ibastl
Goto Top

Pfsense Wireguard

Hallo zusammen,

ich betreibe einen PFSENSE 2.7.2 Router auf einem Fujitsu mini PC. An WAN ist ein Kabelmodem im Bridge Modus angeschlossen - Anschluss mit fester IP.

IPv6 ist nicht aktiv.
Es gibt einen DHCP Bereich 100 - 150 und ein paar geräte ausserhalb mit manueller IP (Server hat die 6, Backup NAS hat die 249

Ich hab Wireguard eingerichtet und einen peer verbunden. Läuft alles und ich kann mich auch auf Netzwerkfreigaben eines Clients verbinden, der über DHCP eine IP zugewiesen bekommen hat. Ich kann den (und andere) auch anpingen.

Den Server x.x.x.6 und das NAS x.x.x.249 und Proxmox x.x.x.5 jedoch nicht. Weder Ping noch Freigabeverbindung.

Ich habe im PFsense eine feste Zuordnung für x.x.x.6 eingetragen - ohne Erfolg.

Hat jemand eine Idee? Was für Infos muss ich noch bereitstellen?

lieben Gruß

Bastian

Content-Key: 22791620078

Url: https://administrator.de/contentid/22791620078

Printed on: May 20, 2024 at 12:05 o'clock

Mitglied: 12764050420
12764050420 Apr 25, 2024 updated at 11:07:33 (UTC)
Goto Top
Hallo.
  • Windows Firewall angepasst? Per Default wird unter Windows ICMP/SMB aus fremden Subnetzen (welches das Wireguard Subnetz ja ist) geblockt. Bei anderen Devices ebenfalls die Firewall checken und nötige Freigaben für das Wireguard Subnetz erstellen.
  • pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
  • Steht das zu erreichende Subnetz auch in den AllowedIPs des Wireguard-Clients?

Gruß Schrick.
Member: aqui
aqui Apr 25, 2024 updated at 12:26:05 (UTC)
Goto Top
pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
Zu sehen an einem Beispiel wir z.B. hier:
Wireguard Beispiel pfSense
pfSense als Wireguard Responder (VPN Server).
Wenn du andere Endgeräte im lokalen Netz pingen und erreichen kannst ist es wie Kollege @12764050420 schon sagt zu 98% die lokale Firewall oder ein fehlender Default Gateway Eintrag.
Alle weiteren Wireguard Details im Tutorial.
Member: ibastl
ibastl Apr 29, 2024 at 14:44:38 (UTC)
Goto Top
Also ich habs mit angesehen. Selbst wenn ich über mein Telefon als Hotspot per Wireguard verbinde. Das Phänomen bleibt.
Mein Macbook ohne Firewall über das iPhone direkt zum Zielnetz. Verbindung steht, ich kann diverse Hosts anpingen.
Ich kann mich auch auf die Netzwerkfreigabe eines Mac mini mit der Host IP 87 verbinden - läuft.


Was nicht läuft:
Ping auf Host IP 5 und 6 und 249
SMB Verbindung auf selbige
Webseite auf selbige
anydesk auf den Host 87 geht nicht.

also lokale Firewall? Beim Client / Peer? Nein, keine da. Bei der PFSense? Nur die PfSense selber - Einstellungen wie im Tutorial. (Übrigens großen Respekt 👍🏼
Default Gateway von der PfSense? Ich denke schon - muss ich irgendwas besonderes beachten?


Danke für die Tips und Hilfe

Bastian
Member: aqui
aqui Apr 29, 2024 updated at 15:36:29 (UTC)
Goto Top
also lokale Firewall?
Ja, relativ sicher und ganz besonders wenn diese Endgeräte .5, .6, .87 und .249 Winblows Maschinen sind!
Dort ist generell der Zugriff von fremden IP Adressen durch die lokale Firewall für alle Dienste (auch Ping mit ICMP) geblockt! Absender IP ist ja immer die des internen WG Netzes also eine fremde IP.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Stelle aber dennoch absolut sicher das die Geräte mit statischer IP ein Default Gateway konfiguriert haben was die Route ins internen WG Netz kennt! Das ist essentiell wichtig fürs Routing. Das Traceroute Tool (tracert bei Windows) ist hier, wie immer, dein bester Freund!
Default Gateway von der PfSense? Ich denke schon
Nein, kannst du sicher ausschliessen, den dann würde ja auch der Mac scheitern.

Eigentlich auch völlig sinnfrei mit Wireguard da rumzufrickeln denn mit L2TP oder IKEv2 VPNs auf der pfSense hast du 2 bessere VPN Optionen die dir das überflüssige Rumfrickeln mit ebenso überflüssigen externen VPN Clients ersparen. Die bordeigenen VPN Clients können das bekanntlich deutlich besser... face-wink
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: aqui
aqui May 18, 2024 at 12:41:58 (UTC)
Goto Top
Wenn es das denn nun war...
How can I mark a post as solved?
Member: ibastl
ibastl May 18, 2024 at 16:21:18 (UTC)
Goto Top
Moin, ist noch nicht gelöst. Gerade auf standby. Ich dachte wireguard und OpenVPN sind die besseren Lösungen.
Ich greife gern wieder auf L2TP zurück.

Ich berichte.
Die Clients sind Mac und Linux Maschinen. Intern lasen die sich anpingen. Einige auf durch die VPN von außen. Aber einige nicht. Vermutung. Die mit fest eingestellter IP lokal lasen sich nicht anpingen.
Keine Windose dabei
Member: aqui
aqui May 18, 2024 at 19:19:28 (UTC)
Goto Top
Ich dachte wireguard und OpenVPN sind die besseren Lösungen.
Nein, nicht zwingend und das etwas in die Jahre gekommen OpenVPN durch die mickrige Skalierbarkeit auch eher gar nicht.
Die mit fest eingestellter IP lokal lasen sich nicht anpingen.
Geht ja zumindestens bei OpenVPN auch gar nicht. Da hängt es außerdem davon ab ob man das veraltete net30 Verfahren verwendet oder das modernere subnet Verfahren. (Siehe Tutorial Kapitel: Konfiguration OpenVPN Server)
Leider machst du ja zu all diesen Details keinerlei Angaben und zwingst zum Kristallkugeln. face-sad