Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN pfSense Fritte

    Scheduled Pinned Locked Moved Deutsch
    92 Posts 5 Posters 9.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eagle61
      last edited by

      @JeGr said in VPN pfSense Fritte:

      Wenn beide Seiten dynamisch sind, kann Wireguard auch direkt in die Hose gehen, dann kanns sein, dass die sich nach beidseitigem IP change gar nicht mehr finden, weil sie die DynDNS nicht frisch einlesen

      Ich finde es auch nervig, dass viele ISP in DE bei Privatkundentarifen noch immer die Zwangstrennung machen und durch diese Zwangstrennung immer eine neue IPv4-Adresse und ein neuer IPv6-Präfix zugewiesen werden. Aber das lässt sich ganz gut managen.
      Ich bin mit meiner pfsense auch bei so einem ISP. Jede Nacht Zwangstrennung. Da ich vor der pfsense ein Modem habe und daher PPPoE verwende, kann ich das aber via /var/etc/pppoe_restart_pppoe0 als Cronjob steuerm, also wenigstens auf die Minute genau die Zeit bestimmen zu der das passiert.
      Als DynDNS-Client nutze ich seitens der pf den customv4 und customv6. Maximal zwei Minuten nach dem PPPoE-Restart übermitteln der die neue IPv4 und IPv6 an den DynDNS-Provider. Das klappt seit Monaten 100% zuverlässig, wie die Logs belegen.
      Als VPN zwischen pfsense und FritzBoxen nutze ich nur noch Wireguard. Auch diese sind beim Provider mit Zwangstrennung. Die nutzen den MyFritz-DnyDNS-Dienst. Auch der liefert zuverlässig nach der Zwangstrennung die korrekten Ipv4- und IPv6-Adressen.
      Hinter einer der Fritten hab ich noch einen Rapsberry PI. Der u.a. den Tunnel überwacht. Schickt alle 15 Minuten 5 pings durch den Tunnel und wenn die Pings nicht durchgehen bekomme ich von dem Pi ne eMail. Kam in drei Monaten drei oder vier mal vor, dass diese eMail kam. Sobald der Tunnel dann wieder steht, kommt noch eine Mail. Weg war der Tunnel nie länger als diese 15 Minuten.

      E 1 Reply Last reply Reply Quote 1
      • E
        EuroPC @eagle61
        last edited by

        @eagle61 den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.
        Dann habe ich auf der Syno halt noch eine Synology.me Adresse. Richtig zuverlässig ist die auch nicht.

        Allerdings habe ich quad9 als DNS als DNS Resolver , wie auf der Quade Seite für pfsense beschrieben, konfiguriert. Könnte es da Probleme geben? Eigentlich ja nicht, da auch ein DNS die Anfragen ja weitergereicht werden. Bin da aber nicht im Thema.

        Was WG angeht, ich werde das jetzt ernsthaft mal probieren. Erstmal mit der festen IP, kann man ja später umstellen.

        Danke erstmal, EuroPC

        E 1 Reply Last reply Reply Quote 0
        • E
          EuroPC @NOCling
          last edited by

          @NOCling guten Morgen,

          Dann erstelle ich eine FW rulers :
          unter wan einerseits eine Weiterleitung zum Reverse Proxy auf der Diskstation

          IPv4 tcp/udp source * port 443 destination 192.168.1.9 port 443 gateway *

          Und
          IPv4 ICMP any * * * **

          Ist das so korrekt?

          Gruß, EuroPC

          1 Reply Last reply Reply Quote 0
          • E
            eagle61 @EuroPC
            last edited by

            @EuroPC said in VPN pfSense Fritte:

            den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.

            ipv64.net nutze ich auch. Läuft bei mir seit Monaten sehr zuverlässig. Daher kann ich deine Unzuverlässigkeitsaussage nicht nachvollziehen, es sei denn die Konfiguration bei dir ist an irgendeiner Stelle suboptimal. Um das zu beurteilen fehlen mir aber viele Informationen zu deinem Anschluss ans Netz des ISP seitens der pfsense (Telekom).

            1. was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?
            2. Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?
            3. wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.

            Je nachdem was bei dir der Fall ist hat das Auswirkungen auf das Update der IP-Adresse zum DynDNS-Service. Befindet sich die pfsense hinter einem Router, dann bekommt sie meist nur mit gewisser Verzögerung die Änderung der IP nach Zwangstrennung mit. Somit würde die pfsense auch erst mit eben dieser Verzögerung dem DynDNS-Provider (wie ipv64) eine Änderung übermitteln und der dann erst die DNS-Records anpassen können.

            Ob du nun die DNS-Server von Quad9 nimmst oder die der Telekom ist dabei unerheblich. Ich nutze z.B. die der Digitalen Gesellschaft CH, also auch nicht die meines ISP. Für den DynDNS-Dienst ist das egal.

            E 1 Reply Last reply Reply Quote 1
            • E
              EuroPC @eagle61
              last edited by EuroPC

              @eagle61

              Zu Deinen Fragen:

              was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?
              

              Telekom, dsl 100

              Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?
              

              Netgate2100 24.03-RELEASE (arm64)

              wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.
              

              PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

              Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden :-( ) und für eine pfSenses und die Digiboxen
              den Account Update eingetragen. Das wahr wohl falsch und ich stelle gerade auf Domain Update um.

              Mein Problem mit der Zuverlässigkeit könnte auch an der Telekom liegen, Die Verbindung bricht gerne ab und baut sich nach einiger Zeit neu auf (in der pfSense steht nichts von "Dial on Deamnd").

              Ändert sich dadurch die IP, is das für DynDNS oder gar VPN tödlich.

              Daher denke ich, sollte ich das erstmal abklären.

              Wenn ihr mal draufscchauen wollt, auch wenn ich vom VPN jetzt eher OT gehe:

              Nichtgenanntes ist nicht aktiviert.

              WAN enabled
              IPv4: PPPoE
              IPv6: dhcp6
              mtu 1492
              Request a IPv6 prefix/information through the IPv4 connectivity link
              Prefix delegation size 56
              Send an IPv6 prefix hint to indicate the desired prefix size for delegation
              username und passwort xxxxxxx

              Block private networks and loopback addresses
              Block bogon networks

              LAN enabled
              Static v4
              Track interface
              IP 192,168,1,1

              IPv6 Interface WAN
              Prefix id 0

              In Syntem/Advanced/ Networkking
              DHCP6 Debug
              DHCP6 DUID RAW
              allow IPv6

              Hardware TCP Segmentation Offloading
              Hardware Large Receive Offloading
              hn ALTQ support

              DHCPV
              WAN rules
              FW regeln: ![alt text](FW rules.png image url)

              DHCPv6.png ipv6_RA.png

              Bitte schaut da einmal drüber. Ich werde mal bei der Telekom wegen der Verbindungaussetzer anfragen und mein Modem, Vigor 160 mit neuester Firmware (habe das gerade kontrolliert) mal gegen eine Digibox oder Fritte testweise tauschen.

              Einen schönen Sonntag euch,
              EuroPC

              E 1 Reply Last reply Reply Quote 0
              • E
                eagle61 @EuroPC
                last edited by

                @EuroPC said in VPN pfSense Fritte:

                Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden

                Ich nutze tatsächlich sogar die Präfix-/Subdomain Update Token und habe das Häkchen bei Wildcard (*.) automatisch setzen? entfernt, Diese Präfix-/Subdomain Update Token finden sich hinter dem Anker-Symbol neben den jeweiligen Subdomains.

                Im IPv6-Bereich bedarf es ja keiner NAT mehr. Wenn man also (wie ich) hinter der pfsense noch Server betriebt, die über eine Subdomain direkt via IPv6 erreichbar sind, dann muss man die Ipv6-Adresse für genau diese Subdomain ja aktualisieren.

                E 1 Reply Last reply Reply Quote 1
                • E
                  eagle61
                  last edited by

                  @EuroPC said in VPN pfSense Fritte:

                  PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

                  Das sieht wie bei mir auch aus. Unterschied:
                  Ich nutze das Draytek Vigor 167 statt des 166 und bin bei o2 statt Telekom. Aber o2 macht bei xDSL nichts anders als die Telekom.

                  Welches Gerät managt bei dir die VLAN-ID?
                  Die ist bei Telekom wie bei o2 VLAN-ID7
                  Ich lass das das Vigor 167 machen, da das beim Vigor 167 schon die default Einstellung war und das Vigor 167 gleich nach dem Anschlließen an die TAE-Dose und Strom sofort eine Verbindung zu o2 hatte.

                  1 Reply Last reply Reply Quote 0
                  • E
                    EuroPC @eagle61
                    last edited by EuroPC

                    @eagle61
                    Wo genau der Unterschied der beiden ist, kann ich aus dem Stehgreif gar nicht sagen. Evtl habe ich aber noch nen 167 zum Testen.
                    Und zur Not FB 790 oder Digibox „Gen 1“.

                    VLan 7 wird bei mir durch den Draytek gesetzt. In der PfSense mache ich da nichts.
                    Operiert im Modem/ Bridge Mode
                    DSL Mode Auto u d Modem Code Auto.
                    Adels enabled Tag 7 Prio 0
                    Vdsl2/ Gfast enable
                    Tag 7 prio 0
                    MTU 1500, das könnte sich an 1492 in der PFSense bei der WAN Config stören…

                    Eine Vigor ebenfalls. Ich ändre nur deren IP auf 192.168.1.2, da die Sense 1.1 haben will.

                    Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll und probiere auch gerade Port forwarding (daum wäre mir VPN lieber) , den Reverse Proxy, evtl für Paperless, Bitwarden oder Plex im Docker der DS und cloudflare als Reverse Proxy.

                    Gruß,
                    EuroPC

                    E 2 Replies Last reply Reply Quote 0
                    • E
                      eagle61 @EuroPC
                      last edited by eagle61

                      @EuroPC said in VPN pfSense Fritte:

                      Gfast

                      das ist der Unterschied. das 166 kann G.Fast /
                      Supervectoring / VDSL2, das 167 Supervectoring /
                      ADSL2/2+ / VDSL2

                      und das 167 soll nur etwa halb so viel Strom ziehen wie das 166, weil es modernere stromsparende Chips nutzt. Darum hab ich das genommen.

                      E 1 Reply Last reply Reply Quote 1
                      • E
                        EuroPC @eagle61
                        last edited by EuroPC

                        @eagle61 ok, also kein weltbewegender Unterschied für mich, denke ich.

                        ** und das 167 soll nur etwa halb so viel Strom ziehen wie das 166** das ist allerdings ein relevanter Unterschied. Den hatte ich übersehen. Mal schauen, ob ich einen 167 rumliegen habe.

                        1 Reply Last reply Reply Quote 0
                        • E
                          eagle61 @EuroPC
                          last edited by

                          @EuroPC said in VPN pfSense Fritte:

                          Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll

                          Wenn die Diskstation nicht ständig erreichbar sein soll, dann reicht es natrülich via VPN zu gehen.

                          Bei mir ist es u.a. eine Nextcloud. Auf der hab ich Kalender, Adressbuch und synce zu der auch FIles, wie etwa Fotos. Das alle natrülich auch von meinen Android-Geräten, denn ich nutze dafür nicht das Google-Konto, dessen Adressbuch oder Kalender, etc. Damit das klappt und ich nicht 24/7 eine VPN-verbindung auf den Androiden aktuv halten muss, mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.

                          E 1 Reply Last reply Reply Quote 1
                          • E
                            EuroPC @eagle61
                            last edited by EuroPC

                            @eagle61 doch, die DS läuft 24/7.
                            das VPN wäre von daher nett, da ich auch wenn ich bei ,einen Eltern bin auf meine Plex Daten zugreifen kann. Das hoffe ich zumindest, da ich per VPN ja zwei unterschiedliche lokale zu einem lokalen zusammengefasst habe.

                            Momentan erhoffe ich mir erstmal ein stabiles DSL und damit DynDNS.
                            Quickconnect hilft hier ja nicht, da nur Synology.

                            ** mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.**
                            Muss ich mir näher ansehen. Dachte VPN und IpV6 mögen sich (noch) nicht.
                            Das muss ich mir näher ansehen.

                            Gruß EuroPC

                            Ps: Ich muss eben zum Sport.

                            E 1 Reply Last reply Reply Quote 0
                            • E
                              eagle61 @EuroPC
                              last edited by eagle61

                              @EuroPC said in VPN pfSense Fritte:

                              Dachte VPN und IpV6 mögen sich (noch) nicht.

                              Das mag für IPSec gelten. Für Wireguard gilt das nicht. Wireguard kann v6
                              Bildschirmfoto_2024-09-08_12-43-16.png
                              Man muss halt das Transfernetz mit einer IPv4- und IPv6-Adressen versehen

                              1 Reply Last reply Reply Quote 1
                              • N
                                NOCling
                                last edited by

                                Das hier sind Tunnel zu 75er AVM Kinsten, die mit aktuelle Firmware primär über IPv6 laufen:
                                3d6c9fc9-72a8-46e7-980f-40ac852d7c03-image.png
                                407c01a6-9f57-413e-8a36-27764f822d35-image.png

                                Die Basis muss halt stimmen, IPs der Gegenstellen müssen erreichbar sein, wenigstens eine die als Responder arbeitet.
                                DynDNS muss auf beiden Seiten sauber arbeiten und am besten mit kurzer TTL. Ich nutze hier 60 Sekunden, dann ist auch eine IP Änderung kein Problem, vor allem nicht bei IPsec wenn man Mobike aktiviert.

                                Über was für Probleme redet ihr hier?

                                Netgate 6100 & Netgate 2100

                                E E 2 Replies Last reply Reply Quote 1
                                • E
                                  eagle61 @NOCling
                                  last edited by

                                  @NOCling said in VPN pfSense Fritte:

                                  Über was für Probleme redet ihr hier?

                                  Wenn du in der Diskussion zeitlich etwas weiter zurückgehst, dann wirst du sehen, dass wir das Problem längst erkannt haben. EuroPC hat eine unsaubere DynDNS-Konfiguration und keine statischen IP-Adressen. Somit kann VPN nicht klappen, solange das nicht behoben ist.

                                  Was IPv6 angeht. Ich habe nicht bestritten dass IPSec auch v6 kann. Da ich aber ohnehin kein IPSec nutze und überzeugt bin, das Wireguard performanter ist und die modernere Verschüsselung nutzt, nutze ich Wireguard stattdessen und empfehle das auch weiter, wenn man die Wahl zwischen IPSec und Wireguard hat und das sowieso gerade neu aufsetzen muss.

                                  Das heißt ja nicht IPSec sei schlecht.
                                  Es soll nur heißen:
                                  Das bessere ist der Feind des guten ;-)

                                  E 1 Reply Last reply Reply Quote 1
                                  • N
                                    NOCling
                                    last edited by

                                    Was die Performance angeht, tun sich beide nichts, wenn man die MSS sauber setzt. Bei IPsec ist das 1328 für den Tunnel Mode, so das man hier auf Padding verzichtet.

                                    Wireguard ist ok, sollte es aber mal ein Problem geben, kannst du nicht einfach mal die Einstellungen ändern um dich dem aktuellen Stand der Technik an zu passen. Sprich so etwas wie Terrapin hoch kommt.

                                    Netgate 6100 & Netgate 2100

                                    E 1 Reply Last reply Reply Quote 1
                                    • E
                                      EuroPC @eagle61
                                      last edited by

                                      @eagle61 guten Morgen,
                                      ** hat eine unsaubere DynDNS-Konfiguration und keine statischen IP-Adressen**

                                      Daher werde ich mich diesem Problem zuwenden und die VPN Idee erstmal ad Acta legen.

                                      Euro PC

                                      1 Reply Last reply Reply Quote 0
                                      • E
                                        EuroPC @NOCling
                                        last edited by

                                        @NOCling danke.
                                        Ich werde erstmal mein DynDNS in Ordnung bringen und dann die VPN Idee weiterverfolgen

                                        So lange wie möglich würde ich da auch bei der Fritte gerne weiterhin IpSec nutzen.
                                        Aber ob IPSec oder WG, ohne DynDNS wird das nichts.

                                        Gruß, EuroPC

                                        E 1 Reply Last reply Reply Quote 0
                                        • E
                                          eagle61 @EuroPC
                                          last edited by

                                          @EuroPC said in VPN pfSense Fritte:

                                          Ich werde erstmal mein DynDNS in Ordnung bringen

                                          hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

                                          Damit kannst du den Zeitpunkt der täglichen Zangstrennung bestimmen und dieser Cronjob bewirkt dann auch das die sinnvollerweise nach einer Neuverbndung und Bezug neuer IP-Adressen folgenden Prozesse angestoßen werden, wie eben übermittlung der neuen IPv4- und IPv6-Adressen an den DynDNS-Provider.

                                          Nutzt natürlich nur richtig viel, wenn es nicht mehrere Neuverbundungen pro Tag gibt. Die Cronjobs bearbeiten kannst du wenn du unter System / Package Manager / Available Packages auch das Paket Cron aus den sysutils installiert hast.

                                          E 2 Replies Last reply Reply Quote 1
                                          • E
                                            EuroPC @eagle61
                                            last edited by

                                            @eagle61 said in VPN pfSense Fritte:

                                            hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

                                            hast du eigentlich unter Interfaces / WAN und dort dann unter PPPoE Configuration den Custom reset aktiviert? Dadurch wird dann ein Cronjob angelegt (/var/etc/pppoe_restart_pppoe0)

                                            Interesant. Stelle ich heute Abend mal ein,

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.