OPNsense x Fritzbox 7590 / FritzOS 7.50 Wireguard

Started by maxidalli, March 18, 2023, 07:25:39 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
September 29, 2023, 05:16:08 PM #15
Quote from: Dirk007 on September 15, 2023, 12:11:38 PM
Hallo zusammen,
was mach ich nur falsch?  Ich kann noch nicht mal die cfg einlesen i.d. Fritte

FritzBox 6850LTE

[Interface]
PrivateKey = BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
ListenPort = 51821
Address = 192.168.200.1

[Peer]
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
PresharedKey = CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 199.99.999.99:51821
PersistentKeepalive = 10

OPNsense Local
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
PrivateKey = DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
ListenPort = 51821
TunnelAdress = 192.168.178.1/24

OPNsense Endpoint
Name = Test
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AllowedIPs = 192.168.200.0/24, 192.168.178.0/24

Danke.

@Dirk007 Ich nehme das was du geschrieben hast mal wörtlich.

  • Dann Nutzt du den falschen Public Key in OpnSense Local und der FritzBox im Peer (müsste dann EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE sein - der public key zum private key der OpnSense)
  • Probier bei "address" der FB mal die public IP bzw. der DNS Alias der FB.
  • Nehm mal die IPv6 Sachen raus (zunächst Testweise)
  • Setz PersistentKeepalive auf 25. Das ist der Standardwert von FritzBoxen
October 01, 2023, 08:47:28 AM #16

Falls es mit dem Wireguard nicht weitergeht, ich habe eine ähnliche Konfiguration mit IPsec am laufen.

PC - OPNsense --IPsec-- Fritzbox - Drucker
November 13, 2023, 08:59:37 PM #17
Moin zusammen,
ich habe alles hier so eingerichtet zwischen Fritze und OPNSense, die Verbindung steht auch, aber ich erreiche das Netz der anderen Seite nicht.

https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

Fritte:
TunnelIF: 10.0.0.2/24
AllowList: 192.168.1.0/24, 10.0.0.1/32 # Local Opnsense

OPNSense:
TunnelIF: 10.0.0.1/24
AllowList: 192.168.0.0/24, 10.0.0.2/32 # Local Fritte

Das einzige was ich erreiche die die Fritte, allerdings unter 10.0.0.2 und nichts im Lokalen Netz.

Was mache ich falsch?
November 13, 2023, 09:35:05 PM #18
Also wenn Du in den VPN Diagnostics ein- und ausgehenden Traffic siehst, scheint der Handshake geklappt zu haben. Dann kann es nur noch Routing oder Firewall sein.

Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Wahlweise geht auch "Allow All" - wenn es dann geht, musst Du den Fehler suchen. Immer dran denken: Floating Rules ziehen vor den Interface-Regeln! Filtert man dort etwas weg, bekommt man es nicht wieder!

Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
November 13, 2023, 09:54:58 PM #19
Quote from: meyergru on November 13, 2023, 09:35:05 PM
Also wenn Du in den VPN Diagnostics ein- und ausgehenden Traffic siehst, scheint der Handshake geklappt zu haben. Dann kann es nur noch Routing oder Firewall sein.

Wie gesagt die Firtzbox erreiche ich ja über ihre Tunnel Adresse.

Quote from: meyergru on November 13, 2023, 09:35:05 PM
Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Wahlweise geht auch "Allow All" - wenn es dann geht, musst Du den Fehler suchen. Immer dran denken: Floating Rules ziehen vor den Interface-Regeln! Filtert man dort etwas weg, bekommt man es nicht wieder!

Ich sehe Default Denys auf dem WG Interface von

Dst: Mein Rechner im OPNSense LAN
Src: TunnelIF der Fritzbox
Dir: IN

Trage ich da nun was auf dem WG Interface ein oder WG Groups? Was ist da der Unterschied?
N
November 14, 2023, 12:10:26 AM #20
Was Du benötigst ist in den Anleitung unter Step 5 doch genau erklärt. Wobei Du natürlich nur die OpnSense-Seite konfigurieren musst, die Fritzbox macht das selbst.

Deswegen gehen vermutlich Deine Pakete auch raus zur Fritzbox, aber die Antworten vom Remote LAN werden nicht durchgelassen, entweder weil die Tunneladresse nicht reinkommt oder das Remote LAN nicht. Beide Regeln sind in der Anleitung drin.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
November 14, 2023, 10:44:03 AM #21
Moin,
ist so eingetragen. Möchte noch nicht ganz.

Ich sehe erlaubten Traffic von LAN A (OpnS) nach LAN B (Fritz).
Ich sehe blockierten Traffic von Tunnel Interface FritzBox, nach LAN A auf dem WG IF.

Trage ich dazu eine Regel auf dem WGGroup IF ein, gibts dennoch Default Denys.

Vielen Dank für deine Hilfe dabei.
November 14, 2023, 11:02:37 AM #22
Ja, klar. Um das zuzulassen, brauchst Du ja auch eine "in" Regel auf LAN A. Und vor allem: Auf dem LAN A Interface darf nicht "Block private networks" angehakt sein.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
November 25, 2023, 05:43:45 PM #23
Ich bekomme es nicht nicht zum laufen. Sehe auch keine Hits auf der Firewall. Ist voll auf Durchzug gestellt zwischen LAN A und B wie auch dem WG Interface.

Sieht mir eher nach Routing Problem auf der OPNSense aus.

Von B nach A geht ohne Probleme. Von A nach B erreiche ich nur die Fritzbox über die Tunnelinterface Adresse. Ich kann in den Routes sehen das LAN B über Gateway Wireguard eingetragen ist.
December 11, 2023, 12:06:42 PM #24
Hallo, kann mir vielleicht jemand behilflich sein?

Ich habe eine Wireguard-Verbindung bereits am laufen.
Opnsense als Server, MacBook als Client - läuft über den Port 51820

Muss ich einen anderen Port für meine Verbindung zur Fritzbox konfigurieren oder kann ich das über den selben Port machen?

Kann ich den Public/Private-Key der ersten Verbindung auch für die zusätzliche mit der Fritzbox verwenden oder benötige ich auf Seiten der Opnsense auch neue Keys?
April 01, 2024, 02:21:10 PM #25
Hallo,

ich habe leider bei der Verbindung meiner OPNsense (v 24.1.4) per WireGuard zu einer FritzBox 7590 (aktuelles FritzOS) Probleme. Die Verbindung besteht, aber ich erreiche das jeweils anderer Netz nicht :(

Netzwerke und Ports

  • OPNsense-Seite: 192.168.101.0/24; WireGuard-Port: 51821
  • FritzBox-Seite: 192.168.11.0/24; WireGuard-Port: 54103
Aufgebaut habe ich die Verbindung durch Import einer Config-Datei in der Fritzbox und dem Nachbau der Verbindung in der OPNsense. Die Settings dazu habe ich lt. dem Beitrag #7 vorgenommen. Die Firewall-Einstellungen habe ich anhand des OPNsense-Manuals (WireGuard Site-to-Site Setup) vorgenommen.

Firewall-Settings
Ich sehe, dass die Verbindung in der FritzBox als aufgebaut aufgeführt wird (Screenshot dazu).
In der OPNsense habe ich unter VPN => WireGuard => Diagnostics ein "up" für die WG-Instanz (Screenshot dazu). Allerdings kein "up" für den Peer - dort sehe ich wiederrum einen Zeitstemper für Handshake und einige KB für "Send" und "Received".

In der OPNsense unter "VPN" => "WireGuard" => "Log File" sehe ich auch Fehlermeldungen, die PHP ausgeworfen hat (Screenshot dazu). Scheinbar konnte der Name nicht aufgelöst werden. Ist das zu vernachlässigen, wenn die Verbindung als "up" aufgeführt wird?

Quote from: meyergru on November 13, 2023, 09:35:05 PM...
Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).
Das würde ich gerne machen! Kann mir jemand sagen, wie genau eine solche Regel zu definieren ist?
Wie kann ich ansonsten checken, wo's klemmt?
Print
Go Up Pages 1 2
User actions