Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wireguard Problem mit neuen Peers

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 3 Posters 45 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S Offline
      schwielownet
      last edited by

      Hallo zusammen,
      ich habe ein Wireguard-Problem auf einer pfSense 2.8.1, wo ich mit meiner Logik und meinem Latein langsam am Ende bin.
      Umfeld: pfSense 2.8.1 auf HP ProLiant DL360.
      2 konfigurierte Wireguardtunnel, einer mit einem Peer Site-to-Site.
      Der zweite Tunnel als Client-To-Site mit über 20 Peers.
      Die vor längerer Zeit eingerichteten ersten 19 Peers funktionieren problemlos. Man kann sich einwählen und auf alle internen Systeme zugreifen. Soweit alles gut.
      Inwischen wurde das System auf 2.8.1 aktualisiert (keine Ahnung, ob das etwas mit dem Problem zu tun hat). Jetzt wollte ich neue Peers einrichten - diese also wieder genauso gebaut, wie die bereits vorhandenen Peers. Verbindung (Handshake) kommt auch zustande - im Status wird der Peer als grün angezeigt. Ich bekomme aber keine Daten übertragen. Auf dem Client sehe ich bei den alten Peers sofort nach Verbindungsaufbau ein paar KiB auf der TX und ein paar mehr KiB auf der RX-Seite. Wenn ich auf dem selben System mit dem selben Client einen Tunnel mit der Konfig von einem der neuen Peers herstelle, dann sehe ich wieder ein paar KiB auf der TX aber nur 124B auf der RX-Seite. Ich kann auch auf nichts durch den Tunnel zugreifen. Trenne ich diesen und verbinde wieder mit einer alten Peerkonfig, geht sofort wieder alles. Es kann also nach meiner Logik nicht am Client liegen und der Server arbeitet mit den älteren Peers ja auch problemlos.
      Ich habe schon die Konfig der pfSense exportiert und wieder neu restored (inkl. Package-Reinstall) - keine Veränderung. In der XML-Datei sehen auch alle Peers identisch aus - ich kann da keinen Unterschied finden. Auch in der erzeugten Konfig unter /usr/local/etc/wireguard/tun_wg1.conf kann ich keinen Unterschied zwischen den alten und neuen Peers sehen.
      Des Weiteren habe ich probiert, einen neuen 3. Tunnel anzulegen und den Peer mit diesem zu verknüpfen. Selber Effekt.
      Ich habe keine Erklärung mehr dafür und weiß auch nicht, wo ich jetzt noch suchen kann/sollte. Habt ihr eine Idee, wo das herkommen kann bzw. was ich noch testen könnte. Oder zumidnest, wo ich weiterführende Logs finde? Im Client-Log (Windows 0.5.3) ist auch kein Unterschied zwischen beiden Verbidnungsaufbauten zu sehen.
      Vielen Dank
      Micha

      micneuM S 2 Replies Last reply Reply Quote 0
      • micneuM Offline
        micneu @schwielownet
        last edited by

        @schwielownet Bei mir zuhause habe ich mit WireGuard bisher gemischte Erfahrungen gemacht, es läuft gefühlt aktuell nicht ganz stabil. Deshalb setze ich dort, wo ich ein besonders stabiles VPN benötige, lieber auf OpenVPN. Im geschäftlichen Umfeld verwende ich WireGuard nicht.

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        1 Reply Last reply Reply Quote 0
        • S Offline
          slu @schwielownet
          last edited by

          @schwielownet said in Wireguard Problem mit neuen Peers:

          dann sehe ich wieder ein paar KiB auf der TX aber nur 124B auf der RX-Seite.

          Kann es sein das dein Routing nicht stimmt?
          Hast Du mal ein tcpdump laufen lassen?

          Wir haben mit ~ 25 Android Geräten keine Probleme mit WireGuard, ganz im Gegenteil das läuft extrem stabil.

          pfSense Gold subscription

          S 1 Reply Last reply Reply Quote 0
          • S Offline
            schwielownet @slu
            last edited by

            @slu Ich wäre ganz bei dir, wenn es für alle Peers nicht funktioniert, aber warum funktionieren 19 Peers und 3 nicht? Das ist es, womit ich nicht klar komme.
            Wie gesagt, ich nehme einen Windows-Client und gebe dem zwei Konfig-Dateien - eine von einem alten Peer und eine von einem neu angelegten Peer. In dem selben Client funktioniert die alte Peerkonfig, die neue nicht. Einziger Unterschied sind natürlich PSK, IP und Schlüsselpaar.
            Selbst, wenn ich einen funktionierenden alten Peer lösche und den mit den selben Werten neu anlege, funktioniert der nicht mehr.

            S 1 Reply Last reply Reply Quote 0
            • S Offline
              slu @schwielownet
              last edited by

              @schwielownet said in Wireguard Problem mit neuen Peers:

              PSK, IP und Schlüsselpaar.

              Dann kann es ja nur an einem der drei Werte liegen.. 😇

              pfSense Gold subscription

              S 1 Reply Last reply Reply Quote 0
              • S Offline
                schwielownet @slu
                last edited by

                @slu Auch da wäre ich bei dir, wenn man nicht das Phänomen hätte, das ich mit genau den selben Werten einen neuen Peer anlegen kann, der dann auch nicht mehr funktioniert.
                Und was soll an den drei Werten schwierig sein? Der PSK wird von der pfSense selbst generiert, das Schlüsselpaar hole ich mir vom Client und die IP ist halt eine aus dem Netz für die Clients, die auch funktionieren.
                Du siehst, man kommt da mit Logik irgendwie nicht weiter... gibt es irgendwo eine Möglichkeit, serverseitig mal den Loglevel hochzuschrauben und detaillierte Logs anzuschauen?

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.