fritz.box

[Peer]
Public Key= bcde1fghij=
Preshared Key = qwertz=
Allowed IPs = 192.168.1.0/24, 192.168.100.1/32
Endpoint = mydomain.net:4713
Persistent Keepalive = 25

Wobei 192.168.1.0 Netz der pfSense und 192.168.2.0 das Netz der Fritte ist.
Ein Stückchen bin ich weiter gekommen, nach Eintrag der statischen Route auf der pfSense kann ich zumindest von der pfSense aus in das LAN der Fritte pingen.
Aber noch nicht vom eigentlichen pfSense LAN aus und auch umgekehrt geht der Ping nicht.
Die IPsec Verbindung habe ich gelöscht, die FB neu gestartet. Eine statische Route auf der FB gibt es nicht mehr.
Was mich immer noch wundert: von einem anderen Peer, egal ob Notebook oder Smartphone, die über denselben Tunnel die Verbindung haben, klappt alles.
Was ist bei der blöden Fritte anders?

Gruss

P.S. Den Peer auf der Sense hatte ich sowohl mit "Dynamic" als auch mit festem DNS Namen und Port eingetragen, dass sollte sich bei der Fritz ja nicht ändern.
Das Ergebnis war aber in beiden Fällen identisch, kein Traffic.

P.P.S. Bald gebe ich auf Was macht AVM da für ein Mist?
Nachdem ich die VPN Verbindung einige male gelöscht und neu eingerichtet habe, geht jetzt auch der Ping direkt von der pfSense nicht mehr? Alles außer dem Port der FB ist identisch wie vorher, beide Seiten zeigen "verbunden"!?
Aber der Ping will einfach nicht mehr.

P.P.P.S.
Nach dem unsäglichen Gefrickel habe ich die WG Verbindung auf der Fritz wieder gelöscht und wieder IPsec eingerichtet. Das zumindest läuft stabil, schade AVM.

m0nji

@FSC830 Ein paar Screenshots von der pfsense Seite wären gut gewesen. die Fritzbox config sieht auf den ersten Blick in Ordnung aus.
Vor allem Interface, FW Rules, Static Routing und WG Tunnel/Peer Config sind interessant.

Hier meine funktionierende Config auf pfSense Seite. Die Fritzbox Seite habe ich bereits weiter oben geposted:

Als letztes natürlich noch die Firewall Rules um den Zugriff vom Fritzbox Netz zur pfSense zu erlauben
BTW sieht die Konfiguration nur Richtung Fritzbox so aus. Die Fritzbox Implementation ist nach wie vor etwas eigenwillig. Meine anderen WG LAN to LAN Kopplungen sehen gerade beim Routing/Gateway etwas anders aus.

PS: Ich habs leider nach wie vor nicht raus, wie man hier kleinere Vorschaubilder in den Beiträgen hinterlegt anstatt die riesigen Originale...sorry

the other

@m0nji moinsen,
Afaik macht die 7490er nur abgespeckt wireguard...nur fritzbox zu fritzbox...im lan2lan.

FSC830

Ja, die Einstellungen auf der pfSense Seite sind genau so, alle anderen WG Clients haben ja auch kein Problem.
Windows, Linux und Android habe ich als Clients und alle können eine WG Verbindung herstellen und in das "Heim"-LAN gelangen.
Daher ist das WG Setup in Ordnung.
Nur eben die Fritz will nicht. Ich habe beim Peer sowohl "Dynamic" als auch "Static" versucht (mit DNS-Name un dPort der FB), das Ergebnis war aber immer das gleiche.
Tunnel zeigt Verbindung (pfSense Status zeigt Pakete, FB zeigt "grün"), aber sonst geht nichts.
Und nachdem der Ping einmal von der pfSense aus ging, dann wieder nicht, habe ich nicht mehr lange gefackelt.
IPsec läuft, wenn auch langsam, aber das muss reichen.

@the-other : Das habe ich nun zum zweiten Mal gehört, das WG LAN-LAN nur zwischen FB funktionieren soll, kann ich so aus den Release Notes oder anderem nicht entnehmen, würde mich aber nicht verwundern.
Wenn mich der Teufel reitet, werde ich die Box gegen eine 7590 tauschen und damit testen. Aber dazu muss ich mir erst die Zugangsdaten des Providers besorgen .

Gruss

Nachtrag: Habe gerade gesehen, auf meinem WG Interface ist die MTU auf default (Leer), also 1500 und nicht 1420 wie oben.

the other

@FSC830 moinsen,
ja, ich gestehe ein, ich gebe auch nur Infos weiter, die ich gelesen habe. :)
DASS die Fritzbox 7490 gewisse Einschränkungen hat bei wireguard ist bekannt und auch einsehbar bei AVM, etwa bzgl gesamten Verkehr durch den Tunnel leiten sowie nur Zugriff auf ausgewählte Geräte erlauben, dazu hier:
https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/

Aber (wie du auch schreibst) kein Beleg für das andere Thema... :(

FSC830

Ok, eine 7590 ist im Zulauf .
Damit werde ich WG nochmals testen und berichten.
Das wird aber nichts vor KW 43.

Man wird sehen...

Gruss

the other

@FSC830
Bin gespannt und werde alle 10 Minuten ab KW43 reinschauen...
Viel Erfolg!

JeGr

@the-other Um welche Frage geht es denn konkret? Site2Site mit LAN A und LAN B miteinander reden lassen via pfsense <-> Fritzbox?

Wenn das der Fall ist:

LAN A - Fritte <<-->> pfSense - LAN B

können wir das problemlos mal nachbauen und schauen

Cheers
\jegr

FSC830

Genau darum ging es, pfSense 23.05.1 auf der einen Seite, eine Fritz 7490 mit FritzOS 7.57, demnächst eine 7590.
Mit der 7490 hat die Site-2-site Kopplung einfach nicht hingehauen.
Näheres siehe oben.

Gruss

JeGr

@FSC830 OK aktuell leider krank außer Gefecht, aber wenn wieder fitter, versuch ich das mal im Lab zu bauen.

the other

@JeGr Na dann...Gute Besserung!!

bananajoe

Ich habe auch einen Tunnel zwischen meiner pfSense 2.7 und einer 7590 am laufen.
Der Tunnel war schnell aufgebaut aber noch keine Kommunikation war möglich.
Das Problem war die fehlende Route ins Netz der Fritzbox.

Schwupps, ein Gateway mit dem WG Interface eingerichtet und eine Route ins Netz der Fritz über dieses Interface.
Dann lief das ohne Probleme.

Spacey 0

Hallo Leute,
ich hänge mich hier mal mit dran - selbes Thema; fasse ein wenig zusammen bzw. die Frage(n) kommt noch. Bisher hat die Fritte (Site A) per IPSec sich zur pfSense ins RZ verbunden, das möchte ich nun gerne durch WireGuard ersetzen. Zumal ich von der RZ pfSense zu einer weiteren pfSense (Site B) auch von OpenVPN auf WireGuard umgestellt habe. Ziel ist hinterher auch, das ich von Site B über das RZ auf Devices in Site A zugreifen kann; aber das sollte gehen - ist sicherlich nur ein Routing Thema.

Ich habe nun das WI der Fritte vor mir - 7590 mit aktueller 7.57 Firmware. Da muss ich zuerst mal das myFritz einrichten damit ich überhaupt auf WireGuard weiter komme. Danach kann ich zwischen "Einzelgerät verbinden" und "Netzwerke koppeln...." auswählen. Ich denke hier ist "Netzwerke koppelt" die richtig Wahl.
Weiter geht es mit "Wurde diese WG Verbindung bereits auf der Gegenstelle erstellt?" Ja/Nein. Wenn ich "Ja" mache muss ich in Folge eine Config hochladen.

Frage: Wie genau muss das Config File aussehen? Wie oben von m0nji gepostet 1:1 so:

{
                enabled = yes;
                editable = yes;
                conn_type = conntype_wg;
                name = "test2";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                app_id = 0;
                wg_public_key = "H+B9KV+aOT216qdihxxxxxxxxxxxxxxxkZcC/w0KHUI=";
                wg_preshared_key = "$$$$12VAYTZ633K1GECEQH6XPLAJTxxxxxxxxxxxxxN3R3KAHFNHGARSQP5UJY3IU5JD1HDSIOGKYP336WBURFK2AZA3XNAKUQ5GX33LED";
                wg_allowed_ips = "10.39.77.0/24";
                wg_persistent_keepalive = 25;
                wg_dnsserver = "10.39.77.1";
                wg_dyndns = "exbxxx.myfritz.net";
                wg_master_config = "";
                wg_slave_config = "";
                wg_slave_publickey = "";
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
        }

.... oder gehört da noch was dazu? Hintergrund meiner Frage: Bei dem IPSec Config File steht noch davor:

vpncfg {
        connections {

Oder anders: Wenn ich an der Stelle kein Config File hochladen soll(te) - dann wären die nächsten Schritte auf der Fritte
"Soll die neue WG-Verbindung gleichzeitig zu einer bestehenden....." Ja/Nein etc....

Thx für Tips!

bananajoe

Ich bin mittlerweile auf opnSense gewechselt, sollte aber prinzipiell identisch sein.

Am besten an der Fritte die Konfig erstellen und dann auf der pfSense nachbauen.
Die Fritte lässt nur eine Verbindung von pfSense -> Fritte zu.
In die andere Richtung funktioniert der Verbindungsaufbau nicht.

Wenn die Verbindung dann mal steht, geht natürlich der Traffic in beide Richtungen.

Viele Grüße

bananajoe

Ich muss mich korrigieren.
Es geht doch in beide Richtungen.

Der Trick ist, dass man als INterface beider WG Konfig der Fritte kein Transportnetz nehmen darf. Es muss die IP der Fritte eingetragen werden.

Hoffe das hilft weiter

Bob.Dig

@bananajoe Wollte ich meinen. NATet die Fritte immer noch alles über ihre IP-Adresse? Daran hatten sich hier einige gestört.