VPN pfSense Fritte
-
@NOCling said in VPN pfSense Fritte:
Aber bei der S2S Kopplung machen die wieder was eigenes und fahren hier kein sauberes Transfernetz
Das mit dem fehlenden Transfernetz lässt sich ändern. Auf Seitend er FB muss man dazu nur das Transfernetz auf der Seite der pfsense genau so hinzufügen wie weitere lokale Netze auf der Seite der pfsense.
Beispiel: Transfernetz is 192.168.111.0/24
LAN = 192.168.101.0/24
WIFI = 192.168.102.0/24In der Konfig der Box ist dann erst mal nur das LAN = 192.168.101.0/24 drin. Dann wird die entsprechende Zeile der Konfig der Box noch um 192.168.111.0/24 und 192.168.102.0/24 ergänzt.
Natürlich ist das Transfernetz voher auf der pfsense anzulegen.Genau so, wie man es eben für alle anderen Wireguard-Verbindungen zur sense auch machen würde.
-
@eagle61
Ok, da bin ich raus. Was hat es mit dem Transfernetz auf sich?
EuroPC -
Oder sauber Subnetting machen, mein Netz hier ist ein /19 für IPv4 und /59 für IPv6, beides sind 32 Netze.
Also kann ich einfach 192.168.x.y/19 in der Phase 2 angeben und schon geht alles durch den Tunnel.Zu meinen Eltern wo die 21er steht habe ich auch ein /19er und eine weitere P2, da ich hier eine Virtuelle IP anspreche die auf deren Seite auf die Cabel Modem IP 192.168.100.1 umgesetzt wird so das ich von hier aus auf die Kiste drauf komme.
Ja IPsec ist ein wenig komplexer, aber man bekommt dank der ganzen Möglichkeiten in der pf jede Kiste irgendwie angebunden.
Mal sehen was mit AVM passiert, jetzt wo die einem reinen Investor gehören.
-
@EuroPC said in VPN pfSense Fritte:
Ok, da bin ich raus. Was hat es mit dem Transfernetz auf sich?
Das kann man machen, wenn man eine Site2SIte-Verbindung haben will zwischen Box und sense, muss man aber nicht.
Die mesten Firewalls verwenden bei VPN ein Transfernetz. Egal ob OpenVPN oder Wireguard. AVM hält das für überflüssig. Deswegen wird, nutzt man den Einrichtungsasstenten von AVM für VPN, keines angelegt.
Es geht eben auch ohne und die bei AVM wollen es so simpel wie möglich machen, da deren Kunden-Zielgruppe eben meist Haushate sind, bei denen man in der Regel höchstens mal zwei Boxen miteinander per VPN verbinden will und Sicherheit in Relation zu EInfachheit der Konfiguration als nachrangig angesehen wird.
Hat man nun eine Firewall wie eine OPNsense oder pfsense in einer Unternehmenszentrale stehen und FritzBoxen in Filialen, dann muss man als Admin eben selbst Hand anlegen und das Transfernetz nachrüsten.
-
@EuroPC said in VPN pfSense Fritte:
Vielleicht hat es daher nicht funktioniert, als ich das mit WG probiert habe.
Falls Du es irgendwann nochmal probieren willst. Bei v64.tech (dem Forum von ipv64.net) gibt es eine gute Anleitung: Site2Site WireGuard Verbindung zwischen pfSense und FritzBox (https://v64.tech/t/anleitung-site2site-wireguard-verbindung-zwischen-pfsense-und-fritzbox/438).
In dieser Anleitung konnte ich lediglich einen kleine Fehler finden. Die MTU des Wireguard-Tunnels wurde auf dem Vorgabewert 1500 belassen. Diese darf in Netzen mit IPv6 aber nicht größer als 1412 und nicht kleiner als 1280 sein.
-
@eagle61 danke.
-
This post is deleted! -
Moin,@eagle61,
bitte enschuldige das späte Aufgreifen des Wireguard Themas.
IPSec wäre zwar schön, da es aber anscheinend auf dem "AVM- Abstellgles" steht, mache ich lieber mit der zeitemäßen Wirequard- Implementierung weiter.
Ich habe zwischenzeitlich versucht, der FB5590 nach dieser Anleitung auf ipv64.net (https://v64.tech/t/anleitung-site2site-wireguard-verbindung-zwischen-pfsense-und-fritzbox/438) beizugringen.
Leider hat die Frtitte das bisher immer beim Speichern mit einer Fehlermeldung quittiert.
Nun habe ich auf der FB schon Wireguard für mein Handy konfiguriert. Das könnte ein Grund dafür sein. Andererseits fragt der Assistent auch nicht explizit danach ob WG auf der FB schon läuft, müsste er ja selbsat wissen, sondern nur, ob es remote, also auf der Sense schon intalliert ist.
Daher werde ich nachher meine WG Einstellungen auf der FB komplett löschen und dann neu aufsetzen.Gruß,
EuroPC
-
@EuroPC said in VPN pfSense Fritte:
Leider hat die Frtitte das bisher immer beim Speichern mit einer Fehlermeldung quittiert. (...)
Daher werde ich nachher meine WG Einstellungen auf der FB komplett löschen und dann neu aufsetzenLösch erstmal nichts bei der pfsense.
Die Fehlermeldungen, die du nicht näher spezifizierst muss nichts mit der Konfiguration von Wireguard auf der pfsense zu tun haben.
Ich hatte bei meinen ersten Versuch Wireguard auf der Fritte meiner Mutter zu konfigurioeren auch immer wieder AVM-typische, weil nichtssagenede, Feherlemerlungen erhalten.Bevor du etwas bei der pfsense löscht, versuch erst einmal gemäß Anleitung von AVM (oder einer andren Anleitung aus dem Netz) und dem Assistenten der Fritte dort einen Wireguard-Zugang für dein Smartphone anzulegen.
Dadurch kannst du in Erfahrung bringen, ob es ein Problem auf der Seite der Fritte gibt oder doch etwas auf der pfsense nicht passend ist. Ich schreibe das, weil es bei mir tatsächlich zunächst ein Problem auf der Seite der Fritte gab. Daher konnte ich auch keinen Wireguard-Zugang für mein Smartphone anlegen. Klappt es dagegen auf Anhieb per Smartphone oder Tablet die Fritte per WIreguard aus der Ferne zu erreichen. Kannst du anfangen den Fehler beider pfsense zu suchen. Zudem musst du dann nicht immer zwischen der WOhnung mit der Fritte und jener mit der pfsense pendeln um die Konfiguration zu erstellen. Das gehtd ann auch per Fernzugriff per Tablet und Wireguard. Dafür solltest du dann aber die Sicherheitsfunktion deaktivieren, wonach immer eine Taste auf der Fritte gedrückt werden muss um die Konfiguration zu ändern oder per Telefon ein Code zu übermitteln ist. Ersetzen kannst du das durch Bestätigungscode per Google -Authenticator App. Selbst die alten 7490 oder 7430 haben das schon unterstützt.
Natürlich kannst du das auch vom Notebook oder einem anderen PC aus machen, auf dem du einen Wireguard-Client hast. Es sollte nur eben immer eine WIreguard-Verbindung aktuv bleiben, die auch den Reboot der Fritte übersteht, bzw. danach wieder aktiviert wird.Ach ja, bei mir hatte es wirklich nichts mit WIreguard selbst oder einem Fehler in der WIreguard Knfiguration zu tun. So weit ich mich erinnere, hatte es etwas mit den Netzwerkeinstellungen auf der Fritte selbst zu tun.
PS: sowohl im offiziellen Apple-, wie auch im Android-Appstore gibt es die offizielle App des WireGuard Development Teams.
-
Moin,
da war ich zu ungenau. Der Fehler erscheint auf der Fritzbox. Ich hatte da noch mein Handy per WG angeschlossen. Dann habe ich eine neue Verbindung hinzugefügt. Als Fehlermeldung kam dann "Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt."
Daraufhin habe ich noch eine IPSec Konfig zu der IP gefunden und gelöscht. Das half aber nicht. Dann habe ich die WG Verbindung zu meinem Handy gelöscht. Danach funktionierte es.
An der Sense kann ich leider erst heute Abend weiter arbeiten.Mal schauen, ob ich jetzt parallel auch einen Zugriff per Tablet aktivieren kann. Das würde einiges vereinfachen, vor allem die Pendelei.
Gruß, EuroPC
-
@EuroPC said in VPN pfSense Fritte:
Als Fehlermeldung kam dann "Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt.Okay zeitgleich eine IPSec und eine WIreguard-Verbindung zum selben Netzwerk geht nicht. Löchen muss man deswegen aber keine der beiden Verbindungen, diese nur zu deaktiviwren würde auch reichen.
Da der Netzwerkkonflikt aber noch bestand nachdem die IPSec-Verbindung schon gelöscht war, tippe ich auf eine doppelte Werwendung des Wireguard-Ports (Standard: UDP 51820).
Wurde der Port UDP 51820 bereits für die Geräte-Verbindung vom Smartphone zur Fritte benutzt, dann kannst du den Port UDP 51820 nicht erneut für die Verbindung zur pfsense benutzen. Das ergibt dann auch einen Netzwerkkonflikt.
Für jede Verbindung muss ein andere Port gewählt werden. Also 51821, 51822, 51823, etc. Wenn du Konfigurationen per per Hand angelegter Konfig-Datei importieren willst, musst du sebst darauf achten, dass es da keine Konflikte (also Doppelbelegungen) gibt.
Dito bei den IP-Adressen. Nutzt die Fritte z.B. die Adressen im Bereich 192.168.178.0/24 dann darf auf der pfsense nicht ebendieser Bereich auch verwendet werden. Auch darauf musst du selbst achten.Mist. Hab mich geirrt und oben mist geschrieben.
Die Fritte nimmt für alle Verbindungen den gleichen Port. Scheint den auch noch auszuwürfeln. Bei der Fritte einer Eltern ist es 57982 und zwar für die Verbindung vom Mobile Device zur Fritte wie auch pfsense zur Fritte. Anders bei der pfsense. da hat jeder wiregurad-Tunnel einen andere Port.Aber auch das würde den Netzwerkfehler erklären. Hat die Fritte bei dir auch einen Port wie 57982 ausgewürfelt und der ist bereits vorgegeben gewesen bei der Wirguard-Verbindung deines Smartphones zur Fritte und du wolltest dann, dass die pfsense sich bei der Fritte auf Port 51820 verbindet, dann sollte das nicht klappen und einen Netzwerkfehler erzeugen.
-
@eagle61 said in VPN pfSense Fritte:
Die Fritte nimmt für alle Verbindungen den gleichen Port.
Die Fritte nimmt für alle Verbindungen den gleichen Port. dann ist das klar. Ich habe den Port aus dem Tutorial genommen und die bestehende WG Verbindung lief über einen anderen Port.
Jetzt , da ich die alte WG Verbindung zum Handy gelöscht, die WG Verbindung zur PFSense neu erstellt und schließlich die Verbindung fürs Handy neu erstellt habe funktioniert dieser Teil. :-)Gruß, EuroPC
-
@EuroPC said in VPN pfSense Fritte:
Jetzt , da ich die alte WG Verbindung zum Handy gelöscht, die WG Verbindung zur PFSense neu erstellt und schließlich die Verbindung fürs Handy neu erstellt habe funktioniert dieser Teil. :-)
Na dann ist der Anfang gemacht.
Sobald du eine Verbindung bestehen hast, kannst du weitere relativ einfach hinzufügen, bzw. importieren.
Die komplette [Inteface] Sektion kann leer bleiben. DIe fehlenden Konfigurationsdaten werden von der Fritte beim Import automatisch ergänzt und entsammen der vorhandene Verbindung. Werden also von dieser übernommen.
Hionzugefügt werden muss lediglich der Bereich [Peer], wie im beigefügten Beispiel gezeigt. Dabei geht es um eine Verbindung zu einer pfsense. Public- und PresharedKey müssen auf der pfsense erstellt werden und von diese in die Datei übertragen werden. Die AllowedIPs dem anzupasen was auf deine pfsense vorhanden ist. Ebenso natürlich die Endpoint-Adresse.und der Prot, so wie auf deiner pfsense konfiguriert.
Im Beispiel bei mir also auf Seiten der pfsense der Port 51820 und bei der Fritte ist es ja 57982 gewesen.
Auf diesem Weg (Import der Konfig-Datei) bekommt man es auch hin mehr als ein Netzwerksegment hinter der pfsense für die Fritte erreichbar zu machen. Normal will die Fritte immer nur ein Netz mit einem anderen Netz verbinden. Hat man nun hinter der pfsense verschiedene Netze, dann kann man das nur mittel Import einer Konfig-Datei der Fritte beibringen.So sieht das dann auf der Seite der pfsense aus:
Wie du siehst habe ich dort zwei WG-Tunnel. Einen für eine Fritte und einen weiteren für mobile Geräte, wie Notebooks, Tablet und Smartphone -
@eagle61 Guten Morgen,
laut Fritte ist die Verbindung jetzt da, ich bekomme "Aktiiv" und den grünen Punkt in der GUI gezeigt.
Entfernetes netz 192.168.3.0/24
Die Endpunkt domain ist auch korrekt xxx.ipv64.net:51820
Einen Ping oder Ähnliches kann ich aber erst später tersten.Auf Seiten ser Sense gibt es aber Probleme.
Ob da etwas durcheinander gekommen ist, da ich auch den Zugriff vom Handy konfiguriert habe müsste ich austesten, wenn ich vor Ort bin.
In der exportierten WG Datei finden sich folgende Einträge;
[interface]
Address = 192.168.188.201/24
DNS = 192.168.188.1,192.168.3.1
DNS = fritz.box
[Peer]
PublicKey = ABC
PresharedKey = DEF
AllowedIPs = 192.168.188.0/24,192.168.3.0/24,0.0.0.0/0
Endpoint = lalala.myfritz.net:57185
PersistentKeepalive = 25Das Netz 192.168.188.0/24 ist das der Fritte und das 192.168.3.0/24 das der PFSense
Ansonsten bin ich nach Anleitung vorgegangen. Leider finde ich kein Log um dem Problem auf den Grund zu gehen
Gruß,
EuroPC -
@EuroPC said in VPN pfSense Fritte:
Auf Seiten ser Sense gibt es aber Probleme.
So ist es. Anleitung hast du auf jeden Fall nicht bis zu Ende gelesen. In den Kommentaren gibt es noch den Hinweis dass die MTU der WIregard-Tunnelns nicht auf dem Vorgabewert 1500 belassen werden darf. In reinen IPv4 Netzen darf er höchstens 1420 sein und in Netzen mit IPv6 nicht größer als 1412 und nicht klieiner als 1280. In deienr Konfiguration ist er aber noch bei 1500.
Dann denke ich mal, dass du eine Fehler auf der Seite der pfsense hast, entweder bei der DynDNS-Adresse zu der verbunden werden soll oder bei den Key's (Public, Preshared). Denn es kommt ja kein Verbuindungsaufbau zustande. Das zeigt der rote Pfeil und die roten Hände unter Status / WireGuard, sow das Latest Handshake auf never steht .
Zu den Logs.
Unter Status / System Logs / System / General kannst du Filtern (rechts oben das rote Trichter-Symbol). Sinnvolle Filterbegriffe wäre tun_wg0 oder ireguard (ohne das W/w wegen eben groß- oder kleinschreibung).Steht der Tunnel denn auhc in den Interfaces / Interface Assignments und wurde unter Interfaces / WGTun0 aktiviert?
-
@eagle61 argh, stimmt, da wurde so etwas erwähnt......
Nachdem ich die MTU auf 1412 geändert habe, die Idee ist, dass bei Bedarf auch ipv6 möglich ist (wie ich The Eagle im ipv64 Forum vertstehe, kann das nützlich sein "Seitens der FritzBox nutze ich die MyFritz DYN-DNS-Adresse und seitens der pfsense eine IPv6-only subdomain-Adresse (wie z.B. pfsense.xxxx.home64.de) bei ipv64 [Service Custom (v6)]." scheint der Tunnel zu funktionieren.
Der Handshake findert leider weiterhin "never"statt. Dann prüfe ich mal die Schlüssel.
Das Interface ist aktiviert.
Wenn die Schlüssel getauscht sind, melde ich mich wieder.
EuroPC
-
@EuroPC said in VPN pfSense Fritte:
Wenn die Schlüssel getauscht sind, melde ich mich wieder
Du hast auf der Seite der Fritte ja mal alle WIreguard-Verbindungen gelöscht. Das zieht nach sich, dass dann ALLE Schlüssel auch gelöscht werden, Private-, Public- und (sofern konfiguriert) auch der Preshared-Key.
Legt man dann neue Verbindungen an, werdne auch ganz neue Key generiert. Deswegen gibt es in dr Anleitung in einer der Kommentare eben auch den hinweis in der Fritte immer eine Verbindung bestehen zu lassen. Es reichtw enn eien inaktive Verbindung bestehen bleibt. Alo ein beri der das Häkchen davor entfernt wurde.
Hast du nun am anderen ENde auf der pfsense noch die alten Keys drin, also den PublicKey der ersten konfiguration von der Fritte, dann ist der nun natürlich ungültig, ebenso wie der PresharedKey und die pfsense kann keine Verbindung zur Fritte herstellen.
-
@eagle61 Moin,
Auf der Fritte hatte ich in der Tat auch die WG Dinge gelöscht. Danach aber die Konfiguration wie in der Anleitung beschrieben neu aufgebaut. Danach noch die zum IPhone.Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.Cheers,
EuroPC -
@EuroPC said in VPN pfSense Fritte:
Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.Oder du hast (ist ja auf den ersten Blick nicht immer alles übersichtlich) etwas vertauscht. Einen Private- mit einem PublicKey oder den PrvateKey der Fritte mit dem der sense.
Fehlermöglichkeiten sind deren viele gegeben.Eine weitere Ursache dafür dass sich zwar die Fritte mit der sense verbinden kann, aber nicht umgekehrt ist die DynDNS-Adresse und wohin die aufgelöst (ipv4 oder IPv6) wird.
Damit verbunden ist die Frage des Anschlusses der Fritte (Dual Stack, DS-Lite, CGNAT). Ist die Fritte an einem DS-Lite- oder CGNAT-Anscluss kannst du nur Verbindungen via IPv6 zur Fritte erstellen. -
@eagle61 dass ich hinter irgendeiner Form von GGNat mit der Fritte hänge ist vorstellbar.
Allerdings hat sie eine IPSec Verbindung zu einer anderen Fritte laufen. Die eine ist bei Greenfiber, die andere bei der Telekom.
Um die bei Greenfiber geht es hier.
Gruß EuroPC.