12
PfSense CE 2.5.2 oder 2.6.0 - Wireguard Package und das automatische Erstellen der Routen
Servus @ all.
ich bin vor ein paar Tagen über ein kleines Problem beim Wireguard Routing gestolpert und möchte es einfach hier einstellen falls sich jemand darüber wundern sollte warum die Routen in Wireguard Setups nicht automatisch eingerichtet werden.
In der zum Zeitpunkt aktuellen pfSense 2.5.2 mit Wireguard Package v0.1.5 werden die automatischen Routen für die in den AllowedIPs zusätzlich hinterlegten Subnetze nicht in der Routing-Tabelle angelegt, man muss diese zur Zeit manuell anlegen. Hatte mich eben gewundert warum das in der aktuellen Version nicht mehr der Fall ist, dachte zu erst etwas an meinem Setup stimmt nicht.
Dann doch mal schnell auf Github nachgeschaut und diesen Hinweis gefunden:
Ergo muss man also unter Routing => Gateways ein neues GW für das Wireguard-Interface erstellen und die IP des Peers des Gegenübers angeben. Dann anschließend noch unter Routing =>Static Routes die statischen Route(n) anlegen, oder man nutzt hier OSPF & Co. zum distribuieren der Routen über den WG Link.
Dachte das sollte mal Erwähnung finden, da im Netz in den diversen Anleitungen überall die Rede davon ist das die Routen automatisch angelegt werden. In früheren pfSenses ist das wohl noch der Fall aber im aktuellen Package eben nicht.
Hoffe das rettet dem ein oder anderen ein paar Haare.
Gruß @colinardo
# edit 02.02.2023 # auch mit Version 2.6.0 und Wireguard Package v. 0.1.6_2 hat sich diesbezüglich nichts geändert.
ich bin vor ein paar Tagen über ein kleines Problem beim Wireguard Routing gestolpert und möchte es einfach hier einstellen falls sich jemand darüber wundern sollte warum die Routen in Wireguard Setups nicht automatisch eingerichtet werden.
In der zum Zeitpunkt aktuellen pfSense 2.5.2 mit Wireguard Package v0.1.5 werden die automatischen Routen für die in den AllowedIPs zusätzlich hinterlegten Subnetze nicht in der Routing-Tabelle angelegt, man muss diese zur Zeit manuell anlegen. Hatte mich eben gewundert warum das in der aktuellen Version nicht mehr der Fall ist, dachte zu erst etwas an meinem Setup stimmt nicht.
Dann doch mal schnell auf Github nachgeschaut und diesen Hinweis gefunden:
2. Fixes to several routing issues. NOTE: Still need work on automatic route creation. Users should create static routes or use BGP/OSPF/etc...
Ergo muss man also unter Routing => Gateways ein neues GW für das Wireguard-Interface erstellen und die IP des Peers des Gegenübers angeben. Dann anschließend noch unter Routing =>Static Routes die statischen Route(n) anlegen, oder man nutzt hier OSPF & Co. zum distribuieren der Routen über den WG Link.
Dachte das sollte mal Erwähnung finden, da im Netz in den diversen Anleitungen überall die Rede davon ist das die Routen automatisch angelegt werden. In früheren pfSenses ist das wohl noch der Fall aber im aktuellen Package eben nicht.
Hoffe das rettet dem ein oder anderen ein paar Haare.
Gruß @colinardo
# edit 02.02.2023 # auch mit Version 2.6.0 und Wireguard Package v. 0.1.6_2 hat sich diesbezüglich nichts geändert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1292860239
Url: https://administrator.de/contentid/1292860239
Ausgedruckt am: 17.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Hab's mal mit ins Wireguard_Tutorial aufgenommen.
2
Interessant, ich dachte schon es wäre einfach eine Eigenart der Implementierung im PfSense Package.
Ist bei Opnsense übrigens das selbe Dilemma 
Bei OpenWRT hingegen funktioniert das wie gewohnt automatisch.
Bei OpenWRT hingegen funktioniert das wie gewohnt automatisch.
1
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Zitat von @orcape:
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Der Thread ist Urmel alt!
Der Thread ist Urmel alt!
...aber wohl immer noch nicht wirklich "ad Acta" gelegt.Sonst hätte das Routing auf der pfSense auf Anhieb funktionieren müssen.
Gruß orcape
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Bei meiner Sense muss ich nach wie vor zusätzlich händisch die Route eintragen.
Sollte ich da doch eine Route übersehen haben...?!? 😉 Bei Mikrotik geht es ja ebenfalls nicht, dort muss man auch statisch nachhelfen was aber im MT Manual so auch explizit beschrieben ist. Ich check das nochmal.
Hatte ich schon vor einiger Zeit mit pfSense CE 2.6.0 geprüft, auch in dieser Version müssen die Routen noch manuell erstellt werden, hat sich also nichts geändert auch wenn der Beitrag vom Datum her schon etwas schimmelt 
.
Das Manual sagt übrigens auch noch nichts anderes
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/routing.html
Weder Github listet diesbezüglich irgendwelche Patches
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-W ...
Grüße Uwe
.Das Manual sagt übrigens auch noch nichts anderes
https://docs.netgate.com/pfsense/en/latest/vpn/wireguard/routing.html
Weder Github listet diesbezüglich irgendwelche Patches
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-W ...
Grüße Uwe
Du hast natürlich Recht...hatte die statische Route im Eifer des Gefechts glatt übersehen.
Sorry für die Verwirrung!
Sorry für die Verwirrung!
Hi,
Da hast Du natürlich völlig recht, selbst mit einer 7590 "von der Stange" schnurpst das IPSec problemlos, wenn man "dem Teil" Manieren beigebracht hat.
Was meinen LTE-Anschluß mit privaten IP-Adressbereichen angeht, bin ich mir da leider nicht mehr so sicher. Ist ja im Prinzip nichts anderes wie ein DS-Light Anschluß. Bring da mal einen IPSec zum laufen.
Gruß orcape
Zitat von @aqui:
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Da hast Du natürlich völlig recht, selbst mit einer 7590 "von der Stange" schnurpst das IPSec problemlos, wenn man "dem Teil" Manieren beigebracht hat.
Was meinen LTE-Anschluß mit privaten IP-Adressbereichen angeht, bin ich mir da leider nicht mehr so sicher. Ist ja im Prinzip nichts anderes wie ein DS-Light Anschluß. Bring da mal einen IPSec zum laufen.
Gruß orcape
