VPN pfSense Fritte

EuroPC

@eagle61 Ich habe gerade getestet über meine Synology.me Dyndns- Adresse: Timeout
bzw. ipv64.net auch hier ein Timeout
Die IP Adresse lautet 93.xxx.yy.zzz (Telekom)
Demnach kein cgNAT.

Die MyFritz- Adresse funktioniert hingegen tadellos. IP 217.xxx.yyy.zzz (Greenfiber)
Die Synology.me Adresse funktioniert ebenfalls.

Je zwei DynDNS- Adressen habe ich, da ich erst annahm, dass der Synology- Dienst vielleicht spinnt.

Ob ich auf einer Seite CGNAT habe, teste ich morgen mal.

EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Ob ich auf einer Seite CGNAT habe, teste ich morgen mal.

Nö, hast Du eher nicht, denn dann sollte die IPv4-Adresse im Bereich zwischen 100.64,0.0 bis 100.127.255.255 liegen

Am Anschluss der Telekom sollte sowieso weder DS-Lite noch CGNAT anliegeb. Wäre mir ganz neu dass die eins von beidem Nutzen. Zu dem Greenfiber kann ich nichts sagen. Dr. g00gle verrät einem dazu auch nichts. CGNAT wird es aber nicht sein, wegen der IP-Adresse, Wenn dann DS-Lite. Falls das so sein sollte, wirf einfach eine Blick ins Logfile der FritzBox am Greenfiber-Anschluss. Dort müsste sich dann ein EIntrag mit AFTR finden lassen.

Stimmen denn auf Seite der pfsense die DynDNS-Adresse und die tatsächliche IPv4-Adresse überein? Also mal den Status / Interfaces / WAN mit dem was ein ping auf die DynDNS-Adresse ausspuckt vergleichen.

Zudem die pfsense beantwortet standardmäßig keine pings.
Damit die das tut muss unter Firewall / Rules / WAN natürlich zunächst eine passende Regel (ICMP) hinzugefügt werden und dann natürlich auch einen für das VPN.

EuroPC

@eagle61
Danke für die Info.

Der Ping auf die IP in Status/interfaces/wan verlief erfolgreich.
Ebenso der auf meine Synology.me Adresse (ohne dass ich an den FW Regeln etwas ändern musste).
Der auf ipv64.net verwies auf eine falsche IP.
Insofern passt das alles. Es scheint also auch daran zu liegen, dass die Dyndns Adressen zu selten aktualisiert werden.

Den Eintrag zu DSLite sehe ich nicht. Weder in den Logs noch in der Übersicht. Damit habe ich es wohl nicht. Auch habe ich IPSec Verbindungen zu anderen Fritten laufen.
Ich versuche mal die Sense in den „Empfängermodus“ zu schalten, wie @JeGr es vorgeschlagen hat. Evtl sehe ich dann etwas in den Logs.
Bisher scheint jetzt ein“List- SAS Problem vorzuliegen.

Immerhin funktioniert die Dyndns Adresse jetzt. .)

Gruß, EuroPC

NOCling

DynDNs ist die Basis, stimmen die nicht kannst du alles vergessen, ICMP und jegliches VPN.
Eine Regel auf WAN die einem Alias ICMP Echo erlaubt ist ein guter Start.
Dann können alle Tunnelendpunkte hier schon mal die Strecke hin testen, ist ja nicht selten auch mal ein Peering Problem dazwischen.

Und DynDNS sollte am besten auf der Kiste laufen die direkt am WAN mit ihrer public IP hängt.
Die AVM Kisten haben da mit Myfritz einen super Dienst gleich mit dabei.

Stimmt das DynDNS Zeugs laufen die IPsec Tunnel zu den AVM Boxen dann stabil, hat man einmal den dreh raus.
Haben hier 3 Tunnel zu einer 7590AX, einer 7590 und einer 7362SL, ja selbst mit dem Dino läuft das über Wochen stabil.

eagle61

@EuroPC said in VPN pfSense Fritte:

Der Ping auf die IP in Status/interfaces/wan verlief erfolgreich.
Ebenso der auf meine Synology.me Adresse (ohne dass ich an den FW Regeln etwas ändern musste).
Der auf ipv64.net verwies auf eine falsche IP.

Um IPSec erst einmal grundsätzlic ans Laufen zu bekommen kannst du statt der DynDNS-Adresse auch die aktuellen IPv4-Adressen beider Gegenstellen verwenden.
SO eine Verbindung wird dann zwar nur bis zur nächsten Zwangstrennung seitens Telekom oder Greenwire, oder wie auch immer der Glasfaseranbiter n och mal heißen mag, halten, aber wenn es mit den IP-Adressen klappt, dann bist du schon mal sehr viel weiter und kannst dich auf die korrekte Zuweisung und aktualisierung der DynDNS-Adressen konzentrieren.

Alternative ist erst einmal dafür zu sorgen, dass die DynDNS-Adressen zuverlässig und sicher korrekt zugewiesne und aktualiesiert werden. Erst wenn das klappt, dann mit dem VPN weitermachen.

JeGr

@EuroPC said in VPN pfSense Fritte:

Ja, das stelle ich auch gerade fest. Die DynDNS Adresse ist via Synology.me eingegeben. Wenn ich nen Ping sende, gibt es nen Timeout.

Hat nicht unbedingt was zu heißen, die Geräte müssen ja nicht default auf nen Ping antworten. Aber wenn die die entsprechenden Ports/Protokolle gar nicht bekommen, klappt natürlich nix.

@NOCling said in VPN pfSense Fritte:

Aber auch dann muss die DynDNS Adresse passen.

Wenn beide Seiten dynamisch sind, kann Wireguard auch direkt in die Hose gehen, dann kanns sein, dass die sich nach beidseitigem IP change gar nicht mehr finden, weil sie die DynDNS nicht frisch einlesen.

@EuroPC said in VPN pfSense Fritte:

Die IP Adresse lautet 93.xxx.yy.zzz (Telekom)
Demnach kein cgNAT.

Das ist die Adresse die du zurückbekommst von "extern" also unter der du Abfragen machst. Das sagt aber nichts drüber aus, ob du die via CGNAT bekommst oder nicht. Kein externer Dienst meldet dir 100.64.x zurück, das wird nicht geroutet.

Wichtig ist, dass beide Seiten sich jeweils gegenseitig über ne DNS Adresse sehen, von wem oder was die ist, ist egal, aber sie muss stimmen, aktuell sein und das Gerät dahinter muss udp/500, 4500 und esp als Protokoll abbekommen, sonst gibts kein IPsec. Wenn die pfSense Seite bspw. hinter nem anderen Gerät hängt muss man prüfen, ob das das z.B. wegfrisst. Hatten wir auch schon, dass da ein Zyxel Modem/Router davor saß, der einfach kackfrech alles IPsec mäßige weggefressen hat.

Cheers

eagle61

@JeGr said in VPN pfSense Fritte:

Wenn beide Seiten dynamisch sind, kann Wireguard auch direkt in die Hose gehen, dann kanns sein, dass die sich nach beidseitigem IP change gar nicht mehr finden, weil sie die DynDNS nicht frisch einlesen

Ich finde es auch nervig, dass viele ISP in DE bei Privatkundentarifen noch immer die Zwangstrennung machen und durch diese Zwangstrennung immer eine neue IPv4-Adresse und ein neuer IPv6-Präfix zugewiesen werden. Aber das lässt sich ganz gut managen.
Ich bin mit meiner pfsense auch bei so einem ISP. Jede Nacht Zwangstrennung. Da ich vor der pfsense ein Modem habe und daher PPPoE verwende, kann ich das aber via /var/etc/pppoe_restart_pppoe0 als Cronjob steuerm, also wenigstens auf die Minute genau die Zeit bestimmen zu der das passiert.
Als DynDNS-Client nutze ich seitens der pf den customv4 und customv6. Maximal zwei Minuten nach dem PPPoE-Restart übermitteln der die neue IPv4 und IPv6 an den DynDNS-Provider. Das klappt seit Monaten 100% zuverlässig, wie die Logs belegen.
Als VPN zwischen pfsense und FritzBoxen nutze ich nur noch Wireguard. Auch diese sind beim Provider mit Zwangstrennung. Die nutzen den MyFritz-DnyDNS-Dienst. Auch der liefert zuverlässig nach der Zwangstrennung die korrekten Ipv4- und IPv6-Adressen.
Hinter einer der Fritten hab ich noch einen Rapsberry PI. Der u.a. den Tunnel überwacht. Schickt alle 15 Minuten 5 pings durch den Tunnel und wenn die Pings nicht durchgehen bekomme ich von dem Pi ne eMail. Kam in drei Monaten drei oder vier mal vor, dass diese eMail kam. Sobald der Tunnel dann wieder steht, kommt noch eine Mail. Weg war der Tunnel nie länger als diese 15 Minuten.

EuroPC

@eagle61 den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.
Dann habe ich auf der Syno halt noch eine Synology.me Adresse. Richtig zuverlässig ist die auch nicht.

Allerdings habe ich quad9 als DNS als DNS Resolver , wie auf der Quade Seite für pfsense beschrieben, konfiguriert. Könnte es da Probleme geben? Eigentlich ja nicht, da auch ein DNS die Anfragen ja weitergereicht werden. Bin da aber nicht im Thema.

Was WG angeht, ich werde das jetzt ernsthaft mal probieren. Erstmal mit der festen IP, kann man ja später umstellen.

Danke erstmal, EuroPC

EuroPC

@NOCling guten Morgen,

Dann erstelle ich eine FW rulers :
unter wan einerseits eine Weiterleitung zum Reverse Proxy auf der Diskstation

IPv4 tcp/udp source * port 443 destination 192.168.1.9 port 443 gateway *

Und
IPv4 ICMP any * * * **

Ist das so korrekt?

Gruß, EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

den custom nutze ich ebenfalls. Hier mit ipv64.net. Der ist eher unzuverlässig.

ipv64.net nutze ich auch. Läuft bei mir seit Monaten sehr zuverlässig. Daher kann ich deine Unzuverlässigkeitsaussage nicht nachvollziehen, es sei denn die Konfiguration bei dir ist an irgendeiner Stelle suboptimal. Um das zu beurteilen fehlen mir aber viele Informationen zu deinem Anschluss ans Netz des ISP seitens der pfsense (Telekom).

1. was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?
2. Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?
3. wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.

Je nachdem was bei dir der Fall ist hat das Auswirkungen auf das Update der IP-Adresse zum DynDNS-Service. Befindet sich die pfsense hinter einem Router, dann bekommt sie meist nur mit gewisser Verzögerung die Änderung der IP nach Zwangstrennung mit. Somit würde die pfsense auch erst mit eben dieser Verzögerung dem DynDNS-Provider (wie ipv64) eine Änderung übermitteln und der dann erst die DNS-Records anpassen können.

Ob du nun die DNS-Server von Quad9 nimmst oder die der Telekom ist dabei unerheblich. Ich nutze z.B. die der Digitalen Gesellschaft CH, also auch nicht die meines ISP. Für den DynDNS-Dienst ist das egal.

EuroPC

@eagle61

Zu Deinen Fragen:

was für eine Anschlussart hast du bei der Telekom (Glasfaser, DSL)?

Telekom, dsl 100

Was ist vor der pfsense (ein DSL-Modem, Glasfasermodem oder ein Router)?

Netgate2100 24.03-RELEASE (arm64)

wie erfolgt der Verbindungsaufbau seitens der pfsense? Bei einem reinen Modem ja per PPPoE. Ist ein Gerät im Routermodus dazwischen dann ja per DHCP.

PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden :-( ) und für eine pfSenses und die Digiboxen
den Account Update eingetragen. Das wahr wohl falsch und ich stelle gerade auf Domain Update um.

Mein Problem mit der Zuverlässigkeit könnte auch an der Telekom liegen, Die Verbindung bricht gerne ab und baut sich nach einiger Zeit neu auf (in der pfSense steht nichts von "Dial on Deamnd").

Ändert sich dadurch die IP, is das für DynDNS oder gar VPN tödlich.

Daher denke ich, sollte ich das erstmal abklären.

Wenn ihr mal draufscchauen wollt, auch wenn ich vom VPN jetzt eher OT gehe:

Nichtgenanntes ist nicht aktiviert.

WAN enabled
IPv4: PPPoE
IPv6: dhcp6
mtu 1492
Request a IPv6 prefix/information through the IPv4 connectivity link
Prefix delegation size 56
Send an IPv6 prefix hint to indicate the desired prefix size for delegation
username und passwort xxxxxxx

Block private networks and loopback addresses
Block bogon networks

LAN enabled
Static v4
Track interface
IP 192,168,1,1

IPv6 Interface WAN
Prefix id 0

In Syntem/Advanced/ Networkking
DHCP6 Debug
DHCP6 DUID RAW
allow IPv6

Hardware TCP Segmentation Offloading
Hardware Large Receive Offloading
hn ALTQ support

DHCPV
WAN rules
FW regeln: 

Bitte schaut da einmal drüber. Ich werde mal bei der Telekom wegen der Verbindungaussetzer anfragen und mein Modem, Vigor 160 mit neuester Firmware (habe das gerade kontrolliert) mal gegen eine Digibox oder Fritte testweise tauschen.

Einen schönen Sonntag euch,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Was IPV64 angeht, habe ich woohl Domain- Update und Account update verwechselt /und den Sinn der beiden nicht verstanden

Ich nutze tatsächlich sogar die Präfix-/Subdomain Update Token und habe das Häkchen bei Wildcard (*.) automatisch setzen? entfernt, Diese Präfix-/Subdomain Update Token finden sich hinter dem Anker-Symbol neben den jeweiligen Subdomains.

Im IPv6-Bereich bedarf es ja keiner NAT mehr. Wenn man also (wie ich) hinter der pfsense noch Server betriebt, die über eine Subdomain direkt via IPv6 erreichbar sind, dann muss man die Ipv6-Adresse für genau diese Subdomain ja aktualisieren.

eagle61

@EuroPC said in VPN pfSense Fritte:

PPoE, Draytek vigor 166 Gen2, latest Firmware Vigor166_v4.2.7_STD

Das sieht wie bei mir auch aus. Unterschied:
Ich nutze das Draytek Vigor 167 statt des 166 und bin bei o2 statt Telekom. Aber o2 macht bei xDSL nichts anders als die Telekom.

Welches Gerät managt bei dir die VLAN-ID?
Die ist bei Telekom wie bei o2 VLAN-ID7
Ich lass das das Vigor 167 machen, da das beim Vigor 167 schon die default Einstellung war und das Vigor 167 gleich nach dem Anschlließen an die TAE-Dose und Strom sofort eine Verbindung zu o2 hatte.

EuroPC

@eagle61
Wo genau der Unterschied der beiden ist, kann ich aus dem Stehgreif gar nicht sagen. Evtl habe ich aber noch nen 167 zum Testen.
Und zur Not FB 790 oder Digibox „Gen 1“.

VLan 7 wird bei mir durch den Draytek gesetzt. In der PfSense mache ich da nichts.
Operiert im Modem/ Bridge Mode
DSL Mode Auto u d Modem Code Auto.
Adels enabled Tag 7 Prio 0
Vdsl2/ Gfast enable
Tag 7 prio 0
MTU 1500, das könnte sich an 1492 in der PFSense bei der WAN Config stören…

Eine Vigor ebenfalls. Ich ändre nur deren IP auf 192.168.1.2, da die Sense 1.1 haben will.

Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll und probiere auch gerade Port forwarding (daum wäre mir VPN lieber) , den Reverse Proxy, evtl für Paperless, Bitwarden oder Plex im Docker der DS und cloudflare als Reverse Proxy.

Gruß,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Gfast

das ist der Unterschied. das 166 kann G.Fast /
Supervectoring / VDSL2, das 167 Supervectoring /
ADSL2/2+ / VDSL2

und das 167 soll nur etwa halb so viel Strom ziehen wie das 166, weil es modernere stromsparende Chips nutzt. Darum hab ich das genommen.

EuroPC

@eagle61 ok, also kein weltbewegender Unterschied für mich, denke ich.

** und das 167 soll nur etwa halb so viel Strom ziehen wie das 166** das ist allerdings ein relevanter Unterschied. Den hatte ich übersehen. Mal schauen, ob ich einen 167 rumliegen habe.

eagle61

@EuroPC said in VPN pfSense Fritte:

Ich hańbe zwar nur deine Diskstation hinter der Sense, die erreicht werden soll

Wenn die Diskstation nicht ständig erreichbar sein soll, dann reicht es natrülich via VPN zu gehen.

Bei mir ist es u.a. eine Nextcloud. Auf der hab ich Kalender, Adressbuch und synce zu der auch FIles, wie etwa Fotos. Das alle natrülich auch von meinen Android-Geräten, denn ich nutze dafür nicht das Google-Konto, dessen Adressbuch oder Kalender, etc. Damit das klappt und ich nicht 24/7 eine VPN-verbindung auf den Androiden aktuv halten muss, mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.

EuroPC

@eagle61 doch, die DS läuft 24/7.
das VPN wäre von daher nett, da ich auch wenn ich bei ,einen Eltern bin auf meine Plex Daten zugreifen kann. Das hoffe ich zumindest, da ich per VPN ja zwei unterschiedliche lokale zu einem lokalen zusammengefasst habe.

Momentan erhoffe ich mir erstmal ein stabiles DSL und damit DynDNS.
Quickconnect hilft hier ja nicht, da nur Synology.

** mach ich das eben miitlels IPv6-DynDNS und -Freigabe passender Firewal-Rules.**
Muss ich mir näher ansehen. Dachte VPN und IpV6 mögen sich (noch) nicht.
Das muss ich mir näher ansehen.

Gruß EuroPC

Ps: Ich muss eben zum Sport.

eagle61

@EuroPC said in VPN pfSense Fritte:

Dachte VPN und IpV6 mögen sich (noch) nicht.

Das mag für IPSec gelten. Für Wireguard gilt das nicht. Wireguard kann v6

Man muss halt das Transfernetz mit einer IPv4- und IPv6-Adressen versehen

NOCling

Das hier sind Tunnel zu 75er AVM Kinsten, die mit aktuelle Firmware primär über IPv6 laufen:

Die Basis muss halt stimmen, IPs der Gegenstellen müssen erreichbar sein, wenigstens eine die als Responder arbeitet.
DynDNS muss auf beiden Seiten sauber arbeiten und am besten mit kurzer TTL. Ich nutze hier 60 Sekunden, dann ist auch eine IP Änderung kein Problem, vor allem nicht bei IPsec wenn man Mobike aktiviert.

Über was für Probleme redet ihr hier?