VPN-Tunnel zwischen einer FRITZ!Box und einem OPNsense – schwäbische IT-Praxis
2 mins read

VPN-Tunnel zwischen einer FRITZ!Box und einem OPNsense – schwäbische IT-Praxis


Zuletzt aktualisiert am 5. August 2024, 12:08:02

Vorwort

Für die Kommunikation zwischen den beiden Standorten nutze ich derzeit einen klassischen IPSec-Tunnel. Auf der einen Seite steht eine FRITZ!Box. Für mich ein OPNsense. Die Firmware von AVM unterstützt auch das neue WireGuard VPN-Protokoll.

Umgebung/Bedingungen

FRITZ!Box

Der Parameter Wert Notizen
FRITZ!Box-Firmware FRITZ!OS:7.57
IP-Subnetz 192.168.0.0/255.255.255.0 (24)
Die IP-Adresse der FRITZ!Box 192.168.0.1
DNS-Namen 01234567890.myfritz.net Der Domaindienst von AVM

OPNsense

Der Parameter Wert Notizen
OPNsense-Firmware OPNsense 23.7.9-amd64 FreeBSD 13.2-RELEASE-p5
IP-Subnetz 192.168.52.0/255.255.255.128 (25)
IP-Adresse dort OPNsense 192.168.52.1
DNS-Namen fw01.lan.daniel.wydler.eu Eigene Domain

Konfiguration IPSec-Tunnel

Konfiguration der FRITZ!Box

Nachfolgend finden Sie die einzelnen Schritte zur Konfiguration des Tunnelendpunkts.

Konfiguration von OPNsense

Testergebnis

Wenige Sekunden später ist der VPN-Tunnel aufgebaut.

IMCP ECHO (Ping) von einem Client hinter OPNsense zur FRITZ!Box:

IMCP ECHO (Ping) von einem Client hinter der FRITZ!Box an OPNsense:

Konfiguration des WireGuard-Tunnels

Konfiguration der FRITZ!Box

Konfiguration von OPNsense

Ausgangspunkt ist die Datei „wg_config.conf“, die zuvor aus der FRITZ!Box exportiert wurde. Nachfolgend finden Sie ein Beispiel für den Inhalt meiner Datei.

[Interface]
PrivateKey = +KNDqTqsl6AE+wk00000000000000000fI8OcgsoYm0=
Address = 192.168.52.1/25
DNS = 192.168.0.1
DNS = fritz.box

[Peer]
PublicKey = BsCeBZKtKgNpcTFE0000000000000000nH428NzXFH4=
PresharedKey = 8PVl9EW3DG9rNcG0000000000000ndJkNTk+knncpPk=
AllowedIPs = 192.168.0.0/24
Endpoint = 3sx0w000000jjzyr.myfritz.net:50205
PersistentKeepalive = 25

Dadurch ist jederzeit ersichtlich, welcher Wert der FRITZ!Box in der WireGuard-Konfiguration verwendet wurde.

Vergessen Sie abschließend nicht, die notwendigen Firewall-Regeln von und zu den jeweiligen OPNsense-Schnittstellen zu erstellen.

Testen der Tunnelverbindung

Nachfolgend finden Sie natürlich einen Funktionstest des WireGuard-Tunnels. Nämlich von OPNsense zur FRITZ!Box.

Leider bietet die FRITZ!Box nur grundlegende Testmöglichkeiten.

Alles

Wenn als Endadresse ein FQDN verwendet wird, wird dieser erst beim Starten des Tunnels aufgelöst. Wenn für einen oder beide Standorte dynamische IP-Adressen verwendet werden, funktioniert der Tunnel nicht. Dies ist immer dann der Fall, wenn sich die IPv4-Adresse und/oder das IPv6-Präfix aufgrund einer vom Anbieter erzwungenen Differenzierung oder Ähnlichem ändert.

In diesem Fall kann ein neuer Cron in OPNsense helfen:

In diesem Fall wird die Krone jeden Tag im Jahr um 4:20 Uhr durchgeführt. Dieser Zeitraum muss natürlich der jeweiligen Situation angepasst werden.

Viel Spaß beim Ausprobieren. 🙂



technische Probleme auf

Leave a Reply

Your email address will not be published. Required fields are marked *