Wireguard Fritzbox-pfSense

alex303

@m0nji said in Wireguard Fritzbox-pfSense:

Also drauf achten, dass die reale Fritzbox IP, in meinem Beispiel 172.21.22.22/24, eingetragen wird.

Nachdem ich dann NUR die IP der Fritte eingetragen habe funktioniert es jetzt.

Vielen Dank für euere Unterstützung.

@m0nji said in Wireguard Fritzbox-pfSense:

Interface WG MTU wie gesagt auf 1400 oder 1300 stellen

Woran kann man erkennen wann der richtige Wert eingetragen ist?
Muss man bei MSS auch etwas eingetragen?
Soll man MTU auf im LAN Interface eintragen?

Teddy

@m0nji

Danke, MTU umgestellt und die interface Konfiguration korrigiert.

Aktuelle Konfiguration für die FritzBox (welche weiterhin 192.168.178.1 hat und wie bei deiner Konfiguration auch unter "Address" festgelegt wurde.

[Interface]
PrivateKey = QEAXXXXXXXXXXXXXXXXXXXXXXXXXG00=
Address = 192.168.178.1/24
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = Xc9HXXXXXXXXXXXXXXXXXXXXXXXXXCu7BQ=
PresharedKey = E/bXXXXXXXXXXXXXXXXXXXXXXXXXXf1zkQ=
AllowedIPs = 192.168.3.0/24, 10.10.20.0/24
Endpoint = pfsense.mnas.eu:51820
PersistentKeepalive = 25

🔒 Log in to view 🔒 Log in to view

Bin dort ein wenig ratlos, woran es noch liegen kann.
Der Tunnel wird sauber aufgebaut, ich kann vom Subnet der FritzBox aus auf das gesamte Netz hinter der PFSense zugreifen, umgekehrt allerdings nicht, kein Ping möglich, nichts, nada.
Heißt aber, es kann nicht (mehr) so viel falsch konfiguriert sein / fehlen, wenn das soweit schonmal klappt. Habe schonmal verschiedene Regeln für die Firewall und NAT versucht.

m0nji

@alex303 sehr gut!
bzgl. mtu müsstest du mal im netz suchen, da gibt es tonnen an anleitungen. ich kann dir an dieser stelle nur sagen, dass die standard mtu bei wireguard nicht optimal ist für diverse szenarien, bspw bemerken wir in der firma abbrüche bei z.b. rdp verbindungen über den tunnel.
erster google treffer um es etwas besser zu verstehen und zu berechnen: https://schroederdennis.de/vpn/wireguard-mtu-size-1420-1412-best-practices-ipv4-ipv6-mtu-berechnen/ (ohne wertung)

die mtu setzt du direkt auf dem dazugehörigen WG interface, NICHT auf dem LAN interface. MSS musst du meines wissens nach nicht ändern bei wireguard.

m0nji

@Teddy das was man hier sieht, sieht auch erstmal korrekt aus. kannst du denn von der pfsense (diagnostic --> ping) hosts auf der fritzbox seite anpingen, wenn du dort das wg interface auswählst?
prüf auch mal bitte die states (diagnostic --> states) und gib als ziel, während du ein ping auf einen host hinter der fritzbox ausführst, diesen host an. du solltest dort zwei einträge sehen. einmal dein lan interface und dein wg interface.

Teddy

@m0nji Ping auf der Oberfläche der PFSense an die FritzBox selbst und andere Geräte im Subnet der Fritzbox funktionieren anstandslos. Das verwundert mich eben so, dass mittlerweile sämtliche Pings anstandslos durchlaufen von der PFSense aus, aber von den Clients aus die Pings ins leere laufen.

PING 192.168.178.1 (192.168.178.1) from 10.10.20.2: 56 data bytes
64 bytes from 192.168.178.1: icmp_seq=0 ttl=64 time=64.922 ms
64 bytes from 192.168.178.1: icmp_seq=1 ttl=64 time=63.797 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=64 time=65.670 ms

--- 192.168.178.1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 63.797/64.796/65.670/0.770 ms

States? Wo kann ich dort ein Ziel angeben oder meintest du filtern nach den entsprechenden Einträgen? States habe ich noch nie genutzt, daher frage ich.

🔒 Log in to view

m0nji

@Teddy du gibst bei "Filter expression" einfach die IP ein, welche du parallel anpingst. interface bitte auf ALL lassen.

Teddy

@m0nji
WGFB icmp 10.10.20.2:36942 -> 192.168.178.1:36942 0:0 3 / 3 252 B / 252 B

Ich bin wieder einen kleinen Schritt weiter.
Dein Tipp mit der richtigen Konfiguration vom Gateway war also schonmal super und half weiter.

Fast mein gesamter Netzwerkverkehr wird durch einen VPN getunnelt (brauche ich sowieso, da nur CGNAT mit Starlink und somit kein Zugriff aufs Heimnetz / Plex & Co ansonsten).
Nun kann ich vom PFSense Netzwerk so einige Adressen im FritzBox Subnet pingen. Aber nicht alle und auch nicht die FritzBox. Spannende Frage ist nun natürlich warum....Die gepingten IP's lassen sich auch per Browser aufrufen, bspw. komme ich auf die Repeater der FritzBox, aber nicht auf die FritzBox selbst.

🔒 Log in to view
🔒 Log in to view

m0nji

@Teddy da ist irgendwie noch einiges nicht korrekt.

1. deine firewall rules auf dem lan interface ergeben in summe wenig sinn. du hast ganz unten für ipv4 und ipv6 eine rule, die ALLES darf (standard) und demzufolge kannst du dir die rules oben drüber sparen! gerade die "traffic through vpn" rule ist falsch, weil du die source nicht definierst und die destination sollte wohl eher lauten !RFC1918, da du nicht willst, dass interner verkehr über den openvpn tunnel geht. du hast aber nur das lan subnet definiert anstatt das gesamte rfc918. diese openvpn rule musst du generell erstmal deaktivieren bis dein wireguard sauber läuft.
2. wozu willst du bei CGNAT nach EXTERN alles über den openvpn tunnel jagen? wozu? eingehend würde ich ja noch verstehen aber doch nicht ausgehend!?! das ist doch nur dann sinnvoll, wenn du beispielsweise geoip sperren umgehen willst. wenn es aber darum geht, dass du intern services von extern erreichen willst, dann ist eher der openvpn rules tab wichtig ;). oder aber man schaut sich dann Cloudflare Tunnel, Tailscale oder Netbird an.

Teddy

@m0nji
Achja, die lieben Standardregeln, wo ich mich nie drum gekümmert habe. Erstmal deaktiviert, hatte irgendwann mal gedacht die wären nicht löschbar, aber das waren ja nur die BOGON im WAN interface & die LOCKOUT Rule hier.

Naja, witzigerweise funktionierte aber alles, wie es sollte. Hatte bei den Regeln auch teilweise mit tagging gearbeitet, so wie es vor Jahren in zahlreichen Anleitungen zu VPN & Co. zu finden war, um den Datenverkehr zu blockieren, wenn die VPN Verbindung verloren geht.
Genau um GeoIP geht es auch, bzw. wenn man mal einen Film sehen möchte, der beim üblichen Streaminganbieter nicht im Angebot ist ;)

Aber auf die Schnelle fällt dir nicht auf, wo es kneifen könnte, dass nur manche IP Adresse im Subnet der FritzBox erreichbar sind?

m0nji

@Teddy
was sagen denn die states wenn du einen funktionierenden und einen nicht funktionierenden host anpingst? vorhin hast du mir nur eine zeile kopiert. wie ich da aber schon geschrieben habe, müssen es zwei zeilen sein. einmal das lan interface und einmal das wg interface pro ping durchlauf.
und das gleiche würde ich danach noch einmal ausführen mit deaktivierter "traffic through vpn" rule + aktivierter standard rule. du hattest jetzt nur geschrieben, dass du diese deaktiviert hast.

ich gehe auch davon aus, dass du unter den vpn --> wireguard --> peer einstellungen "Allowed IPs" 10.10.20.0/24 und 192.168.178.0/24 eingetragen hast?

so oder so muss du diese ominöse vpn rule anpassen. sie ist halt nicht sauber. das geht jetzt aber bissel über den ansatz dieser anleitung drüber hinaus

Teddy

@m0nji
Ah okay, ich dachte es wäre alles relevante gewesen.

Mit "Traffic through VPN" aktivierter Regel:
192.168.178.1, die FritzBox selbst, welche ich nicht erreiche (ping per PFSense erfolgreich, Ping & Versuch des Aufrufens der Weboberfläche von einer WindowsVM erfolglos):
WGFB icmp 10.10.20.2:32557 -> 192.168.178.1:32557 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:15942 -> 192.168.178.1:15942 0:0 3 / 3 252 B / 252 B

192.168.178.22, einer der Repeater, der gepingt und per Oberfläche aufgerufen werden kann:
WGFB icmp 10.10.20.2:44593 -> 192.168.178.22:44593 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:44037 -> 192.168.178.22:44037 0:0 3 / 3 252 B / 252 B

Ohne aktivierte "Traffic through VPN" Regel, default Regel aktiviert:
192.168.178.1, die FritzBox selbst, welche ich nicht erreiche (ping per PFSense erfolgreich, Ping & Versuch des Aufrufens der Weboberfläche von einer WindowsVM erfolglos):
WGFB icmp 10.10.20.2:48831 -> 192.168.178.1:48831 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:47514 -> 192.168.178.1:47514 0:0 3 / 3 252 B / 252 B

192.168.178.22, einer der Repeater, der gepingt und per Oberfläche aufgerufen werden kann:
WGFB icmp 10.10.20.2:20226 -> 192.168.178.22:20226 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:38182 -> 192.168.178.22:38182 0:0 3 / 3 252 B / 252 B

Allowed IP's sind eingetragen unter "Peers", genau.

Wegen der VPN Regel schaue ich aktuell. Lief wie gesagt alles problemlos im Netzwerk, bis eben auf Wireguard, was ich für's einfache Backup vom Server gerne nutzen würde.

FritzBox sieht übrigens so aus:
🔒 Log in to view

m0nji

@Teddy die states passen leider nicht ganz zu dem was du tust...
wenn du von einer windows vm in dem 192.168.3.x interface einen host hinter der fritzbox pingst, müsste das in etwa so aussehen
🔒 Log in to view
hier in meinem beispiel habe ich mit meinem notebook im "clients" interface, einen host hinter der fritzbox gepingt.

in deinem beispiel sehe ich jetzt nur jeweils einen ping vom lan und wg interface der pfsense.
also bitte noch mal die states prüfen wenn du den aufruf icmp und port 80/443 von der windows vm machst.
was ich an dieser stelle eigentlich nur sehen möchte ist, ob die verbindung tatsächlich über das lan in das wg interface übergeben wird. warum dann aber nur ein teil der verbindungen durchgehen entzieht sich meiner kenntnis. ist nicht logisch für mich.

Teddy

@m0nji

Mal als kurzes Update:
Ich hatte mit Site-to-Site zwischen Fritzbox und PFSense gelinde gesagt die Schnauze voll und dann eine PFSense VM auf meinem Backup ESXI Server aufgesetzt (Proxmox Umstieg kommt im Sommer).

Anschließend nach der offiziellen Anleitung von PFSense eine Site-to-Site Verbindung aufgebaut und es gab schonmal erhebliche Verbesserungen:

• Die beiden TrueNAS Maschinen können sich gegenseitig erreichen und es wurden auch schon per Replication Gigabyteweise Daten hin- und hergeschoben durch den Wireguard Site-to-Site Tunnel. Tunnel funktioniert also an sich, sonst wäre das nicht möglich.

Auf dem Hauptserver habe ich drei Windows VM's:

• Eine nur mit einem NIC, kann die Hosts auf dem Backupserver erreichen und aufrufen (192.168.3.0 Subnet)
• Eine andere mit nur einem NIC, kann die Hosts auf dem Backupserver erreichen und aufrufen (192.168.3.0 Subnet)
• Eine andere mit mehreren NIC, kann die Hosts auf dem Backupserver NICHT erreichen ((192.168.3.0 Subnet und noch u.a. 192.168.10.0, 192.168.15.0)

Nun ist natürlich die Frage, wieso können die VM's mit nur einem NIC den anderen Host erreichen, die mit mehreren nicht.

Aber schweift nun natürlich hier im FritzBox Thread ab, seit die FritzBox nicht mehr im Spiel ist...

Roundness1237

Hallo zusammen,
ich bin eben durch Zufall auf das Thema gestoßen, da ich genau das selbe Problem hatte und auch die selbe Anleitung verwendet habe.

Ich habe als Lösung das S2S-VPN zwischen PFSense und der Fritzbox mittels Wireguard an den Nagel gehangen und stattdessen auf IPSec gewechselt mithilfe dieser Anleitung von Hetzer.
Danach hatten wir keinen Probleme, beide Netzwerke zu erreichen.

https://community.hetzner.com/tutorials/connect-avm-fritzbox-to-pfsense-ipsec

Zu beachten ist, dass man noch das alte Wireguard Gateway sowie die statische Route entfernen muss, damit das IPSec funktioniert.

Mich hat es ebenfalls sehr gewundert, dass PFSense "versteckte Regeln" erstellt, sodass IPSec ohne Anpassung der WAN-Schnittstelle in der Firewall funktioniert. Vielleicht ist es genau so eine verstecke EInstellung, die die Verbindung in Wireguard zum Fritzbox-Netz nicht unterstützt.

Siehe hier "https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/firewall-rules.html"

Vielleicht hilft die Information ja jemanden :)

Liebe Grüße

alex303

Wenn auf meinen Handy Wireguard eingeschaltet ist, komme ich immer von außen in mein Netzwerk.
Es sei denn ich bin zu Hause, dann funktioniert der Zugriff auf meine Synology nicht mehr solange Wireguard eingeschaltet ist.

In den Synology Apps habe ich den Zugang mit der DynDNS Adresse eingetragen, damit es extern auch ohne VPN funktioniert, im DNS Resolver unter Host Overrides habe ich die Adresse und die IP der Synology eingetragen.

Was fehlt denn hier noch?

Gruß
Alexander

Teddy

Komische Sache mit WireGuard und der FritzBox.

Ich hatte ja entnervt aufgegeben. Alles zurück auf Basis-Einstellungen bei der FritzBox, nur den DynDNS eingerichtet (wird auch fleißig erfolgreich upgedatet von der FritzBox) und wenigstens für meinen Laptop über den FritzBox Assistenten einen Tunnel konfiguriert, Konfigurationsdatei heruntergeladen und im Wireguard importiert. Selbiges für's Smartphone, QR Code mit der Wireguard App gescannt, fertig. Lief scheinbar erstmal.

Heute, in anderen WLAN und auch per LTE versucht mich mit diesen Konfigurationsdateien zu verbinden und es werden exakt 0 Byte an Daten empfangen. Ob Android, ob Windows 11, ob WLAN, ob LTE. Und das, obwohl die Box von DeutscheGlasfaser nun in Werkseinstellungen nur mit DynDNS und den vom Assistenten konfigurierten Einstellungen in Betrieb ist. Ich hab's Gefühl da ist irgendein Bug drin. Dass sowohl mein Android, als auch mein Windows 11 falsche Einstellungen vom Assistenten bekommen haben oder durch's WLAN oder LTE Wireguard blockiert wird, kann ich jetzt ziemlich sicher ausschließen. Aber wenn nicht mal das funktioniert, lohnt es für mich nicht dort noch stundenlang herumzudoktern.

@m0nji
Trotzdem tausend Dank für deine Bemühungen und Tips für die FireWall, Regeln habe ich mittlerweile überarbeitet.

m0nji

@Teddy das hat zwar jetzt nichts mehr mit pfSense zu tun und sollte eigentlich in einem eigenen Thread besprochen werden aber was mich direkt bei der Beschreibung stutzig macht ist der Umstand, dass du DeutscheGlasfaser erwähnst.
Soweit ich weiß, bietet DeutscheGlasfaser nur CGNAT an und das bedeutet, du hast keine eigene öffentliche IPv4 Adresse. Wenn du jetzt über ein fremdes WLAN oder LTE dich nach Hause verbinden möchtest, geht das ausschließlich über IPv6. Wenn dein DYNDNS nicht sauber auflöst und das fremde WLAN/LTE kein IPv6 kann, dann wirst du auch keine Verbindung mit deiner Fritzbox aufbauen können.