Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wireguard in vm hinter pfSense (verbindung ok aber kein traffic zum lan)

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Mericon
      last edited by

      ![Hallo zusammen,

      da ich derzeit dabei bin meinen Heimserver einzurichten und dabei meiner Fritzbox auch das DHCP etc abnehmen möchte bin ich zu pfSense geraten und musste feststellen das ich etwas Hilfe gebrauchen kann :)

      Zuerst mal das wichtige: Mein Netzwerk Layout

      Fritzbox 6490 (Netz 192.168.179.0/24) --> Heimserver Proxmox (vmbr0 im netz der Fritzbox und als WAN für pfSense) --> VM's in Proxmox (vmbr1 bekommt 192.168.1.0/24 durch pfSense)
      VM 2 (192.168.1.110, Wireguardnetz =192.168.2.0/24)

      Da dies schwer zu beschreiben ist habe ich auch mal versucht das zu malen (siehe anhang).

      Nun zum eigendlichen problem:

      Ich habe auf einer VM wirguard laufen um mich von außen auf mein smarthome zu verbinden nur genau das will nicht so richtig. Die verbindung kann aufgebaut werden aber das interne netz (192.168.1.0/24) kann ich nicht erreichen.

      Das habe ich schon versucht:

      Statische route in pfSense (Netz 192.168.2.0, gw 192.168.1.110)
      NAT: Schnittstelle WAN, Quelle any, Q-Port any, DST 192.168.1.110, DSTport Wireguard port
      zum NAT gehörende Firewallregel

      (Zudem NAT und FW regeln in verschiedenen konstellationen (weis garnicht mehr alles).

      ich hoffe ich konnte mein problem vernünftig darstellen und ihr könnt mich auf den Pfad der erleuchtung bringen. Ich bin leider bei pfSense blutiger anfänger.

      Freundliche grüße Mericonnetwork.PNG

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        meine erster Frage hier muss sein: Warum braucht man Wireguard, wenn man OpenVPN bereits auf der pfSense integriert hat?

        Wie dem auch sei, umsetzbar sollte es sein.
        Allerdings verstehe ich deinen Aufbau trotz Grafik nicht. VM1, VM2 und der Switch mit den Clients liegen auf demselben Netz / VSwitch?
        Und auf diesem hast du 2 Netze definiert (192.168.2.0/24, 192.168.1.0/24)? Und was liegt in diesen?

        1 Reply Last reply Reply Quote 0
        • M
          Mericon
          last edited by

          Ich habe mich für wireguard entschieden weil es deutlichweniger Overhead produziert und openvpn für meine zwecke einfach zu umfangreich ist (Es geht sich nur um mich als client).

          Die Fritzbox ist mein Router für das Internert über Kabel und stellt das Private netz 192.168.79.0/24 zur verfügung.
          In diesem Netz befindet sich mein Server mit Proxmox auf welchem mehrere vm´s laufen.
          Die VM1 ist mein pfSense und hat zugriff auf die bidges vmbr0 (fritzboxnetz) und vmbr1 internes netz.
          pfSense stellt über die vmbr1 das netz 192.168.1.0/24 bereit.
          die VM auf der Wireguard läuft erhält die IP 192.168.1.110 und Wireguard intern wird das netz 192.168.2.0/24 genutzt (Welches als Statische route in pfSense Konfiguriert ist.

          Der Port den Wireguard nutzt ist in pfSense freigegeben und per NAT weitergeleitet sowie in der fritzbox für pfSense freigegeben.

          Wie oben geschrieben bekomme ich als Client auch eine verbindung zum server aber sonst keinen weiteren traffic.

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by viragomann

            Ob du dir damit das Leben tatsächlich leichter machst als mit OpenVPN...

            Aber gut, es sollte funktionieren, wenn

            • du auf dem VPN Client eine Route für das Netz 192.168.1.0/24 zum VPN Server hast.
              Hast du diese? Zeige mal die IPv4 Routing-Tabelle eines Clients zur Zeit einer bestehenden VPN-Verbindung (auf Windows "route print").
            • die Wireguard-VM Masquerading (S-NAT) Richtung vmbr1 macht.
            1 Reply Last reply Reply Quote 0
            • M
              Mericon
              last edited by

              Hallo,

              danke für die Tips. ich habe mir das routing angesehen und das passt so. iptables habe ich über masquerade gelöst.
              Da alles nichts genutz hat habe ich auf der vm die Packete mitgeschnitten und mir ist aufgefallen das die packete nicht geforwarded werden. Die Lösung war ip4 forwarding in der sysctl.conf einschalten.

              Ein ziehmlich dämlicher fehler den ich da hatte :)

              ich danke nochmal für die hilfe

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.