Wireguard Fritzbox-pfSense

the other · Sep 14, 2023, 5:52 AM

@m0nji moinsen,
Afaik macht die 7490er nur abgespeckt wireguard...nur fritzbox zu fritzbox...im lan2lan.

FSC830 · Sep 14, 2023, 6:32 AM

Ja, die Einstellungen auf der pfSense Seite sind genau so, alle anderen WG Clients haben ja auch kein Problem.
Windows, Linux und Android habe ich als Clients und alle können eine WG Verbindung herstellen und in das "Heim"-LAN gelangen.
Daher ist das WG Setup in Ordnung.
Nur eben die Fritz will nicht. Ich habe beim Peer sowohl "Dynamic" als auch "Static" versucht (mit DNS-Name un dPort der FB), das Ergebnis war aber immer das gleiche.
Tunnel zeigt Verbindung (pfSense Status zeigt Pakete, FB zeigt "grün"), aber sonst geht nichts.
Und nachdem der Ping einmal von der pfSense aus ging, dann wieder nicht, habe ich nicht mehr lange gefackelt.
IPsec läuft, wenn auch langsam, aber das muss reichen.

@the-other : Das habe ich nun zum zweiten Mal gehört, das WG LAN-LAN nur zwischen FB funktionieren soll, kann ich so aus den Release Notes oder anderem nicht entnehmen, würde mich aber nicht verwundern.
Wenn mich der Teufel reitet, werde ich die Box gegen eine 7590 tauschen und damit testen. Aber dazu muss ich mir erst die Zugangsdaten des Providers besorgen .

Gruss

Nachtrag: Habe gerade gesehen, auf meinem WG Interface ist die MTU auf default (Leer), also 1500 und nicht 1420 wie oben.

the other · Sep 15, 2023, 12:43 PM

@FSC830 moinsen,
ja, ich gestehe ein, ich gebe auch nur Infos weiter, die ich gelesen habe. :)
DASS die Fritzbox 7490 gewisse Einschränkungen hat bei wireguard ist bekannt und auch einsehbar bei AVM, etwa bzgl gesamten Verkehr durch den Tunnel leiten sowie nur Zugriff auf ausgewählte Geräte erlauben, dazu hier:
https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/

Aber (wie du auch schreibst) kein Beleg für das andere Thema... :(

FSC830 · Oct 11, 2023, 5:02 PM

Ok, eine 7590 ist im Zulauf .
Damit werde ich WG nochmals testen und berichten.
Das wird aber nichts vor KW 43.

Man wird sehen...

Gruss

the other · Oct 11, 2023, 5:02 PM

@FSC830
Bin gespannt und werde alle 10 Minuten ab KW43 reinschauen...
Viel Erfolg!

JeGr · Oct 16, 2023, 9:56 AM

@the-other Um welche Frage geht es denn konkret? Site2Site mit LAN A und LAN B miteinander reden lassen via pfsense <-> Fritzbox?

Wenn das der Fall ist:

LAN A - Fritte <<-->> pfSense - LAN B

können wir das problemlos mal nachbauen und schauen

Cheers
\jegr

FSC830 · Oct 17, 2023, 5:53 PM

Genau darum ging es, pfSense 23.05.1 auf der einen Seite, eine Fritz 7490 mit FritzOS 7.57, demnächst eine 7590.
Mit der 7490 hat die Site-2-site Kopplung einfach nicht hingehauen.
Näheres siehe oben.

Gruss

JeGr · Oct 28, 2023, 2:13 PM

@FSC830 OK aktuell leider krank außer Gefecht, aber wenn wieder fitter, versuch ich das mal im Lab zu bauen.

the other · Oct 28, 2023, 2:13 PM

@JeGr Na dann...Gute Besserung!!

bananajoe · Nov 6, 2023, 10:09 AM

Ich habe auch einen Tunnel zwischen meiner pfSense 2.7 und einer 7590 am laufen.
Der Tunnel war schnell aufgebaut aber noch keine Kommunikation war möglich.
Das Problem war die fehlende Route ins Netz der Fritzbox.

Schwupps, ein Gateway mit dem WG Interface eingerichtet und eine Route ins Netz der Fritz über dieses Interface.
Dann lief das ohne Probleme.

Spacey 0 · Nov 14, 2023, 3:07 PM

Hallo Leute,
ich hänge mich hier mal mit dran - selbes Thema; fasse ein wenig zusammen bzw. die Frage(n) kommt noch. Bisher hat die Fritte (Site A) per IPSec sich zur pfSense ins RZ verbunden, das möchte ich nun gerne durch WireGuard ersetzen. Zumal ich von der RZ pfSense zu einer weiteren pfSense (Site B) auch von OpenVPN auf WireGuard umgestellt habe. Ziel ist hinterher auch, das ich von Site B über das RZ auf Devices in Site A zugreifen kann; aber das sollte gehen - ist sicherlich nur ein Routing Thema.

Ich habe nun das WI der Fritte vor mir - 7590 mit aktueller 7.57 Firmware. Da muss ich zuerst mal das myFritz einrichten damit ich überhaupt auf WireGuard weiter komme. Danach kann ich zwischen "Einzelgerät verbinden" und "Netzwerke koppeln...." auswählen. Ich denke hier ist "Netzwerke koppelt" die richtig Wahl.
Weiter geht es mit "Wurde diese WG Verbindung bereits auf der Gegenstelle erstellt?" Ja/Nein. Wenn ich "Ja" mache muss ich in Folge eine Config hochladen.

Frage: Wie genau muss das Config File aussehen? Wie oben von m0nji gepostet 1:1 so:

{
                enabled = yes;
                editable = yes;
                conn_type = conntype_wg;
                name = "test2";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                app_id = 0;
                wg_public_key = "H+B9KV+aOT216qdihxxxxxxxxxxxxxxxkZcC/w0KHUI=";
                wg_preshared_key = "$$$$12VAYTZ633K1GECEQH6XPLAJTxxxxxxxxxxxxxN3R3KAHFNHGARSQP5UJY3IU5JD1HDSIOGKYP336WBURFK2AZA3XNAKUQ5GX33LED";
                wg_allowed_ips = "10.39.77.0/24";
                wg_persistent_keepalive = 25;
                wg_dnsserver = "10.39.77.1";
                wg_dyndns = "exbxxx.myfritz.net";
                wg_master_config = "";
                wg_slave_config = "";
                wg_slave_publickey = "";
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
        }

.... oder gehört da noch was dazu? Hintergrund meiner Frage: Bei dem IPSec Config File steht noch davor:

vpncfg {
        connections {

Oder anders: Wenn ich an der Stelle kein Config File hochladen soll(te) - dann wären die nächsten Schritte auf der Fritte
"Soll die neue WG-Verbindung gleichzeitig zu einer bestehenden....." Ja/Nein etc....

Thx für Tips!

bananajoe · Nov 14, 2023, 3:20 PM

Ich bin mittlerweile auf opnSense gewechselt, sollte aber prinzipiell identisch sein.

Am besten an der Fritte die Konfig erstellen und dann auf der pfSense nachbauen.
Die Fritte lässt nur eine Verbindung von pfSense -> Fritte zu.
In die andere Richtung funktioniert der Verbindungsaufbau nicht.

Wenn die Verbindung dann mal steht, geht natürlich der Traffic in beide Richtungen.

Viele Grüße

bananajoe · Nov 15, 2023, 6:44 AM

Ich muss mich korrigieren.
Es geht doch in beide Richtungen.

Der Trick ist, dass man als INterface beider WG Konfig der Fritte kein Transportnetz nehmen darf. Es muss die IP der Fritte eingetragen werden.

Hoffe das hilft weiter

Bob.Dig · Nov 15, 2023, 8:53 AM

@bananajoe Wollte ich meinen. NATet die Fritte immer noch alles über ihre IP-Adresse? Daran hatten sich hier einige gestört.

bananajoe · Nov 15, 2023, 9:57 AM

@Bob-Dig
Naja, zumindest komme ich ohne Port-Forwarding an alle Geräte von dem jeweiligen Netz aus.
Das schickt für meinen Usecase.

Ich versuche jetzt aber nochmal weitere Netz auf der Sense Seite für die Fritzbox erreichbar zu machen.

m0nji · Nov 15, 2023, 2:43 PM

@Bob-Dig wenn man in der WG Config bei "Address" die reale IP der Fritzbox einträgt anstatt der WG Transfernetz IP, dann NATed die Fritzbox nichts. Die Clients hinter der Fritzbox kommen mit ihrer realen IP bei der pfSense an.

@Spacey-0 nutze einfach die Config von meinem Beispiel (Site-B), diese importierst du auf der Fritzbox. Private/Public Key kannst du dir über einen Online-Generator generieren lassen.

Bob.Dig · Nov 15, 2023, 2:46 PM

@m0nji said in Wireguard Fritzbox-pfSense:

@Bob-Dig wenn man in der WG Config bei "Address" die reale IP der Fritzbox einträgt anstatt der WG Transfernetz IP, dann NATed die Fritzbox nichts. Die Clients hinter der Fritzbox kommen mit ihrer realen IP bei der pfSense an.

Ok. Dachte, es gibt generell kein Transfernetz zur Fritte?
Sprich, wenn man keines benutzt, wird auch nicht geNATet? Interessant.

Jakelandiar · Dec 6, 2023, 2:35 PM

Nabend. Bei mir funktioniert der Weg von der Fritzbox zu PfSense. Kann dort pingen etc. Aber von der Pfsense bekomme ich einfach keine Verbindung zur Fritzbox hin.
Meine Konfiguration sieht so aus wie bei @m0nji nur mit anderen IPs.
Gibt es noch irgendwo eine Magische Stelle außer Gateway und Routing? Firewall ist für das Interface und Wireguard aktuelles alles erlaubt.

m0nji · Dec 6, 2023, 2:35 PM

@Jakelandiar du hast zwar geschrieben, du hast die Konfiguration wie bei mir übernommen aber hast du auch sichergestellt, dass auf der pfSense Seite, bei den WG Peers dort auch unter "Allowed IPs" das Ziel Netz der Fritte eingetragen ist mit der 24er Maske?
Kannst du denn von der Fritte nur die pfSense über das Transfernetz anpingen oder auch das Netz hinter der pfSense?

alex303 · Mar 14, 2024, 9:40 PM

Hallo zusammen,

bin auch dabei mir einen WireGuard Tunnel zur Fritzbox aufzubauen.

Nach diesem Video hatte ich den Tunnel eingerichtet:
https://www.youtube.com/watch?v=Zp-cN1Lcw9o&t=310s

pfSense IP: 192.168.40.254
Fritzbox IP 192.168.45.254
WireGuard Tunnel pfSense: 10.10.0.254
Peer Fritzbox IP: 10.10.0.1

Auf der pfSense habe ich folgendes Problem, sobald ich das Gateway aktiviere, kann man keine Internetseite mehr öffnen.

Die Fritzbox lässt sich auch nicht anpingen, nur die Wireguard IP der Fritzbox 10.10.0.1.
login-to-view login-to-view
login-to-view