8
Pfsense Wireguard
Hallo zusammen,
ich betreibe einen PFSENSE 2.7.2 Router auf einem Fujitsu mini PC. An WAN ist ein Kabelmodem im Bridge Modus angeschlossen - Anschluss mit fester IP.
IPv6 ist nicht aktiv.
Es gibt einen DHCP Bereich 100 - 150 und ein paar geräte ausserhalb mit manueller IP (Server hat die 6, Backup NAS hat die 249
Ich hab Wireguard eingerichtet und einen peer verbunden. Läuft alles und ich kann mich auch auf Netzwerkfreigaben eines Clients verbinden, der über DHCP eine IP zugewiesen bekommen hat. Ich kann den (und andere) auch anpingen.
Den Server x.x.x.6 und das NAS x.x.x.249 und Proxmox x.x.x.5 jedoch nicht. Weder Ping noch Freigabeverbindung.
Ich habe im PFsense eine feste Zuordnung für x.x.x.6 eingetragen - ohne Erfolg.
Hat jemand eine Idee? Was für Infos muss ich noch bereitstellen?
lieben Gruß
Bastian
ich betreibe einen PFSENSE 2.7.2 Router auf einem Fujitsu mini PC. An WAN ist ein Kabelmodem im Bridge Modus angeschlossen - Anschluss mit fester IP.
IPv6 ist nicht aktiv.
Es gibt einen DHCP Bereich 100 - 150 und ein paar geräte ausserhalb mit manueller IP (Server hat die 6, Backup NAS hat die 249
Ich hab Wireguard eingerichtet und einen peer verbunden. Läuft alles und ich kann mich auch auf Netzwerkfreigaben eines Clients verbinden, der über DHCP eine IP zugewiesen bekommen hat. Ich kann den (und andere) auch anpingen.
Den Server x.x.x.6 und das NAS x.x.x.249 und Proxmox x.x.x.5 jedoch nicht. Weder Ping noch Freigabeverbindung.
Ich habe im PFsense eine feste Zuordnung für x.x.x.6 eingetragen - ohne Erfolg.
Hat jemand eine Idee? Was für Infos muss ich noch bereitstellen?
lieben Gruß
Bastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22791620078
Url: https://administrator.de/contentid/22791620078
Printed on: July 27, 2024 at 03:07 o'clock
8 Comments
Latest comment
Hallo.
Gruß Schrick.
- Windows Firewall angepasst? Per Default wird unter Windows ICMP/SMB aus fremden Subnetzen (welches das Wireguard Subnetz ja ist) geblockt. Bei anderen Devices ebenfalls die Firewall checken und nötige Freigaben für das Wireguard Subnetz erstellen.
- pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
- Steht das zu erreichende Subnetz auch in den AllowedIPs des Wireguard-Clients?
Gruß Schrick.
1
pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
Zu sehen an einem Beispiel wir z.B. hier:Wireguard Beispiel pfSense
pfSense als Wireguard Responder (VPN Server).
Wenn du andere Endgeräte im lokalen Netz pingen und erreichen kannst ist es wie Kollege @12764050420 schon sagt zu 98% die lokale Firewall oder ein fehlender Default Gateway Eintrag.
Alle weiteren Wireguard Details im Tutorial.
Also ich habs mit angesehen. Selbst wenn ich über mein Telefon als Hotspot per Wireguard verbinde. Das Phänomen bleibt.
Mein Macbook ohne Firewall über das iPhone direkt zum Zielnetz. Verbindung steht, ich kann diverse Hosts anpingen.
Ich kann mich auch auf die Netzwerkfreigabe eines Mac mini mit der Host IP 87 verbinden - läuft.
Was nicht läuft:
Ping auf Host IP 5 und 6 und 249
SMB Verbindung auf selbige
Webseite auf selbige
anydesk auf den Host 87 geht nicht.
also lokale Firewall? Beim Client / Peer? Nein, keine da. Bei der PFSense? Nur die PfSense selber - Einstellungen wie im Tutorial. (Übrigens großen Respekt 👍🏼
Default Gateway von der PfSense? Ich denke schon - muss ich irgendwas besonderes beachten?
Danke für die Tips und Hilfe
Bastian
Mein Macbook ohne Firewall über das iPhone direkt zum Zielnetz. Verbindung steht, ich kann diverse Hosts anpingen.
Ich kann mich auch auf die Netzwerkfreigabe eines Mac mini mit der Host IP 87 verbinden - läuft.
Was nicht läuft:
Ping auf Host IP 5 und 6 und 249
SMB Verbindung auf selbige
Webseite auf selbige
anydesk auf den Host 87 geht nicht.
also lokale Firewall? Beim Client / Peer? Nein, keine da. Bei der PFSense? Nur die PfSense selber - Einstellungen wie im Tutorial. (Übrigens großen Respekt 👍🏼
Default Gateway von der PfSense? Ich denke schon - muss ich irgendwas besonderes beachten?
Danke für die Tips und Hilfe
Bastian
also lokale Firewall?
Ja, relativ sicher und ganz besonders wenn diese Endgeräte .5, .6, .87 und .249 Winblows Maschinen sind!Dort ist generell der Zugriff von fremden IP Adressen durch die lokale Firewall für alle Dienste (auch Ping mit ICMP) geblockt! Absender IP ist ja immer die des internen WG Netzes also eine fremde IP.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Stelle aber dennoch absolut sicher das die Geräte mit statischer IP ein Default Gateway konfiguriert haben was die Route ins internen WG Netz kennt! Das ist essentiell wichtig fürs Routing. Das Traceroute Tool (tracert bei Windows) ist hier, wie immer, dein bester Freund!
Default Gateway von der PfSense? Ich denke schon
Nein, kannst du sicher ausschliessen, den dann würde ja auch der Mac scheitern.Eigentlich auch völlig sinnfrei mit Wireguard da rumzufrickeln denn mit L2TP oder IKEv2 VPNs auf der pfSense hast du 2 bessere VPN Optionen die dir das überflüssige Rumfrickeln mit ebenso überflüssigen externen VPN Clients ersparen. Die bordeigenen VPN Clients können das bekanntlich deutlich besser...
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn es das denn nun war...
How can I mark a post as solved?
How can I mark a post as solved?
Moin, ist noch nicht gelöst. Gerade auf standby. Ich dachte wireguard und OpenVPN sind die besseren Lösungen.
Ich greife gern wieder auf L2TP zurück.
Ich berichte.
Die Clients sind Mac und Linux Maschinen. Intern lasen die sich anpingen. Einige auf durch die VPN von außen. Aber einige nicht. Vermutung. Die mit fest eingestellter IP lokal lasen sich nicht anpingen.
Keine Windose dabei
Ich greife gern wieder auf L2TP zurück.
Ich berichte.
Die Clients sind Mac und Linux Maschinen. Intern lasen die sich anpingen. Einige auf durch die VPN von außen. Aber einige nicht. Vermutung. Die mit fest eingestellter IP lokal lasen sich nicht anpingen.
Keine Windose dabei
Ich dachte wireguard und OpenVPN sind die besseren Lösungen.
Nein, nicht zwingend und das etwas in die Jahre gekommen OpenVPN durch die mickrige Skalierbarkeit auch eher gar nicht.Die mit fest eingestellter IP lokal lasen sich nicht anpingen.
Geht ja zumindestens bei OpenVPN auch gar nicht. Da hängt es außerdem davon ab ob man das veraltete net30 Verfahren verwendet oder das modernere subnet Verfahren. (Siehe Tutorial Kapitel: Konfiguration OpenVPN Server)Leider machst du ja zu all diesen Details keinerlei Angaben und zwingst zum Kristallkugeln.
Wenn es das denn nun war bitte deinen Beitrag dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?