VPN Point to Site ICMP funktioniert, TCP nicht
-
@TheBlackOne leider hast du mir die frage nicht beantwortet, warum stellst du dir nicht alternativ eine pfSense zuhause hin. Für mich war es die beste entscheidung meine Fritzbox (2015/2016) zu einer Sense zu wechseln.
Du hast so viel möglichkeiten, es macht für mich vieles einfacher als mit einer Fritzbox. Mir ist noch eine frage aufgefallen, warum hast du erst ein 0er netzt angebeben und später wird es doch ein 178er netz. was bezewckst du damit, private IP bereiche kannst du posten wie du willst, da sind keine geheimnisse?Wenn du der Anleitung von v64.tech abarbeitest, hast du einen wireguard tunnel der mit einer fritzbox funktioniert. ich habe ihn genau so konfiguriert und habe halt ein vpn zu dem 190er netz.
-
@eagle61 Ich hab jetzt auch mal so eine Verbindung gebaut, aber mit Gateway und NAT. Habe selbst aber keinen Anwendungsfall dafür.
MTU habe ich einfach möglichst gering gesetzt, weil ich nicht weiß, was die Fritte nutzt.
Die Fritte selbst NATet übrigens nicht über den Tunnel. Eine Frage, die ich mir lange selbst gestellt habe, nun kenne ich die Antwort.
-
@Bob-Dig said in VPN Point to Site ICMP funktioniert, TCP nicht:
MTU habe ich einfach möglichst gering gesetzt, weil ich nicht weiß, was die Fritte nutzt.
1392 ist die voreingestellte MTU der Fritte für Wireguard-Tunnel.
Kannste dir aber anzeigen lassen. Linux tracepath zeigt die an.
-
@eagle61 Man kann doch relativ leicht Allowed IPs hinzufügen, habe ich gerade festgestellt.
- Einfach die "WireGuard-Einstellungen" anzeigen und exportieren.
- In der Datei die neuen Allowed IP hinzufügen und speichern.
- Die bestehende WireGuard-Verbindung in der Fritte löschen.
- Eine neue Verbindung anlegen, dabei auswählen, dass die WG-Verbindung bereits auf der Gegenstelle erstellt wurde.
- Einen Namen vergeben und die editierte Datei laden.
Solange die Fritte vor Ort gemanaget wird, ist das kein größeres Problem. Das läuft jedenfalls und damit würde ich natürlich auch kein NAT benutzen wollen bei der Site2Site-Verbindung.
-
@Bob-Dig said in VPN Point to Site ICMP funktioniert, TCP nicht:
Man kann doch relativ leicht Allowed IPs hinzufügen, habe ich gerade festgestellt
Das ist ziemlich genau die Methode aus der von mir gestern verlinkten Anleitung bei v64.tech, nach der ich das auch gemacht habe. Wird dort in einem Kommentar von Oktober 2023 beschrieben.
-
@eagle61 Hab ich nicht gelesen, weil die wohl dem Interface und Gateway keine IP geben.
-
Hab nun das /30 durch /32 ersetzt. Keine Ahnung, ob das schon von Anfang hätte funktioniert, die Fritte ist da leider sehr eigen und zeigt Probleme erst ganz am Ende, nach Abschluss des Assistenten, an, teilweise ohne das Problem zu benennen. Dabei trennt sich auch noch jedes mal die WAN-Verbindung, was das Ganze remote zu einem Alptraum werden lässt.
-
@Bob-Dig said in VPN Point to Site ICMP funktioniert, TCP nicht:
Hab nun das /30 durch /32 ersetzt.
Du meinst für dein Transfernetz? Für alle anderen Netze wird alles seitens der FB akzeptiert. /24 oder auch /27.
Ich z.B. nutze auch /27-Netze und weder pfsense noch FB haben damit ein Problem. Aber ich habe eben auch noch kein Transfernetz für die FB konfiguriert.
-
@eagle61 said in VPN Point to Site ICMP funktioniert, TCP nicht:
Du meinst für dein Transfernetz?
Genau. Technisch mag die Begrifflichkeit aber hier nicht ganz zutreffen, weil die Fritzbox kein Transfernetz nutzt, die Sense aber irgendwie schon.
-
@micneu
Das ich die Fritzbox nehme liegt hauptsächlich daran, dass sie da ist und bisher alle meine Anforderungen erfüllt hat. Ich bräuchte sie auch weiterhin, da schien es zu Beginn des Projektes "einfach" sie zu behalten und als VPN Endpunkt zu benutzen. Die Überlegung Sie ersetzen startet bei mir als erst jetzt Das mit den Netzen ist vorallem Gewohnheit. Als ich den Thread erstellt habe ging ich davon aus, das ich einen einfachen Fehler gemacht habe und das genaue private Netz nicht von belang ist. Naja, wieder was gelernt.