VPN-Tunnel zwischen einer FRITZ!Box und einem OPNsense – schwäbische IT-Praxis
Zuletzt aktualisiert am 5. August 2024, 12:08:02
Vorwort
Für die Kommunikation zwischen den beiden Standorten nutze ich derzeit einen klassischen IPSec-Tunnel. Auf der einen Seite steht eine FRITZ!Box. Für mich ein OPNsense. Die Firmware von AVM unterstützt auch das neue WireGuard VPN-Protokoll.
Umgebung/Bedingungen
FRITZ!Box
| Der Parameter | Wert | Notizen |
| FRITZ!Box-Firmware | FRITZ!OS:7.57 | |
| IP-Subnetz | 192.168.0.0/255.255.255.0 (24) | |
| Die IP-Adresse der FRITZ!Box | 192.168.0.1 | |
| DNS-Namen | 01234567890.myfritz.net | Der Domaindienst von AVM |
OPNsense
| Der Parameter | Wert | Notizen |
| OPNsense-Firmware | OPNsense 23.7.9-amd64 | FreeBSD 13.2-RELEASE-p5 |
| IP-Subnetz | 192.168.52.0/255.255.255.128 (25) | |
| IP-Adresse dort OPNsense | 192.168.52.1 | |
| DNS-Namen | fw01.lan.daniel.wydler.eu | Eigene Domain |
Konfiguration IPSec-Tunnel
Konfiguration der FRITZ!Box
Nachfolgend finden Sie die einzelnen Schritte zur Konfiguration des Tunnelendpunkts.
Konfiguration von OPNsense
Testergebnis
Wenige Sekunden später ist der VPN-Tunnel aufgebaut.
IMCP ECHO (Ping) von einem Client hinter OPNsense zur FRITZ!Box:
IMCP ECHO (Ping) von einem Client hinter der FRITZ!Box an OPNsense:
Konfiguration des WireGuard-Tunnels
Konfiguration der FRITZ!Box
Konfiguration von OPNsense
Ausgangspunkt ist die Datei „wg_config.conf“, die zuvor aus der FRITZ!Box exportiert wurde. Nachfolgend finden Sie ein Beispiel für den Inhalt meiner Datei.
[Interface] PrivateKey = +KNDqTqsl6AE+wk00000000000000000fI8OcgsoYm0= Address = 192.168.52.1/25 DNS = 192.168.0.1 DNS = fritz.box [Peer] PublicKey = BsCeBZKtKgNpcTFE0000000000000000nH428NzXFH4= PresharedKey = 8PVl9EW3DG9rNcG0000000000000ndJkNTk+knncpPk= AllowedIPs = 192.168.0.0/24 Endpoint = 3sx0w000000jjzyr.myfritz.net:50205 PersistentKeepalive = 25
Dadurch ist jederzeit ersichtlich, welcher Wert der FRITZ!Box in der WireGuard-Konfiguration verwendet wurde.
Vergessen Sie abschließend nicht, die notwendigen Firewall-Regeln von und zu den jeweiligen OPNsense-Schnittstellen zu erstellen.
Testen der Tunnelverbindung
Nachfolgend finden Sie natürlich einen Funktionstest des WireGuard-Tunnels. Nämlich von OPNsense zur FRITZ!Box.
Leider bietet die FRITZ!Box nur grundlegende Testmöglichkeiten.
 |
Alles
Wenn als Endadresse ein FQDN verwendet wird, wird dieser erst beim Starten des Tunnels aufgelöst. Wenn für einen oder beide Standorte dynamische IP-Adressen verwendet werden, funktioniert der Tunnel nicht. Dies ist immer dann der Fall, wenn sich die IPv4-Adresse und/oder das IPv6-Präfix aufgrund einer vom Anbieter erzwungenen Differenzierung oder Ähnlichem ändert.
In diesem Fall kann ein neuer Cron in OPNsense helfen:
 |
 |
| In diesem Fall wird die Krone jeden Tag im Jahr um 4:20 Uhr durchgeführt. Dieser Zeitraum muss natürlich der jeweiligen Situation angepasst werden. |
 |
Viel Spaß beim Ausprobieren. 🙂
