pfSense, IPv6, Wireguard - mehrere Probleme

Hallo zusammen,

ich bin neu im Thema pfSense und habe sie mir hauptsächlich nach den Videos von ipV64 konfiguriert. Netzwerk/Internetzzugang klappen gut. Zugriff von Außen/Wireguard leider nicht.

Provider: Muenet Glasfaser über PPPoE Modem, IPv4 nur über CGNAT (DSLite), daher Zugriff über IPv6 gewünscht (hat vorher über fritzbox geklappt)

Ich habe IPv6 nach der Anleitung konfiguriert. Wenn ich nur ein Präfix anfordere erhalte ich eine fe80-Adresse auf dem WAN-Port und ein 56er Präfix für alles dahinter.
Fordere Ich beides an, erhalte ich eine ipV6 auf dem WAN und ein abweichendes Präfix für alles dahinter. Meine Netzwerkgeräte erhalten auf jeden Fall ne IPv6 von der pfSense.

Erstes Problem (ist es ein Problem?): Die öffentlichen ipchecker (zB ipv64) zeigen mir keine ipV6 an, nur die ipV4.

Zweites Problem: Versuche ich mich mittels WG über die WAN ipV6 auf die pfSense zu verbinden, klappt dies nicht. Ich erreiche Sie einfach nicht. Pingen kann ich sie auch nicht, obwohl ich ICMP-Pakete auf V6-Ebene durchlasse.

Wie bekomme ich das gelöst? Ist die WAN-IPv6 die richtige als Ziel für den WG-CLient? Port 51820 ist offen.

Bin etwas ratlos :frowning:

Danke für eure Hilfe

Fritze

Erste Frage: du erwähnst Fritte. Hast du noch eine Fritte vor der pfsense?

Moin!

Nein, die hab ich wegrationalisiert. pfSense ist direkt per WAN/PPPoE am Glasfasermodem.

Die Fritte erwähnte ich nur, da der WG-Zugang über die IPv6& da geklappt hat früher…

War die Fritte auch schon hinter dem Glasfasermodem? Hintergrund: ich versuche so herauszufinden, ob es am Glasfasermodem (das übrigens mit einem Modem wenig zu tun hat, eigentlich ein ONT = Optical Network Terminator ist) liegen könnte oder du schlicht die pfsense nicht richtig konfiguriert hast.

Ja war sie! man musste aber für wg den integrierten myfritz dienst nutzen, ich weiß nicht ob der da schon irgendein relay aufsetzt was einen Fehler auf Providerebene kaschiert haben könnte.

Ich nehme aber ja stark an, dass ich irgendwas falsch konfiguriert habe.
Mir ist aber schon nicht klar, welche ipV6-Adresse ich als Ziel für den wg Klienten verwende. Den der pfSense im Lan, den des WAN (die ja aber zB nicht existiert wenn ich nur ein Präfix anfordere), oder was anderes ?

Danke schonmal für deine Hilfe!!

Was ich ja gar nicht verstehe, ist dass mir die IPChecker keine ipV6 anzeigen :thinking:

Wenn die pfsense der Wireguard-Server sein soll, dann die WAN-IPv6Adresse.

Zunächst braucht es dann eine IPv6-Adresse am WAN - ist logisch. Zeug mir mal Status → Interfaces " WAN Interface" und „LAN Interface“ als Bildschirmfoto

Der Kollege im Video COMPLETE WireGuard on PFsense 2.7 Setup - Covering Windows, Mac, & Mobile erklärt dann die Wireguard-Konfiguration. Doch dazu müssen ersteinmal die Basics passen, sonst nutzt auch das Video nichts.

Gerne!

Danke. Zege noch mal den Bereich Interfaces → WAN (pppoe0) und dort dann „General Configuration“ und „DHCP6 Client Configuration“ NICHT aber „PPPoE Configuration“.

Setz mal auch Häkchen bei:

  • Send IPv6 prefix hint - Send an IPv6 prefix hint to indicate the desired prefix size for delegation

Bei welchem ISP bist du? Es gibt hier im Forum eine Liste welche Prefix-Länge welcher ISP zuweist. die 56/ sollte passen.

Danke!

Den Prefix-Hint hatte ich schonmal drin, aber teste es nochmal.

Bin bei Muenet, ein lokaler Provider, die hatte ich nach der Prefix-Länge gefragt per Mail und /56 stimmt!

Dann stimmt die Wireguard-Config der pfsense nicht oder ist unvollständig.

Haste Firewall-Rules gesetzt?

Kannste dein WAN-Interface von extern anpingen?

Wohin lässt du die durch? Die müssen nicht durch. Das WAN-Interface muss nur antworten.

Kann die ipV6 über das PING-Tool von ipv64.net nicht anpingen. „UNREACHABLE“

Gestern ging es interessanterweise, aber da hat WG trotzdem nicht funktioniert.

Ich erlaube die ICMP-Pakete von WAN überall hin, da ich davon ausging dass sonst keine PING-Antwort kommt.

Ist es korrekt dass das IPv6-Gateway des WAN-Portes eine fe80-Adresse hat? Das ist doch normalerweise eine selbst zugewiesene :thinking:

Update:

Ich kann eine WG-Verbindung innerhalb meines LANs herstellen, grundsätzlich scheint die Konfiguration also in Ordnung - aber ich erreiche die pfSense nicht über den WAN-Port/die angezeigte IPv6.

Ich Checks nicht, auch dass mir die ipChecker keine V6 anzeigen

Firewall-Regeln habe ich auf WAN keine expliziten außer UDP 51820 erlauben und „Bogon-Netzwerke blocken“

Das sieht für mich komplett FALSCH aus! Nochmal: ist die pfsense selbst der Wireguard-Server oder hast du im LAN einen separaten Wirgegurad-Server?

Wenn die pfsense der Wireguard-Server ist, dann sollte wireguard am WAN-Interface lauschen, nirgendwo sonst. Lösch die Wireguard-Konfig. Sie dir das verlinke Video an. Da wird dir alles Schritt für Schritt erklärt.

Ja, das ist normal und bei v6 immer so.

Zeig mal die Zeile aus deinen Firewall / Rules / WAN mit der Freigabe für ping.

Ich denke die interne Verbindung hat geklappt, da ich den WG-Tunnel auf ein zusätzliches Interface gelegt hatte (nach der Anleitung von ipV64).

Wie auch immer, ich habe alles gelöscht und neu aufgesetzt nach dem von dir verlinkten Video. Es funktioniert leider nicht.

Mein Eindruck ist nach wie vor, dass es ein Problem mit der IPv6-Erreichbarkeit meiner WAN-Schnittstelle gibt.
Oder meinst du es gibt eine andere sinnvolle Erklärung dafür dass sie weder Pingbar ist noch die ipchecker ne IPv6 anzeigen?

Danke schonmal für deine Hilfe!

Ja. Destination für v6 ICMP am WAN-Interface ist nicht „*“ sondern die pfsense „This Firewall (self)“. Wie ich bereits schrieb soll ja die pfsense den ping6 am WAN-Interface beantworten und nicht irgendwohin weiterleiten.

Und das dann testen geht auch nur von außerhalb des LAN’s, also etwa einem Gerät in einem Mobilfunknetz, welches dann eine Verbindung via IPv6 hat und das Gerät muss dann auch ping6 können. Bei mir (Linux) geht das also NICHT mit ping sondern es geht mit ping6. Im Mobilfunknetz muss dann auch IPv6 aktiviert sein (APN-Einstellungen checken und gegebenenfalls anpassen). Sonst wird das nix. Ob und wie ping6 bei Windoof-Geräten ausseht muss du selbst herausfinden. Nutze so ein mieses OS nicht.

Auch in dem von mir verlinkten Video bekommt Wireguard doch auch ein eigenes (zusätzliches) Interface. ab Minute 2:40 wird es angelegt. Mit IP-Adressen im Video aus 10.100.0.0/24. Hast du das übersehen? Ansonsten nämlich verstehe ich deinen Hinweis auf ein zusätzliches Interface nicht.