PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

1 Antwort

LUKEars

04.02.2023, 05:50

also... kannst du tcpdump auf den verschiedenen Interfaces machen? so mache ich es immer, wenn ich gucken will, wie weit ich schon gekommen bin...

ich nehme an, dass PF bestehende Verbindungen durchlässt... du hast also ganz am Anfang iwas gemacht, wodurch so ein temporäres Loch im PF entstanden ist...

Woher ich das weiß:Studium / Ausbildung

Ähnliche Beiträge

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zum Beitrag

Proxmox Routed Netzwerkconfig?

Hallo!
Dass ich nicht noch einmal den Server unerreichbar mache, brauche ich nun Hilfe

Ich möchte für Proxmox eine Routed Netzwerk Config machen

Mein Subnet sieht so aus:
188.40.158.176/29

Gateway: 46.4.56.173

Netmask: 255.255.255.248

Broadcast: 188.40.158.183

Das sind die IP's die zu diesem Subnet gehören

188.40.158.176

188.40.158.177

188.40.158.178

188.40.158.179

188.40.158.180

188.40.158.181

188.40.158.182

188.40.158.183
Die möchte ich natürlich dabei haben möchte

Kann mir da jemand behilflich sein?
Und muss ich noch etwas tun, außer die Config bearbeiten?

(Falls jemand sagt Google oder sonstiges oder ChatGPT nein, das hat leider nicht geholfen)

...zum Beitrag

VPN-Tunnel im VPN-Tunnel. Wo ist der Exit-Point?

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zum Beitrag

Wie groß ist das Risiko, einen WireGuard Server zu hosten?

Ich überlege einen WireGuard Server zu hosten, um von unterwegs Zugriff auf mein Heim-Netz zu haben. Dafür muss ich natürlich einen Port öffnen. Wie groß ist das Risiko eines Angriffs?

Ich könnte den Server entweder auf dem Router (OpenWRT) hosten, oder auf einem anderen Gerät im Netz. Welche Variante würdet ihr vorziehen?

...zum Beitrag

Proxmox vServer von außen erreichen?

Hallo

Ich würde mir gerne einen Server mieten (Hetzer) und ihn dann mit Proxmox virtualisieren aber ich habe da noch Unklarheiten bevor ich ihn mir hole.

Mein Problem ist dass wenn ich z.B. 3 vServer habe das ich sie auch von außen erreichen möchte über eine URL (vom hoster bekomme ich nur 1 IPv4). Ich würde es gerne am Ende so habe das es den z.B. Node1.adc.xyz, Node2.adc.xyz und Node3.adc.xyz habe und alle Ports nutzen kann.

Was ich bisher schon so überlegt hatte war das ich eine pfsense und Kemp load balancer installiere und dann über kemp solche Regeln festlegen. Aber meine bisherigen Denkfehler ist das man über kemp nur 1 port freigibt aber ich alle Ports brauche.

Kleine Rand Info:

Ich bitte nur um Antwort die sich auf das Thema bezieht und nicht irgendwas über Sicherheit oder ob das der richtige Hoster ist.

Alles was ich hir bisher aufgeschrieben habe habe ich noch nicht getestet. Ich habe auch noch nie groß Proxmox benutzt oder die anderen Tools.

...zum Beitrag

IPv6 auf pfSense hinter LTE-FritzBox mit /64 Netz vom ISP?

Hallo an die Netzwerkmagier!

Ich bastel jetzt schon seit einigen Tagen an meiner pfSense Box herum, wir warten seit dem Umzug immer noch auf FTTH, deswegen gibt es seit vieeelen Monaten nur LTE. Vorher hatte ich VDSL und alle Einstellungen aus folgender Anleitungen haben problemlos funktioniert: https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsense/

Ich bekomme von meinem neuen Anbieter (Freenet FUNK) an meiner FritzBox 6840 LTE ein /64 Netz und würde meine Firewall (pfSense) nun gerne so einstellen, dass in meinem Heimnetz IPv6 Adressen an mehrere Netze vergeben werden können (LAN, WLAN, Gastnetz, Legacy...). So habe ich es vorher auch gehandhabt.

Wenn ich das ganze richtig verstanden habe, kann ich nur mit einem Netz größer /64 weitere Subnetze herauslösen. Daran scheitert es bei mir, die Anleitung welche man im Netz findet sind alle für /57 oder ähnlich. Außerdem ist SLAAC soweit ich verstehe auch nur mit Netz >/64 möglich?

Ich müsste doch nun mit pfSense eine v6 Adresse von der Fritzbox beziehen und dann auf meiner pfSense auch den DHCPv6 Server aktivieren, welches dann in den einzelnen Netzen die v6 Adressen verteilt. Über Router Advertisement funktioniert es nicht, oder ich verstehe das System noch nicht ganz. IPv6 ist für mich ein bisschen wie Hochfrequenztechnik - einfach Voodoo...

Vielleicht kann mir ja jemand einen Wink in die richtige Richtung geben. Ich kann gerne Screenshots meiner Konfigurationen hochladen wenn das hilft.

Liebe Grüße und vielen Dank im Voraus,

OMGTR

...zum Beitrag

Wie macht man das Netzwerktechnisch?

Hallo,

ich habe einen Proxmox Server, auf dem mehrere VMs laufen. Der Hypervisor ist z.B. im Netz 10.0.0.0/24, deshalb befinden sich auch alle VMs in diesem Netz. Jetzt gibt es noch ein zweites Netz, z.B. 192.168.0.0/24. Wie erreiche ich, dass ich auf meinem Proxmox Server eine VM erstelle und dieser eine statische IP aus dem zweiten Subnetz zuordne? Muss ich hier eine statische Route im Router einrichten oder wie genau löst man so eine Situation?

Danke für alle Antworten im Voraus

...zum Beitrag

Proxmox: Internet über PF-Sense (Hetzner-Server)?

Guten Tag,

ich habe einen Hetzner-Server auf dem ich Proxmox installiert habe.

Ich habe jetzt das Problem, dass die VMs kein Internet haben.

Ich habe 2 Bridges, vmbr0 und vmbr1.

An vmbr1 ist das Lan-Netz (Dies funktioniert)

Und an vmbr0 ist das Wan-Netz (Funktioniert nicht)

Anbei ein Screenshot meine Netzwerkkonfiguration.

PS:
ich habe mit Proxmox noch nicht sehr viel Erfahrung

...zum Beitrag

Hetzner ipv6 Subnet Erklärun?

Ich würde gerne wissen was genau damit gemeint ist mit dem Punkt "IPv6-Subnetz (/64)" bei dem AX41 Server von Hetzer?

https://www.hetzner.com/de/dedicated-rootserver/ax41-nvme

Und was sind meine Vorteile?

Mit freundlichen Grüße

...zum Beitrag

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zum Beitrag

VPN einrichten mit 2 Routern hintereinander?

Hallo alle Zusammen,

ich habe hinter meiner Fritzbox 6690 meinen Asus ROG Rapture GT-AXE16000 Router verbunden.

Alle meine Geräte wie Webserver oder PC sind am Asus Router angeschlossen. Ich möchte nun einen WireGuard VPN einrichten womit ich im Mobilen Netz von mein Handy oder Laptop von außen auf mein lokales Netzwerk vom Asus Router zugreifen kann.

Als Public Adresse würde ich gern die MyFRITZ!-Adresse nutzen.

Ich kann zwar an der Fritzbox einen Wireguard VPN einrichten welcher auch funktioniert, aber mit diesen kann ich nicht auf die Lokalen Adressen vom Asus Router zugreifen, da sie nicht dem Schema 192.168.178.0 sondern 192.168.50.0 entsprechen.

Hier einmal ne Übersicht von meinen Netzwerk:

Im Asus Router kann man auch einen Wireguard VPN einrichten. Scheint aber nicht zu funktionieren, da wenn ich mich mit dem VPN verbinde die Internet Verbindung vom Gerät welches sich mit dem VPN verbindet weg ist. Außerdem weiß ich nicht welche IP ich als Tunnel IPv4 and / or IPv6 Address nutzen soll.

Vielleicht kennt sich jemand etwas besser aus und kann mir ein Tipp geben.
Ich vergebe auch Daumen und Hilfreichste Antwort :)

...zum Beitrag

WireGuard kann keinen Verbindung zum DNS Server aufbauen?

Wollte bei einem Freund auf dem Laptop zu meinem Heimnetzwerk mit WireGuard einen VPN-Tunnel aufbauen, bekam von WireGuard die Fehlermeldung das es nicht ging(gab keinen Fehlercode) im Protokoll stand das WireGuard sich nicht mit einem oder mehreren DNS Servern verbinden kann. Die Konfigdatei ist in Ordnung, hab sie bei einem anderen Freund getestet.

...zum Beitrag

ProxMox Netzwerk und Wlan karten für PFsense router durchreichen?

Hallo Gute Frage Community,

Ich habe auf einem PC ProxMox installiert und habe eine Ethernet und eine Wlan PCI Express Karte in den Server eingebaut. Dann habe ich in einer Virtuellen Maschine PFsense installiert und habe vor dem ersten booten die Datei /etc/pve/qemu-server/100.conf Bearbeitet und die PCi Karten und ein machine: q35 hinzugefügt.

Hier die 100.conf:

bootdisk: ide0
cores: 2
cpu: host
ide0: local-lvm:vm-100-disk-1,cache=writethrough,size=10G
ide2: local:iso/pfSense-CE-2.3.5-RELEASE-amd64.iso,media=cdrom
memory: 2048
name: PFsense-Router
net0: e1000=2E:51:34:77:47:49,bridge=vmbr0
numa: 0
ostype: other
scsihw: virtio-scsi-pci
smbios1: uuid=0cfc61ff-ebaf-4a95-90a8-5380bc76a501
sockets: 1
machine: q35
hostpci0: 04:00.0,pcie=1
hostpci1: 05:00.0,pcie=1
hostpci2: 03:00.0,pcie=1

Die PCI Karten

Wenn ich die Virtuelle Maschine starte kommt der Fehler:

Ich habe in der /etc/default/grub die Zeile so Bearbeitet:

GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on"

und die datei /etc/modules folgendermaßen Bearbeitet:

vfio
vfio_iommu_type1
vfio_pci
vfio_virqfd

und habe den Befehl ausgeführt:

echo "options vfio_iommu_type1 allow_unsafe_interrupts=1" > /etc/modprobe.d/iommu_unsafe_interrupts.conf

Bei dem Command mit dem ich den Inhalt des iommu_groups Verzeichnis geprüft habe kam keine Ausgabe zurück.

find /sys/kernel/iommu_groups/ -type l

ohne die PCi Karten bootet die Virtuelle Maschine ganz normal woran kann der Oben genannte Fehler liegen?

Danke im Voraus :)

Das Bios des Servers:

...zum Beitrag

Doppeltes NAT verhindern (FritzBox)?

Hallo,

ich nutze zurzeit eine FritzBox als Router. Ich möchte jedoch ein eigenen Router wie pfSense einsetzen.

Die FritzBox hat die 192.168.0.1/24

pfSense die 192.168.1.1/24

Was muss ich bei der FritzBox einstellen das der Traffic vom Internet auf meine pfSense weitergeleitet wird. Ich möchte auch mit OpenVPN (Linux) auf dieses Netz zugreifen.

Soll das mit einer statischen Route oder mit Portweiterleitung funktionieren?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen