VPN pfSense Fritte

eagle61

@JeGr said in VPN pfSense Fritte:

Wenn beide Seiten dynamisch sind, kann Wireguard auch direkt in die Hose gehen, dann kanns sein, dass die sich nach beidseitigem IP change gar nicht mehr finden, weil sie die DynDNS nicht frisch einlesen

Ich finde es auch nervig, dass viele ISP in DE bei Privatkundentarifen noch immer die Zwangstrennung machen und durch diese Zwangstrennung immer eine neue IPv4-Adresse und ein neuer IPv6-Präfix zugewiesen werden. Aber das lässt sich ganz gut managen.
Ich bin mit meiner pfsense auch bei so einem ISP. Jede Nacht Zwangstrennung. Da ich vor der pfsense ein Modem habe und daher PPPoE verwende, kann ich das aber via /var/etc/pppoe_restart_pppoe0 als Cronjob steuerm, also wenigstens auf die Minute genau die Zeit bestimmen zu der das passiert.
Als DynDNS-Client nutze ich seitens der pf den customv4 und customv6. Maximal zwei Minuten nach dem PPPoE-Restart übermitteln der die neue IPv4 und IPv6 an den DynDNS-Provider. Das klappt seit Monaten 100% zuverlässig, wie die Logs belegen.
Als VPN zwischen pfsense und FritzBoxen nutze ich nur noch Wireguard. Auch diese sind beim Provider mit Zwangstrennung. Die nutzen den MyFritz-DnyDNS-Dienst. Auch der liefert zuverlässig nach der Zwangstrennung die korrekten Ipv4- und IPv6-Adressen.
Hinter einer der Fritten hab ich noch einen Rapsberry PI. Der u.a. den Tunnel überwacht. Schickt alle 15 Minuten 5 pings durch den Tunnel und wenn die Pings nicht durchgehen bekomme ich von dem Pi ne eMail. Kam in drei Monaten drei oder vier mal vor, dass diese eMail kam. Sobald der Tunnel dann wieder steht, kommt noch eine Mail. Weg war der Tunnel nie länger als diese 15 Minuten.

EuroPC

@eagle61 den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.
Dann habe ich auf der Syno halt noch eine Synology.me Adresse. Richtig zuverlässig ist die auch nicht.

Allerdings habe ich quad9 als DNS als DNS Resolver , wie auf der Quade Seite für pfsense beschrieben, konfiguriert. Könnte es da Probleme geben? Eigentlich ja nicht, da auch ein DNS die Anfragen ja weitergereicht werden. Bin da aber nicht im Thema.

Was WG angeht, ich werde das jetzt ernsthaft mal probieren. Erstmal mit der festen IP, kann man ja später umstellen.

Danke erstmal, EuroPC

EuroPC

@NOCling guten Morgen,

Dann erstelle ich eine FW rulers :
unter wan einerseits eine Weiterleitung zum Reverse Proxy auf der Diskstation

IPv4 tcp/udp source * port 443 destination 192.168.1.9 port 443 gateway *

Und
IPv4 ICMP any * * * **

Ist das so korrekt?

Gruß, EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.

ipv64.net nutze ich auch. Läuft bei mir seit Monaten sehr zuverlässig. Daher kann ich deine Unzuverlässigkeitsaussage nicht nachvollziehen, es sei denn die Konfiguration bei dir ist an irgendeiner Stelle suboptimal. Um das zu beurteilen fehlen mir aber viele Informationen zu deinem Anschluss ans Netz des ISP seitens der pfsense (Telekom).

1. was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?
2. Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?
3. wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.

Je nachdem was bei dir der Fall ist hat das Auswirkungen auf das Update der IP-Adresse zum DynDNS-Service. Befindet sich die pfsense hinter einem Router, dann bekommt sie meist nur mit gewisser Verzögerung die Änderung der IP nach Zwangstrennung mit. Somit würde die pfsense auch erst mit eben dieser Verzögerung dem DynDNS-Provider (wie ipv64) eine Änderung übermitteln und der dann erst die DNS-Records anpassen können.

Ob du nun die DNS-Server von Quad9 nimmst oder die der Telekom ist dabei unerheblich. Ich nutze z.B. die der Digitalen Gesellschaft CH, also auch nicht die meines ISP. Für den DynDNS-Dienst ist das egal.

EuroPC

@eagle61

Zu Deinen Fragen:

was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?

Telekom, dsl 100

Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?

Netgate2100 24.03-RELEASE (arm64)

wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.

PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden :-( ) und für eine pfSenses und die Digiboxen
den Account Update eingetragen. Das wahr wohl falsch und ich stelle gerade auf Domain Update um.

Mein Problem mit der Zuverlässigkeit könnte auch an der Telekom liegen, Die Verbindung bricht gerne ab und baut sich nach einiger Zeit neu auf (in der pfSense steht nichts von "Dial on Deamnd").

Ändert sich dadurch die IP, is das für DynDNS oder gar VPN tödlich.

Daher denke ich, sollte ich das erstmal abklären.

Wenn ihr mal draufscchauen wollt, auch wenn ich vom VPN jetzt eher OT gehe:

Nichtgenanntes ist nicht aktiviert.

WAN enabled
IPv4: PPPoE
IPv6: dhcp6
mtu 1492
Request a IPv6 prefix/information through the IPv4 connectivity link
Prefix delegation size 56
Send an IPv6 prefix hint to indicate the desired prefix size for delegation
username und passwort xxxxxxx

Block private networks and loopback addresses
Block bogon networks

LAN enabled
Static v4
Track interface
IP 192,168,1,1

IPv6 Interface WAN
Prefix id 0

In Syntem/Advanced/ Networkking
DHCP6 Debug
DHCP6 DUID RAW
allow IPv6

Hardware TCP Segmentation Offloading
Hardware Large Receive Offloading
hn ALTQ support

DHCPV
WAN rules
FW regeln: 

Bitte schaut da einmal drüber. Ich werde mal bei der Telekom wegen der Verbindungaussetzer anfragen und mein Modem, Vigor 160 mit neuester Firmware (habe das gerade kontrolliert) mal gegen eine Digibox oder Fritte testweise tauschen.

Einen schönen Sonntag euch,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden

Ich nutze tatsächlich sogar die Präfix-/Subdomain Update Token und habe das Häkchen bei Wildcard (*.) automatisch setzen? entfernt, Diese Präfix-/Subdomain Update Token finden sich hinter dem Anker-Symbol neben den jeweiligen Subdomains.

Im IPv6-Bereich bedarf es ja keiner NAT mehr. Wenn man also (wie ich) hinter der pfsense noch Server betriebt, die über eine Subdomain direkt via IPv6 erreichbar sind, dann muss man die Ipv6-Adresse für genau diese Subdomain ja aktualisieren.

eagle61

@EuroPC said in VPN pfSense Fritte:

PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

Das sieht wie bei mir auch aus. Unterschied:
Ich nutze das Draytek Vigor 167 statt des 166 und bin bei o2 statt Telekom. Aber o2 macht bei xDSL nichts anders als die Telekom.

Welches Gerät managt bei dir die VLAN-ID?
Die ist bei Telekom wie bei o2 VLAN-ID7
Ich lass das das Vigor 167 machen, da das beim Vigor 167 schon die default Einstellung war und das Vigor 167 gleich nach dem Anschlließen an die TAE-Dose und Strom sofort eine Verbindung zu o2 hatte.

EuroPC

@eagle61
Wo genau der Unterschied der beiden ist, kann ich aus dem Stehgreif gar nicht sagen. Evtl habe ich aber noch nen 167 zum Testen.
Und zur Not FB 790 oder Digibox „Gen 1“.

VLan 7 wird bei mir durch den Draytek gesetzt. In der PfSense mache ich da nichts.
Operiert im Modem/ Bridge Mode
DSL Mode Auto u d Modem Code Auto.
Adels enabled Tag 7 Prio 0
Vdsl2/ Gfast enable
Tag 7 prio 0
MTU 1500, das könnte sich an 1492 in der PFSense bei der WAN Config stören…

Eine Vigor ebenfalls. Ich ändre nur deren IP auf 192.168.1.2, da die Sense 1.1 haben will.

Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll und probiere auch gerade Port forwarding (daum wäre mir VPN lieber) , den Reverse Proxy, evtl für Paperless, Bitwarden oder Plex im Docker der DS und cloudflare als Reverse Proxy.

Gruß,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Gfast

das ist der Unterschied. das 166 kann G.Fast /
Supervectoring / VDSL2, das 167 Supervectoring /
ADSL2/2+ / VDSL2

und das 167 soll nur etwa halb so viel Strom ziehen wie das 166, weil es modernere stromsparende Chips nutzt. Darum hab ich das genommen.

EuroPC

@eagle61 ok, also kein weltbewegender Unterschied für mich, denke ich.

** und das 167 soll nur etwa halb so viel Strom ziehen wie das 166** das ist allerdings ein relevanter Unterschied. Den hatte ich übersehen. Mal schauen, ob ich einen 167 rumliegen habe.

eagle61

@EuroPC said in VPN pfSense Fritte:

Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll

Wenn die Diskstation nicht ständig erreichbar sein soll, dann reicht es natrülich via VPN zu gehen.

Bei mir ist es u.a. eine Nextcloud. Auf der hab ich Kalender, Adressbuch und synce zu der auch FIles, wie etwa Fotos. Das alle natrülich auch von meinen Android-Geräten, denn ich nutze dafür nicht das Google-Konto, dessen Adressbuch oder Kalender, etc. Damit das klappt und ich nicht 24/7 eine VPN-verbindung auf den Androiden aktuv halten muss, mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.

EuroPC

@eagle61 doch, die DS läuft 24/7.
das VPN wäre von daher nett, da ich auch wenn ich bei ,einen Eltern bin auf meine Plex Daten zugreifen kann. Das hoffe ich zumindest, da ich per VPN ja zwei unterschiedliche lokale zu einem lokalen zusammengefasst habe.

Momentan erhoffe ich mir erstmal ein stabiles DSL und damit DynDNS.
Quickconnect hilft hier ja nicht, da nur Synology.

** mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.**
Muss ich mir näher ansehen. Dachte VPN und IpV6 mögen sich (noch) nicht.
Das muss ich mir näher ansehen.

Gruß EuroPC

Ps: Ich muss eben zum Sport.

eagle61

@EuroPC said in VPN pfSense Fritte:

Dachte VPN und IpV6 mögen sich (noch) nicht.

Das mag für IPSec gelten. Für Wireguard gilt das nicht. Wireguard kann v6

Man muss halt das Transfernetz mit einer IPv4- und IPv6-Adressen versehen

NOCling

Das hier sind Tunnel zu 75er AVM Kinsten, die mit aktuelle Firmware primär über IPv6 laufen:

Die Basis muss halt stimmen, IPs der Gegenstellen müssen erreichbar sein, wenigstens eine die als Responder arbeitet.
DynDNS muss auf beiden Seiten sauber arbeiten und am besten mit kurzer TTL. Ich nutze hier 60 Sekunden, dann ist auch eine IP Änderung kein Problem, vor allem nicht bei IPsec wenn man Mobike aktiviert.

Über was für Probleme redet ihr hier?

eagle61

@NOCling said in VPN pfSense Fritte:

Über was für Probleme redet ihr hier?

Wenn du in der Diskussion zeitlich etwas weiter zurückgehst, dann wirst du sehen, dass wir das Problem längst erkannt haben. EuroPC hat eine unsaubere DynDNS-Konfiguration und keine statischen IP-Adressen. Somit kann VPN nicht klappen, solange das nicht behoben ist.

Was IPv6 angeht. Ich habe nicht bestritten dass IPSec auch v6 kann. Da ich aber ohnehin kein IPSec nutze und überzeugt bin, das Wireguard performanter ist und die modernere Verschüsselung nutzt, nutze ich Wireguard stattdessen und empfehle das auch weiter, wenn man die Wahl zwischen IPSec und Wireguard hat und das sowieso gerade neu aufsetzen muss.

Das heißt ja nicht IPSec sei schlecht.
Es soll nur heißen:
Das bessere ist der Feind des guten ;-)

NOCling

Was die Performance angeht, tun sich beide nichts, wenn man die MSS sauber setzt. Bei IPsec ist das 1328 für den Tunnel Mode, so das man hier auf Padding verzichtet.

Wireguard ist ok, sollte es aber mal ein Problem geben, kannst du nicht einfach mal die Einstellungen ändern um dich dem aktuellen Stand der Technik an zu passen. Sprich so etwas wie Terrapin hoch kommt.

EuroPC

@eagle61 guten Morgen,
** hat eine unsaubere DynDNS-Konfiguration und keine statischen IP-Adressen**

Daher werde ich mich diesem Problem zuwenden und die VPN Idee erstmal ad Acta legen.

Euro PC

EuroPC

@NOCling danke.
Ich werde erstmal mein DynDNS in Ordnung bringen und dann die VPN Idee weiterverfolgen

So lange wie möglich würde ich da auch bei der Fritte gerne weiterhin IpSec nutzen.
Aber ob IPSec oder WG, ohne DynDNS wird das nichts.

Gruß, EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Ich werde erstmal mein DynDNS in Ordnung bringen

hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

Damit kannst du den Zeitpunkt der täglichen Zangstrennung bestimmen und dieser Cronjob bewirkt dann auch das die sinnvollerweise nach einer Neuverbndung und Bezug neuer IP-Adressen folgenden Prozesse angestoßen werden, wie eben übermittlung der neuen IPv4- und IPv6-Adressen an den DynDNS-Provider.

Nutzt natürlich nur richtig viel, wenn es nicht mehrere Neuverbundungen pro Tag gibt. Die Cronjobs bearbeiten kannst du wenn du unter System / Package Manager / Available Packages auch das Paket Cron aus den sysutils installiert hast.

EuroPC

@eagle61 said in VPN pfSense Fritte:

hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

Interesant. Stelle ich heute Abend mal ein,