Toon posts:

Site-to-Site tussen pfSense en FritzBox via Wireguard

Pagina: 1
Acties:

donderdag 28 september 2023 20:23

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Hoi,

ik heb intussen heel veel tijd met onderstaand probleem doorgebracht, maar ik kom er niet achter waar het probleem zit. Ik heb het gevoel dat ik er bijna ben, maar het wil maar niet lukken.

Ik probeer een site-to-site VPN met Wireguard tussen een pfSense en een FritzBox op te zetten.

Gegevens:

pfSense versie: 2.7.0
FritzBox 7490 met version 7.57

De pfSense draait op Proxmox, het fysieke netwerk (waar Proxmox en dus ook pfSense achter zitten) draait op Unifi spul.

Netwerken aan de kant van de pfSense: 192.168.1.0/24, 192.168.100.0/24, 192.168.200.0/24
Netwerk aan de kant van de FritzBox: 192.168.2.0/24

Status
- Er komt en tunnel tot stand, maar ik kan er van geen van beide kanten IPs aan de andere kant van de tunnel pingen of anders benaderen
- Individuele client-to-pfSense tunnels werken zonder problemen
- Individuele client-to-FritzBox tunnels werken zonder problemen
- Gek genoeg zie ik in de pfSense interface dat er wel traffic via de tunnel met de FritzBox lijkt te zijn, maar dat zou ook gewoon Wireguard traffic kunnen zijn (om de tunnel in stand te kunnen houden)
- Vanaf de pfSense lukt ook geen ping naar de FritzBox

Configuratie
Bij deze een aantal screenshots - heb ik iets over m'n hoofd gezien?

Afbeeldingslocatie: https://tweakers.net/i/6ITOFXQTkhI1OA7OSk3Vm40MNNc=/800x/filters:strip_exif()/f/image/Y9hZZv1Ibl8EDZe1J7WW1tSK.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/q5cAvppfB4KrFTn0AVQgzEvv-5A=/800x/filters:strip_exif()/f/image/Y5UGlz4YlK20NJ71NTAve3H8.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/b0dpcpBHKh0tn35vvgn77gQflYA=/800x/filters:strip_exif()/f/image/ElT5kvJM5E9z24rGxsQ6JvDR.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/wQUj0Iny2ah0tvfqN4dzHt4r9JU=/800x/filters:strip_exif()/f/image/zI3rd7VFgyDmKvW14EtCVbxb.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/77A2CH5_eJdKo5vD7qmjYz4nGuc=/800x/filters:strip_exif()/f/image/SD6O5oVso4YpDpOaZWqBZ0vn.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/ds6KPZyXlmXox_oqu-gVNkMSZdo=/800x/filters:strip_exif()/f/image/adP0z2v0ZdT3Wp4oDpN7slFZ.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/0YDVuRI1oy0kJQpdpFjb4qvHcSE=/800x/filters:strip_exif()/f/image/1CBDGTE818RdxZqfJsAoyLTQ.png?f=fotoalbum_large


Bij voorbaat dank!

vrijdag 29 september 2023 08:00

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 25-09 12:01

MasterL

Moderator Internet & Netwerken
Ik vind je configuratie een beetje moeilijk te doorgronden...
Zo te zien is 192.168.200.0/24 een subnet wat je gebruikt voor alle Wireguard routing en zitten hier geen daadwerkelijke "devices" in, klopt dit?

Waarom heb je die static route 192.168.2.0/24 >192.168.200.7 aangemaakt? en wat is die 192.168.200.7?
Is dit de FritsBox aan de andere kant?

Wat ik zou verwachten que configuratie..
PF kant:
WG interface: 192.168.200.0/24
Allowed IP's: 192.168.200.7/32, 192.168.2.0/24

Fritxbox kant:
IP-address: 192.168.200.7/32
Allowed IP's: 192.168.1.0/24, 192.168.100.0/24

Mocht ik mij vergissen dat 192.168.200.0/24 wel degelijk een "echt" lokaal gebruikt subnet is zou ik het Wireguard subnet omnummeren naar een uniek/nergens anders gebruikt subnet.
Verder kun je in PFSense altijd een log op je firewall rule zetten, op deze manier kun je monitoren of er daadwerkelijk wel packets op die interface binnen komen.

vrijdag 29 september 2023 08:44

Acties:
  • 0 Henk 'm!
  • joostdejonge123
  • Registratie: Maart 2011
  • Laatst online: 12:09

joostdejonge123

In de Wireguard in de Fritzbox zit een bug. Het filteren op adressen werkt vaak niet goed (dit wordt als het goed is bij volgende software versie opgelost).

Maak je Fritzbox wireguard helemaal opnieuw aan, zonder filtering op adressen, en kijk dan eens of het werkt?

Hier heb ik dit probleem gehad met het connecten van 2 fritzboxen: filtering aan: lampje zegt dat er verbinding is, 1 kant op gaat goed, de andere kant op niet. De hebben we pas opgelost door nieuwe Wireguard configuratie aan te maken (dus niet door bestaande aan te passen) en alles open te zetten.

Succes!

vrijdag 29 september 2023 09:08

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Bedankt voor jullie reacties!
MasterL schreef op vrijdag 29 september 2023 @ 08:00:
Ik vind je configuratie een beetje moeilijk te doorgronden...
Zo te zien is 192.168.200.0/24 een subnet wat je gebruikt voor alle Wireguard routing en zitten hier geen daadwerkelijke "devices" in, klopt dit?
Ja, dat klopt. Dit netwerk bestaat alleen op de pfSense is uitsluitend voor gebruik met Wireguard. Op de Unifi Security Gateway heb ik een static route aangemaakt voor 192.168.2.0/24 -> 192.168.1.233 (het IP adres van de pfSense), en voor de individuele Wireguard clients werkt dit prima (zij kunnen het lokale netwerk op en ik kan op de clients).
Waarom heb je die static route 192.168.2.0/24 >192.168.200.7 aangemaakt? en wat is die 192.168.200.7?
Is dit de FritsBox aan de andere kant?
Ja, de bedoeling is dat de FritzBox de 192.168.200.7 is. Zonder die route probeert de pfSense traffic naar 192.168.2.0/24 via het default gateway te routeren (192.168.1.1, de USG).
joostdejonge123 schreef op vrijdag 29 september 2023 @ 08:44:
In de Wireguard in de Fritzbox zit een bug. Het filteren op adressen werkt vaak niet goed (dit wordt als het goed is bij volgende software versie opgelost).

Maak je Fritzbox wireguard helemaal opnieuw aan, zonder filtering op adressen, en kijk dan eens of het werkt?
Bedoel je dat de Allowed IPs op de FritzBox leeg moeten zijn, of 0.0.0.0/0?

vrijdag 29 september 2023 09:31

Acties:
  • +1 Henk 'm!
  • joostdejonge123
  • Registratie: Maart 2011
  • Laatst online: 12:09

joostdejonge123

Ja, dat vinkje actief uitzetten:
Afbeeldingslocatie: https://tweakers.net/i/dCe_EUpTLWwVE297GuCsKbVJdac=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/e9TtV6OknecAGksgM3CKFbyb.jpg?f=user_large

vrijdag 29 september 2023 10:00

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Bedankt, maar zorgt dat niet ervoor dat de FritzBox alle traffic via Wireguard routeert?

vrijdag 29 september 2023 10:44

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 25-09 12:01

MasterL

Moderator Internet & Netwerken
Het lijkt mij dat die gateway entry overbodig is, het hele idee is juist dat het "Allowed IP's" deel de routing verzorgt. Maargoed het zou vanaf het PFSense deel toch redelijk te doen moeten zijn, stel een log in op je firewall rule en kijk of er packets aankomen vanaf de FritzBox>Wireguard interface.

Initieer wat ICMP pakketten (ping) vanaf het Fritsbox netwerk naar een 192.168.1.0/24 of 192.168.100.0/24 adres en zie of deze aankomen in je PFsense. Dit zou toch moeten als deze netwerken in de Allowed IP's
lijst staan op de Fritsbox. Mocht dit niet gebeuren zou @joostdejonge123 best eens gelijk kunnen hebben.

vrijdag 29 september 2023 12:45

Acties:
  • 0 Henk 'm!
  • joostdejonge123
  • Registratie: Maart 2011
  • Laatst online: 12:09

joostdejonge123

mfkne schreef op vrijdag 29 september 2023 @ 09:08:


Bedoel je dat de Allowed IPs op de FritzBox leeg moeten zijn, of 0.0.0.0/0?
Nee, ik bedoel dat je de hele configuratie opnieuw moet aanmaken. Eenmaal de optie geselecteerd van de filtering gaat hij er niet meer uit heb ik gemerkt (bijzonder onhandig...)

Deze optie selecteren zorgt er puur voor dat de door jou geselecteerde devices vanaf de andere locatie bereikbaar zijn. Er is nog een andere optie aanwezig om al het verkeer te routeren via 1 van de vestigingen...

vrijdag 29 september 2023 12:49

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Prima, ik ga het proberen zodra ik weer toegang heb tot de FritzBox, want als ik dat via VPN doe wordt de verbinding altijd verbroken. Bedankt!

vrijdag 29 september 2023 13:34

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Ik heb het nu toch nog een keer geprobeerd, en ik zag die optie niet eens, maar het werkt nu naar behoren! Bedankt allemaal!

vrijdag 29 september 2023 13:37

Acties:
  • 0 Henk 'm!
  • joostdejonge123
  • Registratie: Maart 2011
  • Laatst online: 12:09

joostdejonge123

Mooi dat het nu werkt!

Ben er wel bewust van dat alle devices op beide netwerken nu aan elkaar gekoppeld zijn...

vrijdag 29 september 2023 14:28

Acties:
  • 0 Henk 'm!
  • mfkne
  • Registratie: November 2011
  • Laatst online: 12:14

mfkne

Topicstarter
Ja, dat was sowieso de bedoeling :-)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq