Messages

Das mit dem 0.0.0.0/0 habe ich ebenfalls übernommen. Dort scheint es aber so zu sein, dass im Windows Client erst mit der 0.0.0.0/0 die Checkbox für den Kill-Switch erscheint, die dann zwischen der 0.0.0.0/0 und der 0.0.0.0/1, 128.0.0.0/1 wechselt. Das scheint vermutlich der Grund zu sein, weshalb das bei AVM so konfiguriert wird. Aber auch das hatte ich mit mehreren Variationen getestet. Entweder nur interne IP oder 0.0.0.0/0. Ich kann eben auch auf andere VPN Clients drauf. Wenn die 192.168.3.2 einen WebDAV startet kann die 192.168.2.3 den sehen. Aber niemand kommt auf die wirklich internen Geräte, obwohl die Firewall Verbindungen zum DNS sogar anzeigt.

Wie bereits erwähnt hatte ich es anfänglich mit 10.0.0.0/24 konfiguriert was aber auch nicht ging. Soweit ich das beurteilen kann sollte das auch egal sein. Der WireGuard der FRITZ!Box hat es ebenfalls im selben Subnet angelegt und die Adressen ab .200 vergeben.

Ok, dann hier mal die Configs. Hoffe das reicht (hab es mal etwas zensiert).
WG Interface wegen dem 4 Attachments limit mal weggelassen.

DNS fähig sind beide. Über DHCP gibt die OPNsense den PiHole weiter und den habe ich auch bei WireGuard genutzt. Dort sehe ich wie gesagt erfolgreiche und nicht geblockte Verbindungen. Mit der OPNsense als DNS hat es auch nicht funktioniert.

Das stimmt bei mir so überein. Über die FRITZ!Box ging es also liegt es immerhin nicht am IPv6.
Es gibt nicht nur Verbindung sondern wirklich einen Handshake und auch Austausch, siehe Anhang

Hallo nochmal,

nachdem ich erfolgreich die OPNsense hinter dem DG Anschluss zum laufen bekommen habe wollte ich nun auch den WireGuard VPN wieder aufbauen. Ich habe hier orientiert an den alten FRITZ!Box Einstellungen dem WAN Interface wieder eine eigene IPv6 zuweisen lassen. Diese IP habe ich als Eintrag in meiner Subdomain hinterlegt. Den WireGuard habe ich anhand des Guides und Videos konfiguriert und lediglich so angepasst, dass es mit den alten Configs der FRITZ!Box übereinstimmt.

LAN ist bei mir aktuell 192.168.0.0/22, sprich 192.168.1.1/22 hat die OPNsense und 192.168.3.1/22 habe ich dem WireGuard Interface gegeben. Die Clients dann ab 192.168.3.2/32 auf der OPNsense bzw. 192.168.3.2/22 auf dem Client selber, sowie Allowed IPs 192.168.0.0/22, 0.0.0.0/0.
Der WireGuard Port ist auf dem WAN freigegeben. Auf dem WireGuard Interface ist eine IPv4 Pass * Regel und ich bekomme auch immer einen Handshake.

Ich habe allerdings nie Internet und keine Verbindung zu internen IPs, außer am iPhone da komm ich mit 192.168.1.1 auf die OPNsense drauf. In der Firewall Liveview sehe ich wie Pakete von 192.168.3.2 zum PiHole gehen oder die Anfragen mit :443 aufs NAS. Diese sind auch alle Grün. Es lädt trotzdem nie etwas und ich finde nichts dazu. Konfigurieren mit 10.0.0.0/24 habe ich auch schon durch. OpenVPN ebenfalls probiert.


Jemand eine Idee?

Ich habe es nun nochmal versucht und es hat endlich geklappt. Erst ging es nicht, da ich duch die Tests gestern bei einem Präfix mit /57 gelandet bin, was mir dank der radvd.conf aufgefallen ist und nachdem ich es zurück auf /56 gestellt habe ging es dann. https://test-ipv6.com/ sagt 10/10.

Jetzt noch alles umziehen und dann habe ich es endlich.

Vielen vielen dank für die ganze Hilfe.  ;D

Ich werde dem nochmal nachgehen. Gestern hatte ich nochmal einen neustart gemacht und OPNsense komplett neu installiert, sowie die FRITZ!Box so konfiguriert, dass ich die OPNsense dahinter packen kann. Dann auch WAN und LAN Einstellungen genaus so wie hier gepostet konfiguriert.

Das hat dann funktioniert und mein Client hatte, angeschlossen an der OPNsense, mehere IPv6-Adressen und auch das Gateway wurde, wie auch bei der FRITZ!Box ausgefüllt. Somit weiß ich schonmal, dass es eigentlich gehen sollte. Track Interface und RA klappte scheinbar.

Ich denke wenn es jetzt so funktioniert hat, sollte es eigentlich auch am echten WAN funktionieren ohne zusätzliche Firewall Konfigurationen oder ähnliches. Ansonsten habe ich mal testweise unter Tunables "net.inet6.ip6.use_tempaddr" auf 1 gesetzt, wenn das denn überhaupt richtig ist. Es hat nicht schlechter funktioniert, daher habe ich es mal so gelassen. In der radvd-Config sah ich auch den Präfix. Wie es am DG-Anschluss ist muss ich dann mal schauen.

Ich habe es vorhin nochmals getestet und am Notebook mal rdisc6 getestet und hatte nur ff02::2 wird angeboten (ff02::2) auf ... Zeitüberschreitung

Alles klar das werde ich dann mal ausprobieren.

Also radvd läuft. Was genau meinst du mit den RAs? Ich hatte im DHCP auch eine Range usw., der war aber wie in deinen Screenshots ebenfalls abgeschaltet. Ich hatte ihn auch mal aktiviert und der Dienst lief auch aber trotzdem ohne IPs.

Die Einstellungen sind aus deinen Screenshots übernommen, DHCPv6 ist aus und die FRITZ!Box gar nicht mehr mit irgendwas Verbunden. Zusätzlich habe ich den IP Kreis der OPNsense auf Standard und daher auch nicht der gleiche wie bei der FRITZ!Box. WLAN läuft über Ubiquiti und die Console ist in dem Fall dann auch nur mit der OPNsense verbunden gewesen.

Ich habe jetzt mal die Einstellungen testen können und auch Testweise die FRITZ!Box MAC-Adresse benutzt in der Hoffnung, dass es so schneller geht. Ich habe eine IPv4 und auch eine IPv6 bekommen. WAN mit Präfix, LAN mit IPv6. Das ist schonmal nicht schlecht, leider haben die Clients das selbe Problem mit der IPv6.

Wie man in dem einen Screenshot aus den iOS Einstellungen sieht, habe ich dort wieder nur eine fd... Adresse ohne Router etc.
Ich habe mal zusätzlich angehangen wie es bei der FRITZ!Box aussieht.

Ich habe es eben nochmal mit den Einstellungen wie aus den Screenshots probiert und frage mich nun ob mir eventuell wer sagen kann, wie lange es ungefähr dauert bis die DG einem eine IP ausgibt. Bei IPv4 stehe ich über eine halbe Stunde lang nur noch bei 0.0.0.0 aber sehe dass in der Firewall irgendwas an die DG WAN Adressen geht. Es ist echt anstregend teilweise Stunden zu warten und nicht zu wissen ob es die Konfiguration oder einfach der DG DHCP ist...

Das mit dem IPv4 ist klar, war auch schon ein Thema das ich jetzt letztens in Angriff genommen habe. V Server bei IONOS und dann mit socat alle relevanten Ports weitergeleitet auf eine DynDNS wo die IPv6 meines NAS hinterlegt ist. Funktioniert soweit. Wenn also OPNsense mit DG Internet und IPv6 funktioniert bin ich glücklich.