wireguard site 2 site mit 2.5 ?

noplan

@Bob-Dig
wie was openVpn konfig Probleme ?
für site2site oder road warriors?

Bob.Dig

@noplan Nur me, myself and I. Ist halt nur hobby und nein, es läft ja.

noplan

@bob-dig

das ist bei mir standard ...
alledings spielen bzw. tanzen die verkäufer mittlerweile nach meiner melodie, bedeutet sie verkaufen ähmmmm versprechen nur das was ich auch irgendwie liefern kann ...

böse leute sagen ich wäre mit dieser Methode der Totengräber von Sales ;)

tja verkaufen über den Preis kann jeder ....

MarcO42

Mal was ganz verrücktes: Geht dann auch site2site von pfsense zu einer FritzBox?
Bitte nicht schlage, hab mich mit wireguard noch nicht weiter beschäftigt.

NOCling

Wenn du eine entsprechend modifizierte Firmware auf der Fritz installiert hast vermutlich ja.

MarcO42

@nocling alles klar, danke. Das hatte ich "befürchtet" ;)
Die Fritte sollte eigentlich unverändert bleiben.

NOCling

Dann machst halt creapy:
P1
IKEv1 Aggro AES_cbc256 SHA512 DH2

P2
AES_cbc256 SHA512 EAP PFS DH2

VPN ist für AVM als Berliner halt noch Neuland.

Bob.Dig

Habe jetzt mal eine WG-Verbindung zu meinem VPS aufgebaut und hat schließlich funktioniert.

Was mir aber nicht gelungen ist, ist dort drüber Traffic auszuleiten, da mir die WG-NIC, im Gegensatz zu den OVPN-NICs, nicht unter "Routing and Remote Access" im Windows Server angezeigt wird. Schade, sonst hätte ich das mal gebencht.

JeGr

@marco42 said in wireguard site 2 site mit 2.5 ?:

Die Fritte sollte eigentlich unverändert bleiben.

Dann wirf die Kiste an die Wand und trampel drauf rum, aber vernünftig VPN kann AVM selbst 2020/2021 nicht. Ein Trauerspiel sondergleichen.

Mutmaßlich wüsste ich auch nicht, dass die Fritte mit mod. Firmware Wireguard kann. Die Kiste ist zu knapp bemessen schon im Normalbetrieb. Ich denke nicht dass deren rumgebastelter Kernel WG enthält. Mit Freetz o.ä. bekommt man IMHO nur OVPN wenigstens drauf.

MarcO42

@jegr said in wireguard site 2 site mit 2.5 ?:

@marco42 said in wireguard site 2 site mit 2.5 ?:

Die Fritte sollte eigentlich unverändert bleiben.

Dann wirf die Kiste an die Wand und trampel drauf rum...

Alter wasn denn mit Dir los? Was verstehst Du nicht an UNVERÄNDERT ;)
Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding. Tut was es soll.
Da ich aber mittlerweile bei 2.5 immer wieder Verbindungsabbrüche bei IPSec habe hatte ich die Hoffnung dieses mit Wireguard schnell beheben zu können. Dann warte ich mal auf 2.5.x :)

JeGr

@marco42 said in wireguard site 2 site mit 2.5 ?:

Alter wasn denn mit Dir los? Was verstehst Du nicht an UNVERÄNDERT ;)

Jap, alt stimmt ;) Das ist ja der Witz - du kannst drauf rumstampfen und sie würde es wahrscheinlich trotzdem überleben, aber kein Stück besser werden :P

Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding. Tut was es soll.

Kommt immer auf den Zweck an und wer da ggf. noch ist, der helfen kann/könnte. Für meine Eltern ist es relativ egal WAS da steht. Ob das ne Fritte oder was anderes ist, sie würden eh fragen weil sie keine Ahnung davon haben. Und dann ists egal wenn man eh helfen muss. Dann kann das auch ne Dreammachine, ne pfSense Kiste oder ne Fritte sein - würde nicht viel helfen. Außer aus- und einschalten würden die eh nichts tun. :)

Da ich aber mittlerweile bei 2.5 immer wieder Verbindungsabbrüche bei IPSec habe hatte ich die Hoffnung dieses mit Wireguard schnell beheben zu können. Dann warte ich mal auf 2.5.x :)

Ja das ist ärgerlich, das kann ich durchaus nachvollziehen. :/

NOCling

@marco42 said in wireguard site 2 site mit 2.5 ?:

Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding.

Bei meinen Eltern habe ich das SG-1100 hin gestellt, seit der pfBlockerNG den ganzen Schrott filtert, habe ich deutlich weniger Sorge das sie sich hier was fängt.
Mit den passenden Listen blockt der sehr zuverlässig Schrott weg.

Die Fritz ist aber ne Super TK, DECT Station und kann auch ganz brauchbar Smart Home, so das mein Mutter auch hier mal selber was einstellen kann.

Für alles andere wird dann eh angerufen.

Aber das ist auch alles was man mit einer Fritzbox anfangen kann.

noplan

@nocling @JeGr

und ja genau so wird das eingesetzt PUNKT (für alle die was anderes glauben zu wissen)

die fritz ist eine super TK / DECT in ihrem Segement
eine firewall oder gar ein endpoint ist sie mit SICHERHEIT im direkten Vergleich zum möglichen Funktionsumfang der pfS auf vergleichbarer hardware nicht (PUNKT)

ich kann nicht anfangen eine fritzbox mit der pfS zu vergleichen (NEIN DAS GEHT NICHT PUNKT) lieber kunde/user das musst du kapieren! Da gibts ein Beispiel so mit Äpfel und Birnen. (ich mag auch keine Netzwerke bei denen die Endpoints unterschiedlich sind aber reine geschmackssache und abhängig vom Bereitschaftsgrad seine Zeit und Nerven mit pro bono leitstung zu verschwenden)

der klassiker bei privat useren, home Office, studenten WGs oder heavy usern ist

Modem --- pfs ---- Switch --- LAN (und da is dann halt auch die Fritzbox)

das Setup funktioniert extrem stabil und wird nicht um sonst als Susi-Sorglos verbaut.
(wenn man das Modem nicht in einen Brodge Modus bekommt, dann muss man halt am WAN-IF ein paar Anpassungen machen und fertig aber das ist nicht tragisch)

so wenn IPSec in der 2.5er nicht sorgenfrei rennt (wieso auch immer)
dann bleibt dir nix übrig als was anderes zu nehmen wenn du einen site2site tunnel brauchst

wir haben hier site2site mit openVPN am laufen (rennt unter 2.5 beide endpoints ) ohne probleme, die machen aber auch nix anderes

mit wireGuard hab ich jetzt schon meine Sorgen, und das in der LAB Umgebeung ....
so schnell der neue heiße scheiß auch ist so viel fehlt ihm auch das ich es für eine kommerzielle Nutzung einsetzen würde (btw. das sollten wir mal im vidCall-pfUG besprechen)

also was bleibt ... ... ... ?

NOCling

Anmerkung:
Fritz als TK muss man multi homed betreiben will man die Foneapp nicht nur im eigenem LAN Segement der Fritz nutzen.

Feature Request ist seit 6.x raus, Umsetzung vermutlich nach IKEv2?

Asulu

Nachdem nach dem Update kein einziger IPSec Tunnel mehr funktioniert hat, habe ich beide Tunnel auf wireguard umgestellt. Hat direkt ohne weitere Probleme funktioniert.

Es gibt es ja zahltreiche patches für diverse IPsec Probleme, hatte jedoch keine Lust mich hier weiter zu beschäftigen.

Bin mir nur nicht ganz sicher ob ich ich meine aktuelle Konfiguration nicht noch vereinfachen könnte.

Müssen die verschiendenen Peers verschiedene Ports haben?
Reicht es eines zu erreichendes Ende mit einem Tunnel auszustatten und externe per peer an diesen Tunnel anzubinden?

Grüße

noplan

@asulu

wie überwachst du eigentlich die tunnel ?
baut WG wenn abbrechen selbst wieder auf ? (ich steh da im Moment etwas daneben )

lgNP

noplan

@nocling said in wireguard site 2 site mit 2.5 ?:

multi homed betreiben

wie was ?
erklär mal...

ehrlich gesagt ahben wir die Fritz fast nur meht ohne tele im einsatz,
da sich keiner dieGrundgebühr fürs Festnetz antut und wenn der Provider
Telefonie mitanbietet wird es meist auf Kundenwunsch gar nicht verwendet.

Provider ist dann immer ratlos wenn ich sag geh bitte bitte gebts uns keine fritz sondern
das bridge cisco dingens ... ... ... genau bis zu dem zeitpunkt wo dann das wort pfS fällt
und der Techniker meint .. .. kommst abholen oder sollen wir vorbeikommen (beides bedeutet bring den Kaffee im KG Pack von Starbucks mit)

JeGr

@noplan said in wireguard site 2 site mit 2.5 ?:

wie überwachst du eigentlich die tunnel ?

Bei S2S Setup wird automatisch die andere Seite (der Peer) als Gateway für das Routing-GW von WG gesetzt. Damit sieht man ob der Peer Antwort gibt oder nicht. Mehr Monitor gibts nicht.

baut WG wenn abbrechen selbst wieder auf ? (ich steh da im Moment etwas daneben )

Es gibt keinen State. UDP kennt kein "Verbindung beendet". Daten werden encrypted rüber geschossen oder empfangen. Und wenn die Seite weg ist, gibts halt keine Bestätigung. Du sprichst ja irgendwas über den Tunnel. Ping. SMB. Whatever. Das gibt dann halt Timeout oder du siehst dass der Ping nicht mehr durch den Tunnel läuft. Da sich das Ding nicht auf ein Interface bindet ist der nach dem Starten einfach immer aktiv und antwortet/sendet da raus, was er laut Routing als direktesten Weg ansieht.

NOCling

Ich musste meine Fritz mit LAN 1 (192.168.15.11) ins Internet lassen, über ein VLAN welches als DMZ Netz auf der Sense angelegt ist.
Dann hängt diese mit fester IP im normalen LAN (192.168.10.21), darüber kann sich dann die Fon App verbinden.

Mache ich das nicht, komme ich auf meinem VPN Client Netz (192.168.33.0/24) nicht mit der App an die Fritz ran und auch nicht vom Netz meiner Elter welche über S2S angebunden sind (192.168.166.0/24).

Ich musste das Teil also austricksen, denn gehe ich über LAN 1 shared ins Internet und verwende das Netz als internes LAN gleichzeitig, dann springt hier die Firewall an und lässt nur 192.168.10.0/24 zu.
Alles andere ist dann WAN und damit böse.
Ich kann in der FuBox nix einstellen, sonst könnte ich ja 192.168.0.0/16 als internes LAN definieren, aber nix da.

Multihomed, kann ich im Handy VPN anwerfen und bekomme auf der Arbeiten Anrufe rein, die bei uns zu hause rein laufen.
Vor paar Wochen war das witzig, hatte kurz VPN ein geschaltet weil ich was im NAS nachsehen wollte, dann vergessen den Tunnel aus zu machen und 1h später klingelt die App.
Auch witzig, sind zu Besuch bei meinen Eltern, die drückt irgendwas an ihrem Handy und ruft bei uns das Festnetz an, ich sitze 2m entfernt und konnte das Gespräch annehmen und Fragen was sie denn möchte. Dann lagen wir vor lachen neben dem Sofa.