colinardo
Goto Top

PfSense CE 2.5.2 oder 2.6.0 - Wireguard Package und das automatische Erstellen der Routen

Servus @ all.

ich bin vor ein paar Tagen über ein kleines Problem beim Wireguard Routing gestolpert und möchte es einfach hier einstellen falls sich jemand darüber wundern sollte warum die Routen in Wireguard Setups nicht automatisch eingerichtet werden.

In der zum Zeitpunkt aktuellen pfSense 2.5.2 mit Wireguard Package v0.1.5 werden die automatischen Routen für die in den AllowedIPs zusätzlich hinterlegten Subnetze nicht in der Routing-Tabelle angelegt, man muss diese zur Zeit manuell anlegen. Hatte mich eben gewundert warum das in der aktuellen Version nicht mehr der Fall ist, dachte zu erst etwas an meinem Setup stimmt nicht.

Dann doch mal schnell auf Github nachgeschaut und diesen Hinweis gefunden:

2. Fixes to several routing issues. NOTE: Still need work on automatic route creation. Users should create static routes or use BGP/OSPF/etc...

Ergo muss man also unter Routing => Gateways ein neues GW für das Wireguard-Interface erstellen und die IP des Peers des Gegenübers angeben. Dann anschließend noch unter Routing =>Static Routes die statischen Route(n) anlegen, oder man nutzt hier OSPF & Co. zum distribuieren der Routen über den WG Link.

Dachte das sollte mal Erwähnung finden, da im Netz in den diversen Anleitungen überall die Rede davon ist das die Routen automatisch angelegt werden. In früheren pfSenses ist das wohl noch der Fall aber im aktuellen Package eben nicht.

Hoffe das rettet dem ein oder anderen ein paar Haare.

Gruß @colinardo

# edit 02.02.2023 # auch mit Version 2.6.0 und Wireguard Package v. 0.1.6_2 hat sich diesbezüglich nichts geändert.

Content-Key: 1292860239

Url: https://administrator.de/contentid/1292860239

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 22.09.2021 um 19:24:21 Uhr
Goto Top
Hab's mal mit ins Wireguard_Tutorial aufgenommen.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 22.09.2021 um 19:33:42 Uhr
Goto Top
Interessant, ich dachte schon es wäre einfach eine Eigenart der Implementierung im PfSense Package.
Mitglied: incisor2k
incisor2k 23.09.2021 aktualisiert um 08:17:31 Uhr
Goto Top
Ist bei Opnsense übrigens das selbe Dilemma face-wink

Bei OpenWRT hingegen funktioniert das wie gewohnt automatisch.
Mitglied: orcape
orcape 01.02.2023 um 09:03:43 Uhr
Goto Top
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Mitglied: Spirit-of-Eli
Spirit-of-Eli 01.02.2023 um 09:52:44 Uhr
Goto Top
Zitat von @orcape:

Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape

Der Thread ist Urmel alt!
Mitglied: orcape
orcape 01.02.2023 um 10:09:17 Uhr
Goto Top
Der Thread ist Urmel alt!
...aber wohl immer noch nicht wirklich "ad Acta" gelegt.
Sonst hätte das Routing auf der pfSense auf Anhieb funktionieren müssen.
Gruß orcape
Mitglied: aqui
aqui 02.02.2023 aktualisiert um 10:39:10 Uhr
Goto Top
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Kann ich hier mit einer CE 2.6.0 nicht nachvollziehen. Ebenso auf einer OPNsense 2.3.1. Letztere hat laut aktuellen Release Notes mit der aktuellen Version Wireguard jetzt direkt im Kernel integriert.
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Mitglied: Spirit-of-Eli
Spirit-of-Eli 02.02.2023 um 10:33:32 Uhr
Goto Top
Bei meiner Sense muss ich nach wie vor zusätzlich händisch die Route eintragen.
Mitglied: aqui
aqui 02.02.2023 aktualisiert um 10:39:53 Uhr
Goto Top
Sollte ich da doch eine Route übersehen haben...?!? 😉 Bei Mikrotik geht es ja ebenfalls nicht, dort muss man auch statisch nachhelfen was aber im MT Manual so auch explizit beschrieben ist. Ich check das nochmal.
Mitglied: colinardo
colinardo 02.02.2023 aktualisiert um 11:28:35 Uhr
Goto Top
Hatte ich schon vor einiger Zeit mit pfSense CE 2.6.0 geprüft, auch in dieser Version müssen die Routen noch manuell erstellt werden, hat sich also nichts geändert auch wenn der Beitrag vom Datum her schon etwas schimmelt face-smile.

Das Manual sagt übrigens auch noch nichts anderes
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/routing.html
Weder Github listet diesbezüglich irgendwelche Patches
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-W ...

Grüße Uwe
Mitglied: aqui
aqui 02.02.2023 um 11:23:13 Uhr
Goto Top
Du hast natürlich Recht...hatte die statische Route im Eifer des Gefechts glatt übersehen.face-sad
Sorry für die Verwirrung!
Mitglied: orcape
orcape 02.02.2023 um 13:06:14 Uhr
Goto Top
Hi,
Zitat von @aqui:

Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉

Da hast Du natürlich völlig recht, selbst mit einer 7590 "von der Stange" schnurpst das IPSec problemlos, wenn man "dem Teil" Manieren beigebracht hat. face-wink
Was meinen LTE-Anschluß mit privaten IP-Adressbereichen angeht, bin ich mir da leider nicht mehr so sicher. Ist ja im Prinzip nichts anderes wie ein DS-Light Anschluß. Bring da mal einen IPSec zum laufen.
Gruß orcape