Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    wireguard site 2 site mit 2.5 ?

    Scheduled Pinned Locked Moved Deutsch
    29 Posts 6 Posters 2.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • noplanN
      noplan @noplan
      last edited by

      @Bob-Dig
      wie was openVpn konfig Probleme ?
      für site2site oder road warriors?

      Bob.DigB 1 Reply Last reply Reply Quote 0
      • Bob.DigB
        Bob.Dig LAYER 8 @noplan
        last edited by Bob.Dig

        @noplan Nur me, myself and I. Ist halt nur hobby und nein, es läft ja.

        noplanN 1 Reply Last reply Reply Quote 0
        • noplanN
          noplan @Bob.Dig
          last edited by

          @bob-dig

          das ist bei mir standard ...
          alledings spielen bzw. tanzen die verkäufer mittlerweile nach meiner melodie, bedeutet sie verkaufen ähmmmm versprechen nur das was ich auch irgendwie liefern kann ...

          böse leute sagen ich wäre mit dieser Methode der Totengräber von Sales ;)

          tja verkaufen über den Preis kann jeder ....

          1 Reply Last reply Reply Quote 0
          • M
            MarcO42
            last edited by

            Mal was ganz verrücktes: Geht dann auch site2site von pfsense zu einer FritzBox?
            Bitte nicht schlage, hab mich mit wireguard noch nicht weiter beschäftigt.

            1 Reply Last reply Reply Quote 0
            • N
              NOCling
              last edited by

              Wenn du eine entsprechend modifizierte Firmware auf der Fritz installiert hast vermutlich ja.

              Netgate 6100 & Netgate 2100

              M 1 Reply Last reply Reply Quote 0
              • M
                MarcO42 @NOCling
                last edited by

                @nocling alles klar, danke. Das hatte ich "befürchtet" ;)
                Die Fritte sollte eigentlich unverändert bleiben.

                JeGrJ 1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by

                  Dann machst halt creapy:
                  P1
                  IKEv1 Aggro AES_cbc256 SHA512 DH2

                  P2
                  AES_cbc256 SHA512 EAP PFS DH2

                  VPN ist für AVM als Berliner halt noch Neuland.

                  Netgate 6100 & Netgate 2100

                  1 Reply Last reply Reply Quote 1
                  • Bob.DigB
                    Bob.Dig LAYER 8
                    last edited by Bob.Dig

                    Habe jetzt mal eine WG-Verbindung zu meinem VPS aufgebaut und hat schließlich funktioniert.

                    1.PNG

                    Was mir aber nicht gelungen ist, ist dort drüber Traffic auszuleiten, da mir die WG-NIC, im Gegensatz zu den OVPN-NICs, nicht unter "Routing and Remote Access" im Windows Server angezeigt wird. Schade, sonst hätte ich das mal gebencht.

                    2.jpg

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @MarcO42
                      last edited by

                      @marco42 said in wireguard site 2 site mit 2.5 ?:

                      Die Fritte sollte eigentlich unverändert bleiben.

                      Dann wirf die Kiste an die Wand und trampel drauf rum, aber vernünftig VPN kann AVM selbst 2020/2021 nicht. Ein Trauerspiel sondergleichen.

                      Mutmaßlich wüsste ich auch nicht, dass die Fritte mit mod. Firmware Wireguard kann. Die Kiste ist zu knapp bemessen schon im Normalbetrieb. Ich denke nicht dass deren rumgebastelter Kernel WG enthält. Mit Freetz o.ä. bekommt man IMHO nur OVPN wenigstens drauf.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      M 1 Reply Last reply Reply Quote 0
                      • M
                        MarcO42 @JeGr
                        last edited by

                        @jegr said in wireguard site 2 site mit 2.5 ?:

                        @marco42 said in wireguard site 2 site mit 2.5 ?:

                        Die Fritte sollte eigentlich unverändert bleiben.

                        Dann wirf die Kiste an die Wand und trampel drauf rum...

                        Alter wasn denn mit Dir los? Was verstehst Du nicht an UNVERÄNDERT ;)
                        Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding. Tut was es soll.
                        Da ich aber mittlerweile bei 2.5 immer wieder Verbindungsabbrüche bei IPSec habe hatte ich die Hoffnung dieses mit Wireguard schnell beheben zu können. Dann warte ich mal auf 2.5.x :)

                        JeGrJ N 2 Replies Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator @MarcO42
                          last edited by

                          @marco42 said in wireguard site 2 site mit 2.5 ?:

                          Alter wasn denn mit Dir los? Was verstehst Du nicht an UNVERÄNDERT ;)

                          Jap, alt stimmt ;) Das ist ja der Witz - du kannst drauf rumstampfen und sie würde es wahrscheinlich trotzdem überleben, aber kein Stück besser werden :P

                          Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding. Tut was es soll.

                          Kommt immer auf den Zweck an und wer da ggf. noch ist, der helfen kann/könnte. Für meine Eltern ist es relativ egal WAS da steht. Ob das ne Fritte oder was anderes ist, sie würden eh fragen weil sie keine Ahnung davon haben. Und dann ists egal wenn man eh helfen muss. Dann kann das auch ne Dreammachine, ne pfSense Kiste oder ne Fritte sein - würde nicht viel helfen. Außer aus- und einschalten würden die eh nichts tun. :)

                          Da ich aber mittlerweile bei 2.5 immer wieder Verbindungsabbrüche bei IPSec habe hatte ich die Hoffnung dieses mit Wireguard schnell beheben zu können. Dann warte ich mal auf 2.5.x :)

                          Ja das ist ärgerlich, das kann ich durchaus nachvollziehen. :/

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 1
                          • N
                            NOCling @MarcO42
                            last edited by

                            @marco42 said in wireguard site 2 site mit 2.5 ?:

                            Aber mal im ernst, für eine ältere Dame (Meine Mutter) ist es genau das richtige ding.

                            Bei meinen Eltern habe ich das SG-1100 hin gestellt, seit der pfBlockerNG den ganzen Schrott filtert, habe ich deutlich weniger Sorge das sie sich hier was fängt.
                            Mit den passenden Listen blockt der sehr zuverlässig Schrott weg.

                            Die Fritz ist aber ne Super TK, DECT Station und kann auch ganz brauchbar Smart Home, so das mein Mutter auch hier mal selber was einstellen kann.

                            Für alles andere wird dann eh angerufen.

                            Aber das ist auch alles was man mit einer Fritzbox anfangen kann.

                            Netgate 6100 & Netgate 2100

                            noplanN 1 Reply Last reply Reply Quote 2
                            • noplanN
                              noplan @NOCling
                              last edited by

                              @nocling @JeGr

                              und ja genau so wird das eingesetzt PUNKT (für alle die was anderes glauben zu wissen)

                              die fritz ist eine super TK / DECT in ihrem Segement
                              eine firewall oder gar ein endpoint ist sie mit SICHERHEIT im direkten Vergleich zum möglichen Funktionsumfang der pfS auf vergleichbarer hardware nicht (PUNKT)

                              ich kann nicht anfangen eine fritzbox mit der pfS zu vergleichen (NEIN DAS GEHT NICHT PUNKT) lieber kunde/user das musst du kapieren! Da gibts ein Beispiel so mit Äpfel und Birnen. (ich mag auch keine Netzwerke bei denen die Endpoints unterschiedlich sind aber reine geschmackssache und abhängig vom Bereitschaftsgrad seine Zeit und Nerven mit pro bono leitstung zu verschwenden)

                              der klassiker bei privat useren, home Office, studenten WGs oder heavy usern ist

                              Modem --- pfs ---- Switch --- LAN (und da is dann halt auch die Fritzbox)

                              das Setup funktioniert extrem stabil und wird nicht um sonst als Susi-Sorglos verbaut.
                              (wenn man das Modem nicht in einen Brodge Modus bekommt, dann muss man halt am WAN-IF ein paar Anpassungen machen und fertig aber das ist nicht tragisch)

                              so wenn IPSec in der 2.5er nicht sorgenfrei rennt (wieso auch immer)
                              dann bleibt dir nix übrig als was anderes zu nehmen wenn du einen site2site tunnel brauchst

                              wir haben hier site2site mit openVPN am laufen (rennt unter 2.5 beide endpoints ) ohne probleme, die machen aber auch nix anderes

                              mit wireGuard hab ich jetzt schon meine Sorgen, und das in der LAB Umgebeung ....
                              so schnell der neue heiße scheiß auch ist so viel fehlt ihm auch das ich es für eine kommerzielle Nutzung einsetzen würde (btw. das sollten wir mal im vidCall-pfUG besprechen)

                              also was bleibt ... ... ... ?

                              1 Reply Last reply Reply Quote 0
                              • N
                                NOCling
                                last edited by

                                Anmerkung:
                                Fritz als TK muss man multi homed betreiben will man die Foneapp nicht nur im eigenem LAN Segement der Fritz nutzen.

                                Feature Request ist seit 6.x raus, Umsetzung vermutlich nach IKEv2?

                                Netgate 6100 & Netgate 2100

                                noplanN 1 Reply Last reply Reply Quote 0
                                • A
                                  Asulu
                                  last edited by

                                  Nachdem nach dem Update kein einziger IPSec Tunnel mehr funktioniert hat, habe ich beide Tunnel auf wireguard umgestellt. Hat direkt ohne weitere Probleme funktioniert.

                                  Es gibt es ja zahltreiche patches für diverse IPsec Probleme, hatte jedoch keine Lust mich hier weiter zu beschäftigen.

                                  Bin mir nur nicht ganz sicher ob ich ich meine aktuelle Konfiguration nicht noch vereinfachen könnte.

                                  Müssen die verschiendenen Peers verschiedene Ports haben?
                                  Reicht es eines zu erreichendes Ende mit einem Tunnel auszustatten und externe per peer an diesen Tunnel anzubinden?

                                  Grüße

                                  noplanN 1 Reply Last reply Reply Quote 0
                                  • noplanN
                                    noplan @Asulu
                                    last edited by

                                    @asulu

                                    wie überwachst du eigentlich die tunnel ?
                                    baut WG wenn abbrechen selbst wieder auf ? (ich steh da im Moment etwas daneben )

                                    lgNP

                                    JeGrJ 1 Reply Last reply Reply Quote 0
                                    • noplanN
                                      noplan @NOCling
                                      last edited by

                                      @nocling said in wireguard site 2 site mit 2.5 ?:

                                      multi homed betreiben

                                      wie was ?
                                      erklär mal...

                                      ehrlich gesagt ahben wir die Fritz fast nur meht ohne tele im einsatz,
                                      da sich keiner dieGrundgebühr fürs Festnetz antut und wenn der Provider
                                      Telefonie mitanbietet wird es meist auf Kundenwunsch gar nicht verwendet.

                                      Provider ist dann immer ratlos wenn ich sag geh bitte bitte gebts uns keine fritz sondern
                                      das bridge cisco dingens ... ... ... genau bis zu dem zeitpunkt wo dann das wort pfS fällt
                                      und der Techniker meint .. .. kommst abholen oder sollen wir vorbeikommen (beides bedeutet bring den Kaffee im KG Pack von Starbucks mit)

                                      1 Reply Last reply Reply Quote 0
                                      • JeGrJ
                                        JeGr LAYER 8 Moderator @noplan
                                        last edited by

                                        @noplan said in wireguard site 2 site mit 2.5 ?:

                                        wie überwachst du eigentlich die tunnel ?

                                        Bei S2S Setup wird automatisch die andere Seite (der Peer) als Gateway für das Routing-GW von WG gesetzt. Damit sieht man ob der Peer Antwort gibt oder nicht. Mehr Monitor gibts nicht.

                                        baut WG wenn abbrechen selbst wieder auf ? (ich steh da im Moment etwas daneben )

                                        Es gibt keinen State. UDP kennt kein "Verbindung beendet". Daten werden encrypted rüber geschossen oder empfangen. Und wenn die Seite weg ist, gibts halt keine Bestätigung. Du sprichst ja irgendwas über den Tunnel. Ping. SMB. Whatever. Das gibt dann halt Timeout oder du siehst dass der Ping nicht mehr durch den Tunnel läuft. Da sich das Ding nicht auf ein Interface bindet ist der nach dem Starten einfach immer aktiv und antwortet/sendet da raus, was er laut Routing als direktesten Weg ansieht.

                                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                        1 Reply Last reply Reply Quote 0
                                        • N
                                          NOCling
                                          last edited by

                                          Ich musste meine Fritz mit LAN 1 (192.168.15.11) ins Internet lassen, über ein VLAN welches als DMZ Netz auf der Sense angelegt ist.
                                          Dann hängt diese mit fester IP im normalen LAN (192.168.10.21), darüber kann sich dann die Fon App verbinden.

                                          Mache ich das nicht, komme ich auf meinem VPN Client Netz (192.168.33.0/24) nicht mit der App an die Fritz ran und auch nicht vom Netz meiner Elter welche über S2S angebunden sind (192.168.166.0/24).

                                          Ich musste das Teil also austricksen, denn gehe ich über LAN 1 shared ins Internet und verwende das Netz als internes LAN gleichzeitig, dann springt hier die Firewall an und lässt nur 192.168.10.0/24 zu.
                                          Alles andere ist dann WAN und damit böse.
                                          Ich kann in der FuBox nix einstellen, sonst könnte ich ja 192.168.0.0/16 als internes LAN definieren, aber nix da.

                                          Multihomed, kann ich im Handy VPN anwerfen und bekomme auf der Arbeiten Anrufe rein, die bei uns zu hause rein laufen.
                                          Vor paar Wochen war das witzig, hatte kurz VPN ein geschaltet weil ich was im NAS nachsehen wollte, dann vergessen den Tunnel aus zu machen und 1h später klingelt die App.
                                          Auch witzig, sind zu Besuch bei meinen Eltern, die drückt irgendwas an ihrem Handy und ruft bei uns das Festnetz an, ich sitze 2m entfernt und konnte das Gespräch annehmen und Fragen was sie denn möchte. Dann lagen wir vor lachen neben dem Sofa.

                                          Netgate 6100 & Netgate 2100

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.