Wireguard Fritzbox-pfSense
-
@m0nji
Ah okay, ich dachte es wäre alles relevante gewesen.Mit "Traffic through VPN" aktivierter Regel:
192.168.178.1, die FritzBox selbst, welche ich nicht erreiche (ping per PFSense erfolgreich, Ping & Versuch des Aufrufens der Weboberfläche von einer WindowsVM erfolglos):
WGFB icmp 10.10.20.2:32557 -> 192.168.178.1:32557 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:15942 -> 192.168.178.1:15942 0:0 3 / 3 252 B / 252 B192.168.178.22, einer der Repeater, der gepingt und per Oberfläche aufgerufen werden kann:
WGFB icmp 10.10.20.2:44593 -> 192.168.178.22:44593 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:44037 -> 192.168.178.22:44037 0:0 3 / 3 252 B / 252 BOhne aktivierte "Traffic through VPN" Regel, default Regel aktiviert:
192.168.178.1, die FritzBox selbst, welche ich nicht erreiche (ping per PFSense erfolgreich, Ping & Versuch des Aufrufens der Weboberfläche von einer WindowsVM erfolglos):
WGFB icmp 10.10.20.2:48831 -> 192.168.178.1:48831 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:47514 -> 192.168.178.1:47514 0:0 3 / 3 252 B / 252 B192.168.178.22, einer der Repeater, der gepingt und per Oberfläche aufgerufen werden kann:
WGFB icmp 10.10.20.2:20226 -> 192.168.178.22:20226 0:0 3 / 3 252 B / 252 B
WGFB icmp 192.168.3.1:38182 -> 192.168.178.22:38182 0:0 3 / 3 252 B / 252 BAllowed IP's sind eingetragen unter "Peers", genau.
Wegen der VPN Regel schaue ich aktuell. Lief wie gesagt alles problemlos im Netzwerk, bis eben auf Wireguard, was ich für's einfache Backup vom Server gerne nutzen würde.
FritzBox sieht übrigens so aus:
-
@Teddy die states passen leider nicht ganz zu dem was du tust...
wenn du von einer windows vm in dem 192.168.3.x interface einen host hinter der fritzbox pingst, müsste das in etwa so aussehen
hier in meinem beispiel habe ich mit meinem notebook im "clients" interface, einen host hinter der fritzbox gepingt.in deinem beispiel sehe ich jetzt nur jeweils einen ping vom lan und wg interface der pfsense.
also bitte noch mal die states prüfen wenn du den aufruf icmp und port 80/443 von der windows vm machst.
was ich an dieser stelle eigentlich nur sehen möchte ist, ob die verbindung tatsächlich über das lan in das wg interface übergeben wird. warum dann aber nur ein teil der verbindungen durchgehen entzieht sich meiner kenntnis. ist nicht logisch für mich. -
Mal als kurzes Update:
Ich hatte mit Site-to-Site zwischen Fritzbox und PFSense gelinde gesagt die Schnauze voll und dann eine PFSense VM auf meinem Backup ESXI Server aufgesetzt (Proxmox Umstieg kommt im Sommer).Anschließend nach der offiziellen Anleitung von PFSense eine Site-to-Site Verbindung aufgebaut und es gab schonmal erhebliche Verbesserungen:
- Die beiden TrueNAS Maschinen können sich gegenseitig erreichen und es wurden auch schon per Replication Gigabyteweise Daten hin- und hergeschoben durch den Wireguard Site-to-Site Tunnel. Tunnel funktioniert also an sich, sonst wäre das nicht möglich.
Auf dem Hauptserver habe ich drei Windows VM's:
- Eine nur mit einem NIC, kann die Hosts auf dem Backupserver erreichen und aufrufen (192.168.3.0 Subnet)
- Eine andere mit nur einem NIC, kann die Hosts auf dem Backupserver erreichen und aufrufen (192.168.3.0 Subnet)
- Eine andere mit mehreren NIC, kann die Hosts auf dem Backupserver NICHT erreichen ((192.168.3.0 Subnet und noch u.a. 192.168.10.0, 192.168.15.0)
Nun ist natürlich die Frage, wieso können die VM's mit nur einem NIC den anderen Host erreichen, die mit mehreren nicht.
Aber schweift nun natürlich hier im FritzBox Thread ab, seit die FritzBox nicht mehr im Spiel ist...
-
Hallo zusammen,
ich bin eben durch Zufall auf das Thema gestoßen, da ich genau das selbe Problem hatte und auch die selbe Anleitung verwendet habe.Ich habe als Lösung das S2S-VPN zwischen PFSense und der Fritzbox mittels Wireguard an den Nagel gehangen und stattdessen auf IPSec gewechselt mithilfe dieser Anleitung von Hetzer.
Danach hatten wir keinen Probleme, beide Netzwerke zu erreichen.https://community.hetzner.com/tutorials/connect-avm-fritzbox-to-pfsense-ipsec
Zu beachten ist, dass man noch das alte Wireguard Gateway sowie die statische Route entfernen muss, damit das IPSec funktioniert.
Mich hat es ebenfalls sehr gewundert, dass PFSense "versteckte Regeln" erstellt, sodass IPSec ohne Anpassung der WAN-Schnittstelle in der Firewall funktioniert. Vielleicht ist es genau so eine verstecke EInstellung, die die Verbindung in Wireguard zum Fritzbox-Netz nicht unterstützt.
Siehe hier "https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/firewall-rules.html"
Vielleicht hilft die Information ja jemanden :)
Liebe Grüße
-
Wenn auf meinen Handy Wireguard eingeschaltet ist, komme ich immer von außen in mein Netzwerk.
Es sei denn ich bin zu Hause, dann funktioniert der Zugriff auf meine Synology nicht mehr solange Wireguard eingeschaltet ist.In den Synology Apps habe ich den Zugang mit der DynDNS Adresse eingetragen, damit es extern auch ohne VPN funktioniert, im DNS Resolver unter Host Overrides habe ich die Adresse und die IP der Synology eingetragen.
Was fehlt denn hier noch?
Gruß
Alexander -
Komische Sache mit WireGuard und der FritzBox.
Ich hatte ja entnervt aufgegeben. Alles zurück auf Basis-Einstellungen bei der FritzBox, nur den DynDNS eingerichtet (wird auch fleißig erfolgreich upgedatet von der FritzBox) und wenigstens für meinen Laptop über den FritzBox Assistenten einen Tunnel konfiguriert, Konfigurationsdatei heruntergeladen und im Wireguard importiert. Selbiges für's Smartphone, QR Code mit der Wireguard App gescannt, fertig. Lief scheinbar erstmal.
Heute, in anderen WLAN und auch per LTE versucht mich mit diesen Konfigurationsdateien zu verbinden und es werden exakt 0 Byte an Daten empfangen. Ob Android, ob Windows 11, ob WLAN, ob LTE. Und das, obwohl die Box von DeutscheGlasfaser nun in Werkseinstellungen nur mit DynDNS und den vom Assistenten konfigurierten Einstellungen in Betrieb ist. Ich hab's Gefühl da ist irgendein Bug drin. Dass sowohl mein Android, als auch mein Windows 11 falsche Einstellungen vom Assistenten bekommen haben oder durch's WLAN oder LTE Wireguard blockiert wird, kann ich jetzt ziemlich sicher ausschließen. Aber wenn nicht mal das funktioniert, lohnt es für mich nicht dort noch stundenlang herumzudoktern.
@m0nji
Trotzdem tausend Dank für deine Bemühungen und Tips für die FireWall, Regeln habe ich mittlerweile überarbeitet. -
@Teddy das hat zwar jetzt nichts mehr mit pfSense zu tun und sollte eigentlich in einem eigenen Thread besprochen werden aber was mich direkt bei der Beschreibung stutzig macht ist der Umstand, dass du DeutscheGlasfaser erwähnst.
Soweit ich weiß, bietet DeutscheGlasfaser nur CGNAT an und das bedeutet, du hast keine eigene öffentliche IPv4 Adresse. Wenn du jetzt über ein fremdes WLAN oder LTE dich nach Hause verbinden möchtest, geht das ausschließlich über IPv6. Wenn dein DYNDNS nicht sauber auflöst und das fremde WLAN/LTE kein IPv6 kann, dann wirst du auch keine Verbindung mit deiner Fritzbox aufbauen können. -
Ja ich weiß, negro posting... der Thread ist schon über 1 Jahr alt.
Aber es passt dazu.Mit einer anderen Fritzbox (7510) habe ich nun eine Site-2-Site WG Verbindung zwischen der FB und pfSense eingerichtet.
Es läuft auch alles so wie es soll, jedes Gerät kann das jeweils andere Netzwerk erreichen.
Mir ist nur eines aufgefallen:Die WG-IP der Fritzbox antwortet nicht auf einen Ping, die LAN IP Adresse antwortet.
Ist das auf Fritzboxen allgemein so?
Wenn ich mit einem mobile Client per WG verbunden bin (zur pfSense), dann kann ich die WG IP des Peers anpingen, die FB ist der einzige Peer, bei dem der Ping ins Leere läuft.
Fritzbox Eigenart?Gruss
-
@FSC830 said in Wireguard Fritzbox-pfSense:
Ist das auf Fritzboxen allgemein so?
Jau. Bei einem WG-Site2Site-Tunnel nutzt die Fritte kein Transitnetz, deswegen kannst Du auch die "WG-IP der Fritzbox" nicht pingen, sie existiert schlicht nicht. Du kannst aber die LAN-IP der Fritzbox zum Monitoring pingen.
-
Check mal die YT Videos von "Raspberry Pi Cloud" - der hatte kürzlich was zum Thema Fritz!Box und VPN gemacht...