ich bin neu im Thema pfSense und habe sie mir hauptsächlich nach den Videos von ipV64 konfiguriert. Netzwerk/Internetzzugang klappen gut. Zugriff von Außen/Wireguard leider nicht.
Provider: Muenet Glasfaser über PPPoE Modem, IPv4 nur über CGNAT (DSLite), daher Zugriff über IPv6 gewünscht (hat vorher über fritzbox geklappt)
Ich habe IPv6 nach der Anleitung konfiguriert. Wenn ich nur ein Präfix anfordere erhalte ich eine fe80-Adresse auf dem WAN-Port und ein 56er Präfix für alles dahinter.
Fordere Ich beides an, erhalte ich eine ipV6 auf dem WAN und ein abweichendes Präfix für alles dahinter. Meine Netzwerkgeräte erhalten auf jeden Fall ne IPv6 von der pfSense.
Erstes Problem (ist es ein Problem?): Die öffentlichen ipchecker (zB ipv64) zeigen mir keine ipV6 an, nur die ipV4.
Zweites Problem: Versuche ich mich mittels WG über die WAN ipV6 auf die pfSense zu verbinden, klappt dies nicht. Ich erreiche Sie einfach nicht. Pingen kann ich sie auch nicht, obwohl ich ICMP-Pakete auf V6-Ebene durchlasse.
Wie bekomme ich das gelöst? Ist die WAN-IPv6 die richtige als Ziel für den WG-CLient? Port 51820 ist offen.
War die Fritte auch schon hinter dem Glasfasermodem? Hintergrund: ich versuche so herauszufinden, ob es am Glasfasermodem (das übrigens mit einem Modem wenig zu tun hat, eigentlich ein ONT = Optical Network Terminator ist) liegen könnte oder du schlicht die pfsense nicht richtig konfiguriert hast.
Ja war sie! man musste aber für wg den integrierten myfritz dienst nutzen, ich weiß nicht ob der da schon irgendein relay aufsetzt was einen Fehler auf Providerebene kaschiert haben könnte.
Ich nehme aber ja stark an, dass ich irgendwas falsch konfiguriert habe.
Mir ist aber schon nicht klar, welche ipV6-Adresse ich als Ziel für den wg Klienten verwende. Den der pfSense im Lan, den des WAN (die ja aber zB nicht existiert wenn ich nur ein Präfix anfordere), oder was anderes ?
Wenn die pfsense der Wireguard-Server sein soll, dann die WAN-IPv6Adresse.
Zunächst braucht es dann eine IPv6-Adresse am WAN - ist logisch. Zeug mir mal Status → Interfaces " WAN Interface" und „LAN Interface“ als Bildschirmfoto
Danke. Zege noch mal den Bereich Interfaces → WAN (pppoe0) und dort dann „General Configuration“ und „DHCP6 Client Configuration“ NICHT aber „PPPoE Configuration“.
Ich kann eine WG-Verbindung innerhalb meines LANs herstellen, grundsätzlich scheint die Konfiguration also in Ordnung - aber ich erreiche die pfSense nicht über den WAN-Port/die angezeigte IPv6.
Ich Checks nicht, auch dass mir die ipChecker keine V6 anzeigen
Firewall-Regeln habe ich auf WAN keine expliziten außer UDP 51820 erlauben und „Bogon-Netzwerke blocken“
Das sieht für mich komplett FALSCH aus! Nochmal: ist die pfsense selbst der Wireguard-Server oder hast du im LAN einen separaten Wirgegurad-Server?
Wenn die pfsense der Wireguard-Server ist, dann sollte wireguard am WAN-Interface lauschen, nirgendwo sonst. Lösch die Wireguard-Konfig. Sie dir das verlinke Video an. Da wird dir alles Schritt für Schritt erklärt.
Ja, das ist normal und bei v6 immer so.
Zeig mal die Zeile aus deinen Firewall / Rules / WAN mit der Freigabe für ping.
Ich denke die interne Verbindung hat geklappt, da ich den WG-Tunnel auf ein zusätzliches Interface gelegt hatte (nach der Anleitung von ipV64).
Wie auch immer, ich habe alles gelöscht und neu aufgesetzt nach dem von dir verlinkten Video. Es funktioniert leider nicht.
Mein Eindruck ist nach wie vor, dass es ein Problem mit der IPv6-Erreichbarkeit meiner WAN-Schnittstelle gibt.
Oder meinst du es gibt eine andere sinnvolle Erklärung dafür dass sie weder Pingbar ist noch die ipchecker ne IPv6 anzeigen?
Ja. Destination für v6 ICMP am WAN-Interface ist nicht „*“ sondern die pfsense „This Firewall (self)“. Wie ich bereits schrieb soll ja die pfsense den ping6 am WAN-Interface beantworten und nicht irgendwohin weiterleiten.
Und das dann testen geht auch nur von außerhalb des LAN’s, also etwa einem Gerät in einem Mobilfunknetz, welches dann eine Verbindung via IPv6 hat und das Gerät muss dann auch ping6 können. Bei mir (Linux) geht das also NICHT mit ping sondern es geht mit ping6. Im Mobilfunknetz muss dann auch IPv6 aktiviert sein (APN-Einstellungen checken und gegebenenfalls anpassen). Sonst wird das nix. Ob und wie ping6 bei Windoof-Geräten ausseht muss du selbst herausfinden. Nutze so ein mieses OS nicht.
Auch in dem von mir verlinkten Video bekommt Wireguard doch auch ein eigenes (zusätzliches) Interface. ab Minute 2:40 wird es angelegt. Mit IP-Adressen im Video aus 10.100.0.0/24. Hast du das übersehen? Ansonsten nämlich verstehe ich deinen Hinweis auf ein zusätzliches Interface nicht.