OPNsense x Fritzbox 7590 / FritzOS 7.50 Wireguard

[HunvHunv]

Hallo zusammen,
was mach ich nur falsch?  Ich kann noch nicht mal die cfg einlesen i.d. Fritte

FritzBox 6850LTE

[Interface]
PrivateKey = BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
ListenPort = 51821
Address = 192.168.200.1

[Peer]
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
PresharedKey = CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 199.99.999.99:51821
PersistentKeepalive = 10

OPNsense Local
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
PrivateKey = DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
ListenPort = 51821
TunnelAdress = 192.168.178.1/24

OPNsense Endpoint
Name = Test
PublicKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AllowedIPs = 192.168.200.0/24, 192.168.178.0/24

Danke.

@Dirk007 Ich nehme das was du geschrieben hast mal wörtlich.

• Dann Nutzt du den falschen Public Key in OpnSense Local und der FritzBox im Peer (müsste dann EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE sein - der public key zum private key der OpnSense)
• Probier bei "address" der FB mal die public IP bzw. der DNS Alias der FB.
• Nehm mal die IPv6 Sachen raus (zunächst Testweise)
• Setz PersistentKeepalive auf 25. Das ist der Standardwert von FritzBoxen

[uneu]

Falls es mit dem Wireguard nicht weitergeht, ich habe eine ähnliche Konfiguration mit IPsec am laufen.

PC - OPNsense --IPsec-- Fritzbox - Drucker

[XeroX]

Moin zusammen,
ich habe alles hier so eingerichtet zwischen Fritze und OPNSense, die Verbindung steht auch, aber ich erreiche das Netz der anderen Seite nicht.

https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

Fritte:
TunnelIF: 10.0.0.2/24
AllowList: 192.168.1.0/24, 10.0.0.1/32 # Local Opnsense

OPNSense:
TunnelIF: 10.0.0.1/24
AllowList: 192.168.0.0/24, 10.0.0.2/32 # Local Fritte

Das einzige was ich erreiche die die Fritte, allerdings unter 10.0.0.2 und nichts im Lokalen Netz.

Was mache ich falsch?

[meyergru]

Also wenn Du in den VPN Diagnostics ein- und ausgehenden Traffic siehst, scheint der Handshake geklappt zu haben. Dann kann es nur noch Routing oder Firewall sein.

Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Wahlweise geht auch "Allow All" - wenn es dann geht, musst Du den Fehler suchen. Immer dran denken: Floating Rules ziehen vor den Interface-Regeln! Filtert man dort etwas weg, bekommt man es nicht wieder!

[XeroX]

Also wenn Du in den VPN Diagnostics ein- und ausgehenden Traffic siehst, scheint der Handshake geklappt zu haben. Dann kann es nur noch Routing oder Firewall sein.

Wie gesagt die Firtzbox erreiche ich ja über ihre Tunnel Adresse.

Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Wahlweise geht auch "Allow All" - wenn es dann geht, musst Du den Fehler suchen. Immer dran denken: Floating Rules ziehen vor den Interface-Regeln! Filtert man dort etwas weg, bekommt man es nicht wieder!

Ich sehe Default Denys auf dem WG Interface von

Dst: Mein Rechner im OPNSense LAN
Src: TunnelIF der Fritzbox
Dir: IN

Trage ich da nun was auf dem WG Interface ein oder WG Groups? Was ist da der Unterschied?
N

[meyergru]

Was Du benötigst ist in den Anleitung unter Step 5 doch genau erklärt. Wobei Du natürlich nur die OpnSense-Seite konfigurieren musst, die Fritzbox macht das selbst.

Deswegen gehen vermutlich Deine Pakete auch raus zur Fritzbox, aber die Antworten vom Remote LAN werden nicht durchgelassen, entweder weil die Tunneladresse nicht reinkommt oder das Remote LAN nicht. Beide Regeln sind in der Anleitung drin.

[XeroX]

Moin,
ist so eingetragen. Möchte noch nicht ganz.

Ich sehe erlaubten Traffic von LAN A (OpnS) nach LAN B (Fritz).
Ich sehe blockierten Traffic von Tunnel Interface FritzBox, nach LAN A auf dem WG IF.

Trage ich dazu eine Regel auf dem WGGroup IF ein, gibts dennoch Default Denys.

Vielen Dank für deine Hilfe dabei.

[meyergru]

Ja, klar. Um das zuzulassen, brauchst Du ja auch eine "in" Regel auf LAN A. Und vor allem: Auf dem LAN A Interface darf nicht "Block private networks" angehakt sein.

[XeroX]

Ich bekomme es nicht nicht zum laufen. Sehe auch keine Hits auf der Firewall. Ist voll auf Durchzug gestellt zwischen LAN A und B wie auch dem WG Interface.

Sieht mir eher nach Routing Problem auf der OPNSense aus.

Von B nach A geht ohne Probleme. Von A nach B erreiche ich nur die Fritzbox über die Tunnelinterface Adresse. Ich kann in den Routes sehen das LAN B über Gateway Wireguard eingetragen ist.

[halloween]

Hallo, kann mir vielleicht jemand behilflich sein?

Ich habe eine Wireguard-Verbindung bereits am laufen.
Opnsense als Server, MacBook als Client - läuft über den Port 51820

Muss ich einen anderen Port für meine Verbindung zur Fritzbox konfigurieren oder kann ich das über den selben Port machen?

Kann ich den Public/Private-Key der ersten Verbindung auch für die zusätzliche mit der Fritzbox verwenden oder benötige ich auf Seiten der Opnsense auch neue Keys?

[nitrosont]

Hallo,

ich habe leider bei der Verbindung meiner OPNsense (v 24.1.4) per WireGuard zu einer FritzBox 7590 (aktuelles FritzOS) Probleme. Die Verbindung besteht, aber ich erreiche das jeweils anderer Netz nicht

Netzwerke und Ports

• OPNsense-Seite: 192.168.101.0/24; WireGuard-Port: 51821
• FritzBox-Seite: 192.168.11.0/24; WireGuard-Port: 54103

Aufgebaut habe ich die Verbindung durch Import einer Config-Datei in der Fritzbox und dem Nachbau der Verbindung in der OPNsense. Die Settings dazu habe ich lt. dem Beitrag #7 vorgenommen. Die Firewall-Einstellungen habe ich anhand des OPNsense-Manuals (WireGuard Site-to-Site Setup) vorgenommen.

Firewall-Settings

• OPNsense => Firewall => Rules => LAN (Screenshot dazu)
• OPNsense => Firewall => Rules => WAN (Screenshot dazu)
• OPNsense => Firewall => Rules => WireGuard (Group) (Screenshot dazu)

Ich sehe, dass die Verbindung in der FritzBox als aufgebaut aufgeführt wird (Screenshot dazu).
In der OPNsense habe ich unter VPN => WireGuard => Diagnostics ein "up" für die WG-Instanz (Screenshot dazu). Allerdings kein "up" für den Peer - dort sehe ich wiederrum einen Zeitstemper für Handshake und einige KB für "Send" und "Received".

In der OPNsense unter "VPN" => "WireGuard" => "Log File" sehe ich auch Fehlermeldungen, die PHP ausgeworfen hat (Screenshot dazu). Scheinbar konnte der Name nicht aufgelöst werden. Ist das zu vernachlässigen, wenn die Verbindung als "up" aufgeführt wird?

...
Ich tippe auf letzteres. Du kannst das prüfen, indem Du eine eigene "Deny All" Regel als letztes einträgst, bei der das Logging an ist. Dann kannst Du sehen, welche Pakete Du nicht richtig zugelassen hast (siehe Step 5 in der Anleitung).

Das würde ich gerne machen! Kann mir jemand sagen, wie genau eine solche Regel zu definieren ist?
Wie kann ich ansonsten checken, wo's klemmt?