VPN pfSense Fritte

EuroPC

@eagle61 Guten Morgen,

laut Fritte ist die Verbindung jetzt da, ich bekomme "Aktiiv" und den grünen Punkt in der GUI gezeigt.
Entfernetes netz 192.168.3.0/24
Die Endpunkt domain ist auch korrekt xxx.ipv64.net:51820
Einen Ping oder Ähnliches kann ich aber erst später tersten.

Auf Seiten ser Sense gibt es aber Probleme.
Ob da etwas durcheinander gekommen ist, da ich auch den Zugriff vom Handy konfiguriert habe müsste ich austesten, wenn ich vor Ort bin.
In der exportierten WG Datei finden sich folgende Einträge;
[interface]
Address = 192.168.188.201/24
DNS = 192.168.188.1,192.168.3.1
DNS = fritz.box
[Peer]
PublicKey = ABC
PresharedKey = DEF
AllowedIPs = 192.168.188.0/24,192.168.3.0/24,0.0.0.0/0
Endpoint = lalala.myfritz.net:57185
PersistentKeepalive = 25

Das Netz 192.168.188.0/24 ist das der Fritte und das 192.168.3.0/24 das der PFSense
Ansonsten bin ich nach Anleitung vorgegangen. Leider finde ich kein Log um dem Problem auf den Grund zu gehen

Gruß,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Auf Seiten ser Sense gibt es aber Probleme.

So ist es. Anleitung hast du auf jeden Fall nicht bis zu Ende gelesen. In den Kommentaren gibt es noch den Hinweis dass die MTU der WIregard-Tunnelns nicht auf dem Vorgabewert 1500 belassen werden darf. In reinen IPv4 Netzen darf er höchstens 1420 sein und in Netzen mit IPv6 nicht größer als 1412 und nicht klieiner als 1280. In deienr Konfiguration ist er aber noch bei 1500.

Dann denke ich mal, dass du eine Fehler auf der Seite der pfsense hast, entweder bei der DynDNS-Adresse zu der verbunden werden soll oder bei den Key's (Public, Preshared). Denn es kommt ja kein Verbuindungsaufbau zustande. Das zeigt der rote Pfeil und die roten Hände unter Status / WireGuard, sow das Latest Handshake auf never steht .

Zu den Logs.
Unter Status / System Logs / System / General kannst du Filtern (rechts oben das rote Trichter-Symbol). Sinnvolle Filterbegriffe wäre tun_wg0 oder ireguard (ohne das W/w wegen eben groß- oder kleinschreibung).

Steht der Tunnel denn auhc in den Interfaces / Interface Assignments und wurde unter Interfaces / WGTun0 aktiviert?

EuroPC

@eagle61 argh, stimmt, da wurde so etwas erwähnt......

Nachdem ich die MTU auf 1412 geändert habe, die Idee ist, dass bei Bedarf auch ipv6 möglich ist (wie ich The Eagle im ipv64 Forum vertstehe, kann das nützlich sein "Seitens der FritzBox nutze ich die MyFritz DYN-DNS-Adresse und seitens der pfsense eine IPv6-only subdomain-Adresse (wie z.B. pfsense.xxxx.home64.de) bei ipv64 [Service Custom (v6)]." scheint der Tunnel zu funktionieren.

Der Handshake findert leider weiterhin "never"statt. Dann prüfe ich mal die Schlüssel.

Das Interface ist aktiviert.

Wenn die Schlüssel getauscht sind, melde ich mich wieder.

EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Wenn die Schlüssel getauscht sind, melde ich mich wieder

Du hast auf der Seite der Fritte ja mal alle WIreguard-Verbindungen gelöscht. Das zieht nach sich, dass dann ALLE Schlüssel auch gelöscht werden, Private-, Public- und (sofern konfiguriert) auch der Preshared-Key.

Legt man dann neue Verbindungen an, werdne auch ganz neue Key generiert. Deswegen gibt es in dr Anleitung in einer der Kommentare eben auch den hinweis in der Fritte immer eine Verbindung bestehen zu lassen. Es reichtw enn eien inaktive Verbindung bestehen bleibt. Alo ein beri der das Häkchen davor entfernt wurde.

Hast du nun am anderen ENde auf der pfsense noch die alten Keys drin, also den PublicKey der ersten konfiguration von der Fritte, dann ist der nun natürlich ungültig, ebenso wie der PresharedKey und die pfsense kann keine Verbindung zur Fritte herstellen.

EuroPC

@eagle61 Moin,
Auf der Fritte hatte ich in der Tat auch die WG Dinge gelöscht. Danach aber die Konfiguration wie in der Anleitung beschrieben neu aufgebaut. Danach noch die zum IPhone.

Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.

Cheers,
EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.

Oder du hast (ist ja auf den ersten Blick nicht immer alles übersichtlich) etwas vertauscht. Einen Private- mit einem PublicKey oder den PrvateKey der Fritte mit dem der sense.
Fehlermöglichkeiten sind deren viele gegeben.

Eine weitere Ursache dafür dass sich zwar die Fritte mit der sense verbinden kann, aber nicht umgekehrt ist die DynDNS-Adresse und wohin die aufgelöst (ipv4 oder IPv6) wird.
Damit verbunden ist die Frage des Anschlusses der Fritte (Dual Stack, DS-Lite, CGNAT). Ist die Fritte an einem DS-Lite- oder CGNAT-Anscluss kannst du nur Verbindungen via IPv6 zur Fritte erstellen.

EuroPC

@eagle61 dass ich hinter irgendeiner Form von GGNat mit der Fritte hänge ist vorstellbar.
Allerdings hat sie eine IPSec Verbindung zu einer anderen Fritte laufen. Die eine ist bei Greenfiber, die andere bei der Telekom.
Um die bei Greenfiber geht es hier.
Gruß EuroPC.

eagle61

@EuroPC said in VPN pfSense Fritte:

dass ich hinter irgendeiner Form von GGNat mit der Fritte hänge ist vorstellbar

Kann man recht einfach überprüffen. Einfach mal auf der Fritte unter Internet - Online-Monitor nachsehen was da unter ""Internet, IPv4" steht.

Ist es eine IPv4-Adresse zwischen 100.64.0.0 und 100 127,255.255 dann ist es CGNAT. Taucht dort irgendwas mit AFTR auf ist es DS-Lite.

Die Lösung ist dann die Wireguard-Verbindung mit IPv6 aufzubauen.

EuroPC

@eagle61 ok. Findet sich beides nicht.

Dann probiere ich später die Keys. Und wenn das nichts bringt, IPv6. Dann brauche ich nur noch ipv6 only von Ipv64.

EuroPC

eagle61

@EuroPC said in VPN pfSense Fritte:

Dann probiere ich später die Keys. Und wenn das nichts bringt, IPv6.

Keine Ahnung welches Gerät du nun im Zugriff hast. Also wo du bist. Wohnung mit fritte oder die mit der sense.

Als erstes würd ich nachsehen was für einen Anschluss die Fritte tatsächlich hat. Das zu wissen ist ja die Basis für alles weitere. Hat sie gewöhnliches Dual Stack, also öffentliche IPv4- und IPv6-Adresse, ist alles bestens. Etwas schwieriger wird es bei CGNat oder DS-Lite.

Dann würd ich mich auf die sense einloggen. Im Terminal oder an der Konsole und dann über die Taste "8" eine Shell öffnen. Von dort aus mal die myfritz-Adresse der Fritte anpingen. Die nutzt du ja zum Verbindungsaufbau zur Fritte. Was kommt da zurück? Eine IPv4 oder einen IPv6-Adresse.
Ist es eine IPv6-Adresse bist du fein raus. Dann ist es egal ob Dual Stack, CGNat oder DS-Lite. Wenn die IPv6-Adresse dann auch noch tatsächlich die der Fritte ist, also deren DynDNS aktuell ist, dann kann der Fehler nur noch bei den Credentials liegen, also den Key's , oder an einem falsch zugewiesenen Port (Nummer des Ports oder TCP statt UDP).

EuroPC

@eagle61 man könnte doch eben ein php Skript dafür erstellen. Frage ist nur, wie man das in den Patetmanager rein bekommt ;)

Im Moment bin ich bei den Eltern mit der Fritte am Green Fiber Anschluss. Dort habe ich die WG Daten neu exportiert.
Später heute werde ich wieder bei mir und meiner 4100 Sense sein und kann weiter an WG arbeiten.
Die FB meldet nichts wegen CGNat und auch im Log der Fritte ist nichts dergleichen vermerkt.

Ich denke, dass ich spätestens heute Abend weiter testen kann.

Gruß EuroPC

EuroPC

@eagle61 Was lange währt. Es funktioniert! Danke für Deine Hilfe und einen schönen restlichen Sonntag.

EuroPC