Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wireguard Fritzbox-pfSense

    Scheduled Pinned Locked Moved Allgemeine Themen
    78 Posts 13 Posters 27.2k Views 12 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Bob.DigB Offline
      Bob.Dig LAYER 8 @FSC830
      last edited by

      @FSC830 WireGuardd ist in der Sense mit der neuen Version bei mir inzwischen instabiler als zuvor...

      JeGrJ 1 Reply Last reply Reply Quote 0
      • F Offline
        FSC830
        last edited by

        Oh, noch instabiler? Geht das? </sarkasmus>
        Ich habe FritzOS 8.02 und leider kein altes OS Image mehr.
        Seit 7.50 kann man diese blöde 2FA nicht mehr abstellen, das ist zum 🤢 .
        Für meine 7490 speichere ich die Images immer ab, aber hier war schon alles zu spät, die hatte schon 7.57(?) als ich dazu kam.
        Ich lasse jetzt aber von der pfSense Seite aus in 4h Intervallen eine Pingabfrage machen, dann sehe ich zumindest, wie lange der Tunnel etwas hält.
        Könnte ich auch stündlich machen, aber erst mal reicht es mir so.

        Gruss

        1 Reply Last reply Reply Quote 0
        • JeGrJ Offline
          JeGr LAYER 8 Moderator @Bob.Dig
          last edited by JeGr

          @Bob.Dig said in Wireguard Fritzbox-pfSense:

          @FSC830 WireGuardd ist in der Sense mit der neuen Version bei mir inzwischen instabiler als zuvor...

          Antworten

          Ich sehe da das Problem nach wie vor nicht auf der Sense außer vllt. bei der Konfiguration, die schöner gehen würde. Aber die Config, die produziert/konfiguriert wird ist völlig im Einklang mit dem was Wireguard in seiner Doku hat. Die AVM Grütze ist da leider weit entfernt von und das ist eben völliger nonsense. Die gegängelte Setup Kiste, die die UI da macht, ist völlig unnötig. :/

          @FSC830 said in Wireguard Fritzbox-pfSense:

          P.S. Das war die Lösung: einfach seinem Ärger Luft machen , kaum hatte ich das geschrieben, war der Tunnel wieder aktiv.
          Mal sehen, für wie lange... (Keep alive ist 25s)

          Andere Alternative: Habe jetzt schon mehrfach gefunden und gelesen, dass es mehr "Freude" bringt, die Konfiguration einfach händisch zu machen, von der Fritte runterzuladen, manuell editieren, wieder hochladen und plötzlich gehen auch Dinge, die angeblich nicht gehen. Mehrere Netze, editierte allowed-ips etc. und plötzlich klappt auch der Tunnel wieder.

          Ich will da die Sensen nicht in Schutz nehmen, aber der Klapperkasten von AVM ist da keinerlei Hilfe an irgendeiner Front wenn man vernünftiges VPN will. Leider :(

          Was wir live im Stream während der letzten UG mal ausprobiert hatten, waren Änderungen nach der Anleitung hier:

          https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_mit_WireGuard_ohne_Tunnel_NAT

          Entgegen der Logik der Fritte wird in den pfSense Dokus überall ein sauberes Transfernetz verlangt/aufgesetzt. Nur die Fritte konfiguriert keines. Mit Konfig Edit und Upload gings dann plötzlich doch und die Sense sieht plötzlich auch oh Wunder ihr konfiguriertes Gegenstück auf der Transfer IP.

          Vielleicht hilfts dem ein oder anderen weiter, allerdings wie immer Vorsicht an der Stelle vor out-of-date Howtos/Tutorials/Blogs, die alte Inhalte haben oder falsch sind, weil sich grundlegende Sachen geändert haben. Hier ist jetzt Stand Juni-2025 und wir habens einfach mal durchgespielt. Ging zuletzt zumindest :)

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          Bob.DigB F 3 Replies Last reply Reply Quote 1
          • Bob.DigB Offline
            Bob.Dig LAYER 8 @JeGr
            last edited by

            @JeGr Jo, ich habe keinen einzigen Tunnel zu einer Fritte, daran kann es bei mir nicht liegen. :)

            1 Reply Last reply Reply Quote 0
            • F Offline
              FSC830 @JeGr
              last edited by

              @JeGr Genau nach dieser Anleitung habe ich den Tunnel eingerichtet, das funktionierte auf Anhieb.
              Und ja, ich habe auch die Konfig der Fritte genommen, editiert und wieder hochgeladen.

              Zur Zeit ist der Tunnel aber wieder weg, nachdem er seit Montag problemlos lief.
              Aber: diesmal ist die Fritte unschuldig, gibt eine größere DSL Störung in der Region.
              Gut, daß man das Mobil auf als Hot-Spot verwenden kann.

              Gruss

              1 Reply Last reply Reply Quote 0
              • Bob.DigB Offline
                Bob.Dig LAYER 8 @JeGr
                last edited by

                @JeGr said in Wireguard Fritzbox-pfSense:

                Nur die Fritte konfiguriert keines. Mit Konfig Edit und Upload gings dann plötzlich doch und die Sense sieht plötzlich auch oh Wunder ihr konfiguriertes Gegenstück auf der Transfer IP.

                Es gibt nur ein mögliches Problem: Wenn die Fritte eine WireGuard-IP bekommt, dann macht sie immer NAT. Bei einer Site2Site-Verbindung will man das oft nicht und dann muss man halt darauf verzichten, ihr eine zu verpassen. Wenn man es dennoch tut, dann wird der WireGuard-Tunnel in der Fritte auch nicht mehr als S2S angezeigt, sondern als stinknormale WireGuard-Verbindung, mit NAT.

                JeGrJ 1 Reply Last reply Reply Quote 0
                • JeGrJ Offline
                  JeGr LAYER 8 Moderator @Bob.Dig
                  last edited by JeGr

                  @Bob.Dig Ich würde ja behaupten, dass für die meisten, die sich mit ner Fritte auf der anderen Seite rumschlagen müssen, NAT das kleinste Problem ist. Aber vielleicht nicht. ;)

                  Ich seh zwar den Grund nicht, warum die Box da meint, sie müsse dann NAT machen - das ist halt auch wieder so ein automatisch erkennen bullshit weil könnte ja jetzt für Einwahl Clients sein - aber das ist generell eben das AVM Problem egal bei welchem VPN. Dass Entscheidungen/Vermutungen getroffen werden, die an der Realität vorbei gehen. IPsec braucht nur eine Phase, wer braucht schon mehr als ein Netz. Dito Wireguard etc. Das ist halt wirklich leidiger Bullshit inzwischen.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • F Offline
                    FSC830
                    last edited by

                    Nachtrag: der Tunnel ist jetzt seit Tagen stabil.
                    Allerdings wird wohl Providerseitig (1&1) alle 24h eine Zwangstrennung vorgenommen. 😠
                    In der Fritz ist "Dauerhaft halten" eingestellt. Wenigstens kann man den Zeitraum der providerseitigen Zwangstrennung in die Nachtstunden verlegen.
                    Der Tunnel baut sich dann nach rund 4 Minuten wieder auf.

                    Gruss

                    JeGrJ 1 Reply Last reply Reply Quote 1
                    • JeGrJ Offline
                      JeGr LAYER 8 Moderator @FSC830
                      last edited by

                      @FSC830 said in Wireguard Fritzbox-pfSense:

                      Allerdings wird wohl Providerseitig (1&1) alle 24h eine Zwangstrennung vorgenommen. 😠
                      In der Fritz ist "Dauerhaft halten" eingestellt. Wenigstens kann man den Zeitraum der providerseitigen Zwangstrennung in die Nachtstunden verlegen.
                      Der Tunnel baut sich dann nach rund 4 Minuten wieder auf.

                      Das ist leider "normal" bei den meisten (Re)Sellern von DSL. Und bitte jetzt nicht mit Telekom kommen. Ja, die machen das nicht mehr, die haben aber kein Monopol. Und selbst deren Reseller, die einfach nur Telekom DSL unter anderem Namen weiterverkloppen, machen 24h Zwangstrennung. Auch wenns die Telekommutter nicht tut. Idiotisch, aber sehr gängig :(

                      Es gibt leider nur wenige Ausnahmen, die das nicht tun, wenns um DSL geht. Telekom selbst, aber da zahlst du dich halt unnötig blutig. Easybell hat einen guten Track Record, dafür aber teurer als andere Angebote. Aber: mit der Option sogar nen static v6 Prefix zu bekommen. Ich musste leider meinen 1&1 Vertrag auch nochmal aus Gründen verlängern. Es funktioniert gut. Dual Stack. Alles fein. Aber diese scheiß Zwangstrennung gehört einfach weg. Nicht mal das v6 Prefix bleibt gleich, es geht einfach alles baden.

                      Und das ist unfassbar schade.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      F 1 Reply Last reply Reply Quote 1
                      • F Offline
                        FSC830 @JeGr
                        last edited by

                        @JeGr Ja, das ist eben Deutschland... 🙄
                        Aber immerhin baut sich der Tunnel bisher immer wieder auf, es gab seit Wochen keine Probleme mehr.

                        Gruss

                        1 Reply Last reply Reply Quote 1
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.