ComputerBase Menü
Aktuelles

Wireguard "Pfsense <-> Raspberry" Routing Probleme

D

deslout!

Lieutenant
Registriert
Okt. 2013
Beiträge
521
Hallo zusammen,
Ich nutze aktuell noch eine Fortigate Firewall zu Hause und möchte eine Wireguard s2s Verbindung mit meinem Proxmox Server aufbauen, worauf eine pfsense installiert ist. Da die Fortigate kein Wireguard unterstützt, habe ich einen Raspberry pi mit Wireguard installiert und leite den Wireguard Port mit NAT an den Raspbi weiter.

Die Wireguard Verbindung steht und der Handshake läuft. Ich kann aber das verwendete Wireguard Netz in beide Richtungen nicht pingen. Zum besseren Verständnis habe ich versucht, die Situation mit einem Chart zu visualisieren.

Auf der Fortigate und der pfsense habe ich zwei statische Routen erstellt. (Siehe Bild)

Danke im Voraus.
 

Anhänge

  • wireguard.PNG
    wireguard.PNG
    71,2 KB · Aufrufe: 240
ist der hetzner server, vom raspi aus erreichbar, dann brauchst du gar keine port weiter leitung bzw die kann sogar stören

deine routen verstehe ich nicht dein gateway wäre doch wenn dann die .0.2?
 
  • Gefällt mir
Reaktionen: deslout! und madmax2010
madmax2010 schrieb:
zeig doch mal bitte
ip route get
und
mtr
zwischen den peers
Zum Vergrößern anklicken....
root@raspberrypi:/etc/wireguard# ip route get 172.16.0.1
172.16.0.1 dev wg0 src 172.16.0.2 uid 0
cache
root@raspberrypi:/etc/wireguard#


mtr bleibt bei 172.16.0.1 leer.
Ergänzung ()

kieleich schrieb:
ist der hetzner server, vom raspi aus erreichbar, dann brauchst du gar keine port weiter leitung bzw die kann sogar stören

deine routen verstehe ich nicht dein gateway wäre doch wenn dann die .0.2?
Zum Vergrößern anklicken....

Du Meinst die Route der Fortigate? Aber die Forti kennt das Netz 172.16.0.0/24 ja gar nicht?
 
ok, zeig mal auf allen 3 geraeten die volle routing table
auf der fotigate, dem raspi und bei hetzener
ip route show
vielleicht einfacher als kleinschrittig zu debuggen
 
Ich vermute das Problem im Wireguard Setup. Wie sehen die Allowed IPs auf beiden Seiten aus?
 
deslout! schrieb:
Ich kann aber das verwendete Wireguard Netz in beide Richtungen nicht pingen.
Zum Vergrößern anklicken....
Hast du in pfSense die Firewall Regeln auf dem WireGuard Interface entsprechend deiner Bedürfnisse angepasst?
deslout! schrieb:
pfsense:
10.17.17.0/24
Zum Vergrößern anklicken....
Hast du in VPN / WireGuard / Peers unter Adress Configuration die Allowed IPs entsprechend deiner Bedürfnisse angepasst?
 
0-8-15 User schrieb:
Hast du in pfSense die Firewall Regeln auf dem WireGuard Interface entsprechend deiner Bedürfnisse angepasst?
Zum Vergrößern anklicken....
Ja, die Regeln und die allowed ips sind definiert.
 
Zuletzt bearbeitet:
Gibt es Logmeldungen der Wireguard Instanzen?

Die beiden Wireguards routen vollwertig, also es gibt keine NAT Regeln für die WG Netze, richtig?

deslout! schrieb:
Ich kann aber das verwendete Wireguard Netz in beide Richtungen nicht pingen.
Zum Vergrößern anklicken....
Was genau waren das für Ping Kommandos? Wo wurden sie abgesetzt? Wie weit kommt ein Traceroute auf die jeweilige Adresse?
 
riversource schrieb:
Gibt es Logmeldungen der Wireguard Instanzen?

Die beiden Wireguards routen vollwertig, also es gibt keine NAT Regeln für die WG Netze, richtig?


Was genau waren das für Ping Kommandos? Wo wurden sie abgesetzt? Wie weit kommt ein Traceroute auf die jeweilige Adresse?
Zum Vergrößern anklicken....
Es gibt keine NAT Regeln.

Tracert von Pfsense zu 172.16.0.2:
CGNAT Address * *
Hetzner Gateway * *
 
Zuletzt bearbeitet:
Der Trace auf der PFSense ist sehr aufschlussreich. Die sucht nämlich das 172er Netz nicht auf dem WG Interface, sondern vermutlich auf dem Default Gateway. Jedenfalls ist der erste Hop eine CGNAT Adresse (wo auch immer die herkommt auf einem Hetzner System), und der zweite Hop ist eine öffentliche IP aus dem Hetzner Netz.

Also auf der PFSense ist das Routen-Setup komplett fehlerhaft. Sie ist sich nicht bewusst, dass es einen Weg ins 172.16er Netz gibt.
 
  • Gefällt mir
Reaktionen: madmax2010
Das Setup für die Statischen Routen sollte aber meiner Meinung nach stimmen?
Der Gateway ist erstellt und die beiden statischen Routen ebenfalls.
 
Zuletzt bearbeitet:
Wo kommen die statischen Routen denn her? Hast du die von Hand angelegt? Vor allem eine statische Route auf 172.16.0.0/24 sollte nicht nötig sein, die sollte sich von allein durch die Allowed IPs von Wireguard ergeben.

Ist diese komische grafische Oberfläche die einzige Analysemöglichkeit? Ein paar Kommandos auf der Shell (ip route, ip addr) wären jetzt wertvoll.
 
Da ist eine Hostroute 172.16.0.1/32 auf tun_wg0 und eine weitere Route 172.16.0.1 ohne Subnetzmaske auf lo0 - also auf dem localhost Interface. Aber es gibt keine Route auf 172.16.0.0/24, wie sie erforderlich wäre, und die Route auf lo0 macht vermutlich Ärger. Von der Route auf 10.17.17.0/24 sieht man auch nichts.
 
Zuletzt bearbeitet:
ist es möglich, dass die default route mit 0.0.0/0.0.0.0 alles abfängt, egal welche Einträge darunter vorhanden sind?
 
Je spezifischer die Route, desto eher wird sie berücksichtigt. Das wird es also nicht sein.

Es ist ja offensichtlich, dass das Routensetup auf der PFSense im Moment Unsinn ist. Vielleicht arbeitet PFSense im Hintergrund mit Policy based Routing, und die fehlenden Routen sind in irgendeiner anderen Tabelle. Aber die Route auf lo0 macht so definitiv keinen Sinn.
 
kieleich schrieb:
ist der hetzner server, vom raspi aus erreichbar, dann brauchst du gar keine port weiter leitung bzw die kann sogar stören

deine routen verstehe ich nicht dein gateway wäre doch wenn dann die .0.2?
Zum Vergrößern anklicken....
Deine Antwort war so früh und trotzdem habe ich es übersehen. Natürlich ist die Route von der pfsense die 0.2 und nicht die 0.1. :daumen:

Danke für eure Hilfe. :)
 
deslout! schrieb:
Raspberry PI:
root@raspberrypi:~# ip route show
default via 10.17.17.1 dev eth0 proto dhcp src 10.17.17.67 metric 202
10.10.10.0/24 dev wg0 scope link
10.17.17.0/24 dev eth0 proto dhcp scope link src 10.17.17.67 metric 202
172.16.0.0/24 dev wg0 proto kernel scope link src 172.16.0.2
...
Zum Vergrößern anklicken....

Vorsicht beim verstecken/zeigen deiner IPs.... Mal versuchst Du sie unkenntlich zu machen (man weiß aber trotzdem was da steht) und manchmal sind sie so zu sehen.
 
  • Gefällt mir
Reaktionen: deslout!
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
OpenWRT mit Wireguard Client und Server hinter FritzBox
Antworten
10
Aufrufe
1.368
Kratzlos
K
D
Probleme mit Wireguard (und Pi-hole) nach Hardwaretausch
Antworten
11
Aufrufe
689
Blutomen
B
xxxJayDeexxx
PIVPN Probleme nach Upgrade von Buster auf Bullseye
Antworten
17
Aufrufe
515
riversource
R
CB_usr90
Raspberry 3 - nur 50 Mbit mit Wireguard
2
Antworten
22
Aufrufe
1.414
Raijin
Raijin
Anonymous User
opnsense wireguard ip routing
Antworten
17
Aufrufe
820
Anonymous User
Anonymous User
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz