Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN pfSense Fritte

    Scheduled Pinned Locked Moved Deutsch
    92 Posts 5 Posters 9.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EuroPC @eagle61
      last edited by EuroPC

      @eagle61 Guten Morgen,

      laut Fritte ist die Verbindung jetzt da, ich bekomme "Aktiiv" und den grünen Punkt in der GUI gezeigt.
      Entfernetes netz 192.168.3.0/24
      Die Endpunkt domain ist auch korrekt xxx.ipv64.net:51820
      Einen Ping oder Ähnliches kann ich aber erst später tersten.

      Auf Seiten ser Sense gibt es aber Probleme.
      Ob da etwas durcheinander gekommen ist, da ich auch den Zugriff vom Handy konfiguriert habe müsste ich austesten, wenn ich vor Ort bin.
      In der exportierten WG Datei finden sich folgende Einträge;
      [interface]
      Address = 192.168.188.201/24
      DNS = 192.168.188.1,192.168.3.1
      DNS = fritz.box
      [Peer]
      PublicKey = ABC
      PresharedKey = DEF
      AllowedIPs = 192.168.188.0/24,192.168.3.0/24,0.0.0.0/0
      Endpoint = lalala.myfritz.net:57185
      PersistentKeepalive = 25

      Das Netz 192.168.188.0/24 ist das der Fritte und das 192.168.3.0/24 das der PFSense
      Ansonsten bin ich nach Anleitung vorgegangen. Leider finde ich kein Log um dem Problem auf den Grund zu gehen
      Screenshot 2024-09-21 072257.png
      Screenshot 2024-09-21 072638.png

      Gruß,
      EuroPC

      E 1 Reply Last reply Reply Quote 0
      • E
        eagle61 @EuroPC
        last edited by eagle61

        @EuroPC said in VPN pfSense Fritte:

        Auf Seiten ser Sense gibt es aber Probleme.

        So ist es. Anleitung hast du auf jeden Fall nicht bis zu Ende gelesen. In den Kommentaren gibt es noch den Hinweis dass die MTU der WIregard-Tunnelns nicht auf dem Vorgabewert 1500 belassen werden darf. In reinen IPv4 Netzen darf er höchstens 1420 sein und in Netzen mit IPv6 nicht größer als 1412 und nicht klieiner als 1280. In deienr Konfiguration ist er aber noch bei 1500.

        Dann denke ich mal, dass du eine Fehler auf der Seite der pfsense hast, entweder bei der DynDNS-Adresse zu der verbunden werden soll oder bei den Key's (Public, Preshared). Denn es kommt ja kein Verbuindungsaufbau zustande. Das zeigt der rote Pfeil und die roten Hände unter Status / WireGuard, sow das Latest Handshake auf never steht .

        Zu den Logs.
        Unter Status / System Logs / System / General kannst du Filtern (rechts oben das rote Trichter-Symbol). Sinnvolle Filterbegriffe wäre tun_wg0 oder ireguard (ohne das W/w wegen eben groß- oder kleinschreibung).

        Steht der Tunnel denn auhc in den Interfaces / Interface Assignments und wurde unter Interfaces / WGTun0 aktiviert?

        E 1 Reply Last reply Reply Quote 1
        • E
          EuroPC @eagle61
          last edited by

          @eagle61 argh, stimmt, da wurde so etwas erwähnt......

          Nachdem ich die MTU auf 1412 geändert habe, die Idee ist, dass bei Bedarf auch ipv6 möglich ist (wie ich The Eagle im ipv64 Forum vertstehe, kann das nützlich sein "Seitens der FritzBox nutze ich die MyFritz DYN-DNS-Adresse und seitens der pfsense eine IPv6-only subdomain-Adresse (wie z.B. pfsense.xxxx.home64.de) bei ipv64 [Service Custom (v6)]." scheint der Tunnel zu funktionieren.
          Screenshot 2024-09-21 091915.png

          Der Handshake findert leider weiterhin "never"statt. Dann prüfe ich mal die Schlüssel.

          Das Interface ist aktiviert.
          Screenshot 2024-09-21 092305.png

          Wenn die Schlüssel getauscht sind, melde ich mich wieder.

          EuroPC

          1 Reply Last reply Reply Quote 0
          • E
            eagle61
            last edited by

            @EuroPC said in VPN pfSense Fritte:

            Wenn die Schlüssel getauscht sind, melde ich mich wieder

            Du hast auf der Seite der Fritte ja mal alle WIreguard-Verbindungen gelöscht. Das zieht nach sich, dass dann ALLE Schlüssel auch gelöscht werden, Private-, Public- und (sofern konfiguriert) auch der Preshared-Key.

            Legt man dann neue Verbindungen an, werdne auch ganz neue Key generiert. Deswegen gibt es in dr Anleitung in einer der Kommentare eben auch den hinweis in der Fritte immer eine Verbindung bestehen zu lassen. Es reichtw enn eien inaktive Verbindung bestehen bleibt. Alo ein beri der das Häkchen davor entfernt wurde.

            Hast du nun am anderen ENde auf der pfsense noch die alten Keys drin, also den PublicKey der ersten konfiguration von der Fritte, dann ist der nun natürlich ungültig, ebenso wie der PresharedKey und die pfsense kann keine Verbindung zur Fritte herstellen.

            E 1 Reply Last reply Reply Quote 1
            • E
              EuroPC @eagle61
              last edited by

              @eagle61 Moin,
              Auf der Fritte hatte ich in der Tat auch die WG Dinge gelöscht. Danach aber die Konfiguration wie in der Anleitung beschrieben neu aufgebaut. Danach noch die zum IPhone.

              Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
              Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.

              Cheers,
              EuroPC

              E 1 Reply Last reply Reply Quote 0
              • E
                eagle61 @EuroPC
                last edited by

                @EuroPC said in VPN pfSense Fritte:

                Die Datei habe ich dann gesichert und als Basis fürs die Sense genutzt. Insofern müsste alles passen.
                Ich kann allerdings die Daten versuchen erneut runterladen und diese als Basis zu nutzen.

                Oder du hast (ist ja auf den ersten Blick nicht immer alles übersichtlich) etwas vertauscht. Einen Private- mit einem PublicKey oder den PrvateKey der Fritte mit dem der sense.
                Fehlermöglichkeiten sind deren viele gegeben.

                Eine weitere Ursache dafür dass sich zwar die Fritte mit der sense verbinden kann, aber nicht umgekehrt ist die DynDNS-Adresse und wohin die aufgelöst (ipv4 oder IPv6) wird.
                Damit verbunden ist die Frage des Anschlusses der Fritte (Dual Stack, DS-Lite, CGNAT). Ist die Fritte an einem DS-Lite- oder CGNAT-Anscluss kannst du nur Verbindungen via IPv6 zur Fritte erstellen.

                E 1 Reply Last reply Reply Quote 1
                • E
                  EuroPC @eagle61
                  last edited by

                  @eagle61 dass ich hinter irgendeiner Form von GGNat mit der Fritte hänge ist vorstellbar.
                  Allerdings hat sie eine IPSec Verbindung zu einer anderen Fritte laufen. Die eine ist bei Greenfiber, die andere bei der Telekom.
                  Um die bei Greenfiber geht es hier.
                  Gruß EuroPC.

                  E 1 Reply Last reply Reply Quote 0
                  • E
                    eagle61 @EuroPC
                    last edited by

                    @EuroPC said in VPN pfSense Fritte:

                    dass ich hinter irgendeiner Form von GGNat mit der Fritte hänge ist vorstellbar

                    Kann man recht einfach überprüffen. Einfach mal auf der Fritte unter Internet - Online-Monitor nachsehen was da unter ""Internet, IPv4" steht.

                    Ist es eine IPv4-Adresse zwischen 100.64.0.0 und 100 127,255.255 dann ist es CGNAT. Taucht dort irgendwas mit AFTR auf ist es DS-Lite.

                    Die Lösung ist dann die Wireguard-Verbindung mit IPv6 aufzubauen.

                    E 2 Replies Last reply Reply Quote 0
                    • E
                      EuroPC @eagle61
                      last edited by

                      @eagle61 ok. Findet sich beides nicht.

                      Dann probiere ich später die Keys. Und wenn das nichts bringt, IPv6. Dann brauche ich nur noch ipv6 only von Ipv64.

                      EuroPC

                      E 1 Reply Last reply Reply Quote 0
                      • E
                        eagle61 @EuroPC
                        last edited by eagle61

                        @EuroPC said in VPN pfSense Fritte:

                        Dann probiere ich später die Keys. Und wenn das nichts bringt, IPv6.

                        Keine Ahnung welches Gerät du nun im Zugriff hast. Also wo du bist. Wohnung mit fritte oder die mit der sense.

                        Als erstes würd ich nachsehen was für einen Anschluss die Fritte tatsächlich hat. Das zu wissen ist ja die Basis für alles weitere. Hat sie gewöhnliches Dual Stack, also öffentliche IPv4- und IPv6-Adresse, ist alles bestens. Etwas schwieriger wird es bei CGNat oder DS-Lite.

                        Dann würd ich mich auf die sense einloggen. Im Terminal oder an der Konsole und dann über die Taste "8" eine Shell öffnen. Von dort aus mal die myfritz-Adresse der Fritte anpingen. Die nutzt du ja zum Verbindungsaufbau zur Fritte. Was kommt da zurück? Eine IPv4 oder einen IPv6-Adresse.
                        Ist es eine IPv6-Adresse bist du fein raus. Dann ist es egal ob Dual Stack, CGNat oder DS-Lite. Wenn die IPv6-Adresse dann auch noch tatsächlich die der Fritte ist, also deren DynDNS aktuell ist, dann kann der Fehler nur noch bei den Credentials liegen, also den Key's , oder an einem falsch zugewiesenen Port (Nummer des Ports oder TCP statt UDP).

                        E 1 Reply Last reply Reply Quote 0
                        • E
                          EuroPC @eagle61
                          last edited by EuroPC

                          @eagle61 man könnte doch eben ein php Skript dafür erstellen. Frage ist nur, wie man das in den Patetmanager rein bekommt ;)

                          Im Moment bin ich bei den Eltern mit der Fritte am Green Fiber Anschluss. Dort habe ich die WG Daten neu exportiert.
                          Später heute werde ich wieder bei mir und meiner 4100 Sense sein und kann weiter an WG arbeiten.
                          Die FB meldet nichts wegen CGNat und auch im Log der Fritte ist nichts dergleichen vermerkt.

                          Ich denke, dass ich spätestens heute Abend weiter testen kann.

                          Gruß EuroPC

                          1 Reply Last reply Reply Quote 0
                          • E
                            EuroPC @eagle61
                            last edited by

                            @eagle61 Was lange währt. Es funktioniert! Danke für Deine Hilfe und einen schönen restlichen Sonntag.

                            EuroPC

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.