Wireguard Fritzbox-pfSense
-
Genau darum ging es, pfSense 23.05.1 auf der einen Seite, eine Fritz 7490 mit FritzOS 7.57, demnächst eine 7590.
Mit der 7490 hat die Site-2-site Kopplung einfach nicht hingehauen.
Näheres siehe oben.Gruss
-
@FSC830 OK aktuell leider krank außer Gefecht, aber wenn wieder fitter, versuch ich das mal im Lab zu bauen.
-
@JeGr Na dann...Gute Besserung!!
-
Ich habe auch einen Tunnel zwischen meiner pfSense 2.7 und einer 7590 am laufen.
Der Tunnel war schnell aufgebaut aber noch keine Kommunikation war möglich.
Das Problem war die fehlende Route ins Netz der Fritzbox.Schwupps, ein Gateway mit dem WG Interface eingerichtet und eine Route ins Netz der Fritz über dieses Interface.
Dann lief das ohne Probleme. -
Hallo Leute,
ich hänge mich hier mal mit dran - selbes Thema; fasse ein wenig zusammen bzw. die Frage(n) kommt noch. Bisher hat die Fritte (Site A) per IPSec sich zur pfSense ins RZ verbunden, das möchte ich nun gerne durch WireGuard ersetzen. Zumal ich von der RZ pfSense zu einer weiteren pfSense (Site B) auch von OpenVPN auf WireGuard umgestellt habe. Ziel ist hinterher auch, das ich von Site B über das RZ auf Devices in Site A zugreifen kann; aber das sollte gehen - ist sicherlich nur ein Routing Thema.Ich habe nun das WI der Fritte vor mir - 7590 mit aktueller 7.57 Firmware. Da muss ich zuerst mal das myFritz einrichten damit ich überhaupt auf WireGuard weiter komme. Danach kann ich zwischen "Einzelgerät verbinden" und "Netzwerke koppeln...." auswählen. Ich denke hier ist "Netzwerke koppelt" die richtig Wahl.
Weiter geht es mit "Wurde diese WG Verbindung bereits auf der Gegenstelle erstellt?" Ja/Nein. Wenn ich "Ja" mache muss ich in Folge eine Config hochladen.Frage: Wie genau muss das Config File aussehen? Wie oben von m0nji gepostet 1:1 so:
{ enabled = yes; editable = yes; conn_type = conntype_wg; name = "test2"; boxuser_id = 0; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = no; localip = ::; remoteip = ::; local_virtualip = 0.0.0.0; remote_virtualip = 0.0.0.0; keepalive_ip = 0.0.0.0; mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = ""; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; app_id = 0; wg_public_key = "H+B9KV+aOT216qdihxxxxxxxxxxxxxxxkZcC/w0KHUI="; wg_preshared_key = "$$$$12VAYTZ633K1GECEQH6XPLAJTxxxxxxxxxxxxxN3R3KAHFNHGARSQP5UJY3IU5JD1HDSIOGKYP336WBURFK2AZA3XNAKUQ5GX33LED"; wg_allowed_ips = "10.39.77.0/24"; wg_persistent_keepalive = 25; wg_dnsserver = "10.39.77.1"; wg_dyndns = "exbxxx.myfritz.net"; wg_master_config = ""; wg_slave_config = ""; wg_slave_publickey = ""; wg_slave_network = 0.0.0.0; wg_slave_mask = 0.0.0.0; wg_hide_network = no; }
.... oder gehört da noch was dazu? Hintergrund meiner Frage: Bei dem IPSec Config File steht noch davor:
vpncfg { connections {
Oder anders: Wenn ich an der Stelle kein Config File hochladen soll(te) - dann wären die nächsten Schritte auf der Fritte
"Soll die neue WG-Verbindung gleichzeitig zu einer bestehenden....." Ja/Nein etc....Thx für Tips!
-
Ich bin mittlerweile auf opnSense gewechselt, sollte aber prinzipiell identisch sein.
Am besten an der Fritte die Konfig erstellen und dann auf der pfSense nachbauen.
Die Fritte lässt nur eine Verbindung von pfSense -> Fritte zu.
In die andere Richtung funktioniert der Verbindungsaufbau nicht.Wenn die Verbindung dann mal steht, geht natürlich der Traffic in beide Richtungen.
Viele Grüße
-
Ich muss mich korrigieren.
Es geht doch in beide Richtungen.Der Trick ist, dass man als INterface beider WG Konfig der Fritte kein Transportnetz nehmen darf. Es muss die IP der Fritte eingetragen werden.
Hoffe das hilft weiter
-
@bananajoe Wollte ich meinen. NATet die Fritte immer noch alles über ihre IP-Adresse? Daran hatten sich hier einige gestört.
-
@Bob-Dig
Naja, zumindest komme ich ohne Port-Forwarding an alle Geräte von dem jeweiligen Netz aus.
Das schickt für meinen Usecase.Ich versuche jetzt aber nochmal weitere Netz auf der Sense Seite für die Fritzbox erreichbar zu machen.
-
@Bob-Dig wenn man in der WG Config bei "Address" die reale IP der Fritzbox einträgt anstatt der WG Transfernetz IP, dann NATed die Fritzbox nichts. Die Clients hinter der Fritzbox kommen mit ihrer realen IP bei der pfSense an.
@Spacey-0 nutze einfach die Config von meinem Beispiel (Site-B), diese importierst du auf der Fritzbox. Private/Public Key kannst du dir über einen Online-Generator generieren lassen.
-
@m0nji said in Wireguard Fritzbox-pfSense:
@Bob-Dig wenn man in der WG Config bei "Address" die reale IP der Fritzbox einträgt anstatt der WG Transfernetz IP, dann NATed die Fritzbox nichts. Die Clients hinter der Fritzbox kommen mit ihrer realen IP bei der pfSense an.
Ok. Dachte, es gibt generell kein Transfernetz zur Fritte?
Sprich, wenn man keines benutzt, wird auch nicht geNATet? Interessant. -
Nabend. Bei mir funktioniert der Weg von der Fritzbox zu PfSense. Kann dort pingen etc. Aber von der Pfsense bekomme ich einfach keine Verbindung zur Fritzbox hin.
Meine Konfiguration sieht so aus wie bei @m0nji nur mit anderen IPs.
Gibt es noch irgendwo eine Magische Stelle außer Gateway und Routing? Firewall ist für das Interface und Wireguard aktuelles alles erlaubt. -
@Jakelandiar du hast zwar geschrieben, du hast die Konfiguration wie bei mir übernommen aber hast du auch sichergestellt, dass auf der pfSense Seite, bei den WG Peers dort auch unter "Allowed IPs" das Ziel Netz der Fritte eingetragen ist mit der 24er Maske?
Kannst du denn von der Fritte nur die pfSense über das Transfernetz anpingen oder auch das Netz hinter der pfSense? -
Hallo zusammen,
bin auch dabei mir einen WireGuard Tunnel zur Fritzbox aufzubauen.
Nach diesem Video hatte ich den Tunnel eingerichtet:
https://www.youtube.com/watch?v=Zp-cN1Lcw9o&t=310spfSense IP: 192.168.40.254
Fritzbox IP 192.168.45.254
WireGuard Tunnel pfSense: 10.10.0.254
Peer Fritzbox IP: 10.10.0.1Auf der pfSense habe ich folgendes Problem, sobald ich das Gateway aktiviere, kann man keine Internetseite mehr öffnen.
Die Fritzbox lässt sich auch nicht anpingen, nur die Wireguard IP der Fritzbox 10.10.0.1.
-
Ich schließe mich auch mal den fragenden an.
Bin exakt nach dieser Anleitung vorgegangen: https://v64.tech/t/anleitung-site2site-wireguard-verbindung-zwischen-pfsense-und-fritzbox/438/6Und habe auch nochmal alles mit deinen Einstellungen oben abgeglichen. PFSense verbindet sich mit der Fritzbox, Verkehr von der FritzBox zur PFSense hin läuft und funktioniert in jeglicher Form, aber von der PFSense zur FritzBox hin geht nichts. Kein Ping, gar nichts.
Muss hier noch irgendwas spezielles mit NAT oder DNS eingestellt werden? Firewallregeln habe ich schon alle durchgekaut, ich bekomme einfach nicht vom PFSense Netzwerk die FritzBox angepingt, auch eingetragenem Ziel der Fritte und der 24er Maske.
-
Mir ist gerade noch aufgefallen das unter Status Gateways die WAN Gateways offline sind.
Ist das richtig?
-
Hi, ich habe die Anleitung mal kurz überflogen. Finde ich relativ umständlich...
Ich benutze auf meinen FritzBoxen immer folgende Konfiguration. Und passe dort immer manuell den Private-Key usw. an
In dem Beispiel hat die FritzBox die 192.168.24.x und die PFSense die 10.10.10.x (internes Netzwerk) und die 10.10.20.x (Wireguard Netz)
[Interface] PrivateKey = [PRIVATEKEY] Address = 192.168.24.1/24 DNS = 192.168.24.1 DNS = fritz.box [Peer] PublicKey = [PUBLICKEY] PresharedKey = [PRESHAREDKEY] AllowedIPs = 10.10.10.0/24,10.10.20.0/24 Endpoint = [DNSNAME]:51820 PersistentKeepalive = 25
Ich habe sonst keine besonderen Einstellungen gemacht. Nur ein ganz normalen Wireguard Client auf der PFSense angelegt
Nachtrag: Ich habe natürlich für jede FritzBox in der PFSense ein Gateway & statische Route angelegt. Das wäre hier z.B. 10.10.20.35 (FritzBox Wireguard IP) -> 192.168.24.0/24
-
Danke! Sieht aus, als ginge es in Babyschritten voran mit deiner angepasste Konfig-Datei.
Jetzt kann ich wenigstens schonmal vom Interface der PFSense die FritzBox pingen, was vorher ins leere lief. Von Rechnern & Co. geht's immer noch nicht. Da fehlt also noch der Feinschliff, irgendwo ne Regel vergessen?
FritzBox vom Interface der PFSense pingen geht, andere Geräte im Subnet der FritzBox nicht.
Geht doch, nur ein einzelnes Gerät im Subnet nicht, andere Baustelle also. -
@Teddy wir kennen deine config nicht, daher nur stochern im dunkeln möglich ;)
ich tippe mal fast auf die falsche statische route bzw. falsche gateway konfiguration@xt_ntwrk: du meinst mit umständlicher anleitung die von v64.tech? habe mir die zwar nicht angeschaut aber deine config sieht ja auch so aus wie meine ganz ob, also von daher passt das ;)
@alex303: als erstes würde ich bei den standardgateway mal ein gateway auswählen und nicht auf automatisch stehen lassen! welche clients ggf. über den wg tunnel ins internet sollen, konfigurierst du per firewall rules (policy based routing). die internen clients hinter der fritte erreichst du durch die statische route in der pfsense.
dann bitte auch bei dem WG interface die MTU verkleinern. mind auf 1420 runter...ich würde dort aber mal mit 1300 anfangen. wenn dann mal alles läuft kann der wert auch noch etwas nach oben.
auch hier sieht man keine weitere config von wireguard auf der pfsense noch auf der fritte.
hast du meine config von oben probiert? also gerade die fritzbox seite ist am anfang verwirrend und folgt nicht ganz dem standard! -
FritzBox: 192.168.178.1
PFSense LAN Subnet: 192.168.3.0
Wireguard Netz: 10.10.20.0System-Log sagt nur: Mar 15 22:27:41 dpinger 28841 WGFB 10.10.20.1: sendto error: 93
[Interface]
PrivateKey = 0CXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX4=
Address = 192.168.178.1/24
DNS = 192.168.178.1
DNS = fritz.box[Peer]
PublicKey = QXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXjg=
PresharedKey = lNXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXaQ=
AllowedIPs = 192.168.3.0/24,10.10.20.0/24
Endpoint = DDNSMEINESPFSENSE:51820
PersistentKeepalive = 25![alt text](