PfSense CE 2.5.2 oder 2.6.0 - Wireguard Package und das automatische Erstellen der Routen
Servus @ all.
ich bin vor ein paar Tagen über ein kleines Problem beim Wireguard Routing gestolpert und möchte es einfach hier einstellen falls sich jemand darüber wundern sollte warum die Routen in Wireguard Setups nicht automatisch eingerichtet werden.
In der zum Zeitpunkt aktuellen pfSense 2.5.2 mit Wireguard Package v0.1.5 werden die automatischen Routen für die in den AllowedIPs zusätzlich hinterlegten Subnetze nicht in der Routing-Tabelle angelegt, man muss diese zur Zeit manuell anlegen. Hatte mich eben gewundert warum das in der aktuellen Version nicht mehr der Fall ist, dachte zu erst etwas an meinem Setup stimmt nicht.
Dann doch mal schnell auf Github nachgeschaut und diesen Hinweis gefunden:
Ergo muss man also unter Routing => Gateways ein neues GW für das Wireguard-Interface erstellen und die IP des Peers des Gegenübers angeben. Dann anschließend noch unter Routing =>Static Routes die statischen Route(n) anlegen, oder man nutzt hier OSPF & Co. zum distribuieren der Routen über den WG Link.
Dachte das sollte mal Erwähnung finden, da im Netz in den diversen Anleitungen überall die Rede davon ist das die Routen automatisch angelegt werden. In früheren pfSenses ist das wohl noch der Fall aber im aktuellen Package eben nicht.
Hoffe das rettet dem ein oder anderen ein paar Haare.
Gruß @colinardo
# edit 02.02.2023 # auch mit Version 2.6.0 und Wireguard Package v. 0.1.6_2 hat sich diesbezüglich nichts geändert.
ich bin vor ein paar Tagen über ein kleines Problem beim Wireguard Routing gestolpert und möchte es einfach hier einstellen falls sich jemand darüber wundern sollte warum die Routen in Wireguard Setups nicht automatisch eingerichtet werden.
In der zum Zeitpunkt aktuellen pfSense 2.5.2 mit Wireguard Package v0.1.5 werden die automatischen Routen für die in den AllowedIPs zusätzlich hinterlegten Subnetze nicht in der Routing-Tabelle angelegt, man muss diese zur Zeit manuell anlegen. Hatte mich eben gewundert warum das in der aktuellen Version nicht mehr der Fall ist, dachte zu erst etwas an meinem Setup stimmt nicht.
Dann doch mal schnell auf Github nachgeschaut und diesen Hinweis gefunden:
2. Fixes to several routing issues. NOTE: Still need work on automatic route creation. Users should create static routes or use BGP/OSPF/etc...
Ergo muss man also unter Routing => Gateways ein neues GW für das Wireguard-Interface erstellen und die IP des Peers des Gegenübers angeben. Dann anschließend noch unter Routing =>Static Routes die statischen Route(n) anlegen, oder man nutzt hier OSPF & Co. zum distribuieren der Routen über den WG Link.
Dachte das sollte mal Erwähnung finden, da im Netz in den diversen Anleitungen überall die Rede davon ist das die Routen automatisch angelegt werden. In früheren pfSenses ist das wohl noch der Fall aber im aktuellen Package eben nicht.
Hoffe das rettet dem ein oder anderen ein paar Haare.
Gruß @colinardo
# edit 02.02.2023 # auch mit Version 2.6.0 und Wireguard Package v. 0.1.6_2 hat sich diesbezüglich nichts geändert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1292860239
Url: https://administrator.de/contentid/1292860239
Ausgedruckt am: 18.12.2024 um 23:12 Uhr
12 Kommentare
Neuester Kommentar
Hab's mal mit ins Wireguard_Tutorial aufgenommen.
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Zitat von @orcape:
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Hi,
und auch wenn der Thread schon ein paar Tage alt ist.
Das gleiche bei meiner pfSense CE Version 2.6.0, es gibt mit Wireguard immer noch die gleichen Probleme.
Man schreibt zwar bei Netagte, das das automatische Routing für ein Peer funktionieren soll, leider habe ich da andere Erfahrungen machen müssen.
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Der Tunnel steht zwar, es erfolgt aber keine Verbindung vom localen, zum remoten Netz.
Gruß orcape
Der Thread ist Urmel alt!
Ohne die Erstellung eines zusätzlichen Interfaces, eines Gateways und zusätzliche statische Routen, werden auch keine Routen erstellt.
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Hi,
Da hast Du natürlich völlig recht, selbst mit einer 7590 "von der Stange" schnurpst das IPSec problemlos, wenn man "dem Teil" Manieren beigebracht hat.
Was meinen LTE-Anschluß mit privaten IP-Adressbereichen angeht, bin ich mir da leider nicht mehr so sicher. Ist ja im Prinzip nichts anderes wie ein DS-Light Anschluß. Bring da mal einen IPSec zum laufen.
Gruß orcape
Zitat von @aqui:
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Wireguard ist übrigens nicht alles...es gibt auch noch IPsec! Damit rennt es, wie gewohnt, immer völlig fehlerlos und stressfrei. 😉
Da hast Du natürlich völlig recht, selbst mit einer 7590 "von der Stange" schnurpst das IPSec problemlos, wenn man "dem Teil" Manieren beigebracht hat.
Was meinen LTE-Anschluß mit privaten IP-Adressbereichen angeht, bin ich mir da leider nicht mehr so sicher. Ist ja im Prinzip nichts anderes wie ein DS-Light Anschluß. Bring da mal einen IPSec zum laufen.
Gruß orcape