FritzBox als Client per Wireguard an OPNsense (Server) verbinden

[nliaqat]

Hallo zusammen,

ich möchte meine Fritzbox 7590 an meiner OPNsense Verbinden über Wireguard. Im grunde sollen alle Geräte, die hinter der Fritzbox angeschlossen sind, auf OPNsense bestimmte Geräte hinter der OPNsense zugreifen können. Keine Bidirektionale Verbindung erforderlich.

Wireguard ist auf der OPNsense vollständig eingerichtet und ich kann z.B. über mein Laptop, der hinter der Fritzbox ist, auf lokale Geräte hinter der OPNsense mühelos zugreifen.

Ich bin bis jetzt wie folgt vorgegangen:
1.) Habe auf der OPNsense einen neuen Peer angelegt für die FB:

Name: FB01
Public-key: PUBLIC-FB01
Allowed IPs: 192.168.17.6/32
Instance(Tunnel-address: 192.168.17.1/24) angegeben und den neuen Peer beigefügt.

2.) Daraus dann folgende wg0.conf-Konfigdatei erstellt und diese unabhängig mit einem Smartphone,Laptop erfolgreich getestet.

[Interface]
PrivateKey = PRIVATE-FB01
Address = 192.168.17.6/32
DNS = 1.1.1.1

[Peer]
PublicKey = PUBLIC-OPNSENSE
AllowedIPs = 0.0.0.0/0
Endpoint = OPNsense-Public-IP(Statisch):OPNsense-Port
PersistentKeepalive = 25

3) Nun habe ich die zuvor erstellte wg0.conf Datei in der FritzBox(FB01) einbinden wie folgt:

Unter Wireguard auf der FB01 auf: "Netzwerke koppeln oder spezielle Verbindungen herstellen". Dann auf
Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? - JA
Anschließend den Namen vergeben, die wg0.conf hochgeladen und testweise die Option "Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden" aktiviert.
Dann startet der Verbindungsprozess und ich bekomme die Fehlermeldung:"Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden." und das ich es nochmal versuchen soll.

Die lokale IP der FB01 ist im Bereich: 192.168.30.1/24.

Kann mir jemand hierbei weiterhelfen?

 

[tiermutter]

Ich fürchte das Problem ist bei fritzbox besser aufgehoben (vermutlich konnte deshalb auch noch niemand was im OPNsense forum dazu sagen)...

Fritte ist wohl etwas speziell was das angeht, aber ich kenne mich mit Fritte auch nicht aus. Eventuell dazu auch mal unabhängig von OPNsense googlen, ich vermute es standen schon mehrere Leute vor dem Problem eine Fritte mit einem "echten" WG server zu verbinden.
Was ich mir vorstellen kann ist zB dass WG auf der Fritte nur in einem bestimmten Adressbereich funktioniert und dieser daher für das WG Netz von der Sense verwendet werden muss. Möglicherweise ist es auch die Syntax der Einstellungen... Vielleicht will die Fritte nicht das subnet hinter der IP angegeben haben oder unterstützt persistent keep alive nicht.

Kann die Fritte mit WG überhaupt site to site? Vielleicht wäre IPsec hier besser?

 

[Stationary]

Kann die Fritte mit WG überhaupt site to site?

Ja, wenn die Fritzbox WG hat (die 7590 hat es), dann geht das. Bei mir läuft das als ”Dreieck”, 7590, 7490 und 6820 alle untereinander per WG verbunden. Nur die 6590 ist außen vor, die hat kein WG bekommen und ist per IPSec eingebunden.

 

[tiermutter]

Und gibt es was besonderes zu beachten?

 

[Stationary]

wg0.conf-Konfigdatei

Beim [Interface] hätte ich noch einen Eintrag “ListenPort = 5xxxx” erwartet (wobei 5xxxx für den von der Fritzbox verwendet Port für Wireguard steht).
Bei [Peer] steht in den mit einer Fritzbox erstellten config-Dateien immer noch ein Eintrag “PresharedKey = xyzcgfefbhunfdzwr/3lkhygvft” mit drin (xyzcgfefbhunfdzwr/3lkhygvft ist natürlich nur ein Beispiel…).

 

[Stationary]

ListenPort = 5xxxx

Wenn man den nicht kennt: kann man unter Diagnose > Sicherheit beim Unterpunkt

1. Verbindung, Internet​

FRITZ!Box-Dienste​

Übersicht der geöffneten Ports für den Zugriff aus dem Internet

nachschauen, da sollte ein Eintrag für “UDP, IPv6, IPv4“ für den Dienst WireGuard drin stehen.
Wenn da kein Eintrag drin ist, dann würde ich einmal eine WG-Verbindung zu einem Smartphone einrichten, damit die Fritzbox den Port einrichtet/öffnet. Welcher Port das genau ist, kann man meiner Erfahrung nach nicht vorhersagen, die Fritzbox wählt zufällig einen im Bereich über 50000 aus.

Ich würde auch versuchen, die WG-Verbindung von der Fritzbox aus anzulegen. Also die config-Datei in der Fritzbox erstellen und dann in die OPNsense importieren. Versuche mal, so vorzugehen:

FRITZ!BOX: Erstellen einer neuen Wireguard Verbindung

Benutzerdefinierte Einrichtung
"Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt?" Nein
"Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden?" Nein
"Handelt es sich um ein Einzelgerät (Laptop, Smartphone, Tablet) oder um einen WireGuard®-fähigen Router ( z.B. eine FRITZ!Box)?" WireGuard®-fähiger Router

Dann das "entfernte" Netzwerk angeben, z.B. 192.168.1.0 und anschließend die Konfigurationsdatei von der FRITZBox herunterladen. Die Datei im Editor öffnen und dann die Konfiguration in der OPNsense nachbauen.

OPNSENSE:

Im Abschnitt VPN: Wireguard: Local fügt man über den +-Button einen neuen Eintrag hinzu:

Name ClientFRITZ Name der Verbindung angeben
Public Key PUBKEY Public Key einfügen
Private Key PRIVATEKEY Private Key einfügen.
Listen port 5xxxx Beliebiger Port, z. B. 51820
Tunnel Address 192.168.1.0/24 Das lokale Subnetz, welches auf das VPN zugreifen soll.
Peers Nothing selected leer lassen.

Im Abschnitt VPN: Wireguard: Endpoints fügt man über den +-Button einen neuen Eintrag hinzu:

Name Name Name des Clients
Public Key PUBKEY Public Key des Clients
Shared Secret SECRET Shared Secret des Clients
Allowed IPs 192.168.2.0/24 Subnetz der FRITZBox
Endpoint Address xxxx.myfritz.net IP Adresse oder Hostname von FRITZBox (DynDNS oder Myfritz)
Endpoint Port 5xxxx Port eingeben, der in der Configdatei der FritzBox steht
Keepalive 25

 

[Stationary]

Vielleicht will die Fritte nicht das subnet hinter der IP angegeben haben oder unterstützt persistent keep alive nicht.

Hatte ich noch vergessen: Subnetz ist korrekt anzugeben, das macht die Fritzbox in ihren config-Datein auch und PersistentKeepalive = 25 schreibt die Fritzbox auch hinein.