da ich mein Heimnetzwerk von außen erreichen möchte, habe ich die Schritte im Video „pfSense WireGuard einrichten - Zugriff via Smartphone // #09 // From ZERO to HERO“ (https://www.youtube.com/watch?v=a9OU-GW3yoI) verfolgt und es nachgebaut.
Zu meinem Setup konkret:
Glasfaser Deutschland Kunde mit Fritz!Box
Dahinter liegende DMZ (192.168.2.0/24) mit einer pfSense FW zum LAN (10.16.0.0/16)
Auf der Fritz!Box eine Portfreigabe zur pfSense FW eingetragen (grün)
Zusätzliche Erweiterung über das Video (siehe oben) hinaus, um auch mein Handy (172.72.4.3) an-pingen zu können und die pfSense FW im LAN (10.16.0.11/32) zu erreichen:
Ohne diese beiden Erweiterungen konnte ich mein Handy nicht an-pingen und auch nicht die pfSense FW (10.16.0.11/32) über mein Handy (172.72.4.3) erreichen.
Das funktioniert nun, so weit so gut.
Was aber nicht funktioniert ist, weitere Hosts und Dienste im LAN (10.16.0.0/16) über das Handy zu erreichen. Das verstehe ich nicht, da ich ja schon an die pfSense FW im LAN ran gekommen bin!?
Z.B.: LAN IP: 10.16.0.172 über den Port 80/443 endet mit den nachstehenden States und die pfSense FW (10.16.0.11) ist erreichbar:
Dir ist aber schon aufgefallen, dass das von dir oben verlinkte Video, an dem du dich abgearbeitet hast, das Thema Wiregurad Client2Net behandelt und keine Net2Net-Verbindungen wie zum Cloud Router, der in dem Video gar nicht erwähnt wird?
Zuerst habe ich alles auf der pfSense gelöscht: WG Peer, WG Tunnel, Static Route und das IPv64-Gateway. Dann habe ich mir das von dir empfohlene Video angeschaut und wieder Schritt für Schritt mitgemacht.
Alles läuft gut, was die WireGuard und CloudRouter Konfiguration anbelangt und so schaffe ich es auch wieder einen aktiven Tunnel mit neuen Schlüsseln (so wie von Dennis gezeigt) zu etablieren:
Im Video scheitere ich dann ab Minute 14:20, wo es um das Testen der Verbindungen mit ping geht. So scheitert der ping zu meinem CloudRouter (172.72.4.1) und auch der ping zum Peer (172.72.4.2):
gelingt der ping auf beide Ziele (172.72.4.1 und 172.72.4.2), die pfSense im LAN (10.16.0.11) ist wieder über mein Handy erreichbar aber keine weiteren Hosts im LAN (10.16.0.0/0) sind vom Handy aus erreichbar.
Folgende States werden im Firewall-Bereich von WireGuard angezeigt:
Leider bin ich wieder zum selben Resultat gekommen…
Meine Frage ist, warum gelingt es mir nicht wie im Video gezeigt, die beiden Hosts zu pingen und warum muss ich hierfür erst einen Gateway mit statische Route anlegen.
Irgend etwas stimmt bei mir nicht aber ich kann es nicht sehen.
im Video wurde eine Kleinigkeit vergessen, welche Dennis in Minute 16:00 noch nachgetragen hat:
Das Interface welches dem WireGuard Tunnel zugeornet wurde benötigt die IP Adresse vom vom zugehörigen Peer (x.x.x.2). Habe das eben bei mir korrigiert und nun kann ich das Cloud Router Gateway (172.72.4.1) und das WireGuard Peer der pfSense (172.72.4.2) ohne separaten Gateway plus statische Route erreichen .
Das funktioniert schon einmal!
Jetzte teste ich mit einem weiteren WireGuard Klienten weiter, ob dieser dann auch mein gesamtes LAN (wie in der CloudRouter Routingtabelle gefordert) erreichen kann.
Hallo du Fuchs. Mal eine Empfehlung für die Zukunft:
Derartige Videos sollte man erst einmal in Ruhe ansehen und zu verstehen versuchen, bevor man das Gezeigte dann in die Tat umsetzt. Klar guckt man es dann vielleicht drei oder sogar vier Mal an, aber wenn man es vorher gesehen und halbwegs verstanden hat, weiß man dann eben auch dass da in Minute 16 noch etwas nachgereicht wird, was für die Schritte zuvor wichtig war und spart sich am Ende laaaangwierige Fehlersuchen und zeitaufwendige Beiträge hier
Freut mich aber, dass du mit dem passenden Video nun zum Ziel gelangt bist
.
