pfSense 2.5.0 + Wireguard Guide

Vår huvudtjänst.
Slekkens
Inlägg: 4
Blev medlem: tor 5 december 2019, 15:09

pfSense 2.5.0 + Wireguard Guide

Inlägg av Slekkens » sön 21 februari 2021, 19:57

pfSense uppdaterade nyligen till 2.5.0 där man lagt till stöd för Wireguard (!!Äntligen!!),
Här kommer en guide som bör fungera för både hela nätverket (punkt 12) och för specifika IP / enheter (punkt 13).

Good luck!

1)
Börjar med att lägga till tunneln för Wireguard via menyn "VPN" > "WireGuard"
Klickar där på "Add Tunnel".
Bild

2)
Innan vi aktiverar tunneln så ska vi lägga till en Peer via knappen "Add peer".
Bild

3)
Fyll i följande information som hittas i din egna genererade fil SEintegrity_vpn.conf från https://wireguard-bahnhof.5july.net/.
Klickar sen på "Update".
Bild

4)
Nu kan vi aktivera tunneln och fylla i resterande information för att sedan klicka på "Save".
Bild

~~~~~~~

5)
Vi måste lägga till tunneln som ett nytt Interface genom "Interfaces" > "Assignments".
Bild

6)
När den lagts till ser vi nu ett nytt Interface som bör ha namnet OPT# som vi klickar på.
Bild

7)
Kryssa i "Enable Interface" och fyll i en beskrivning/namn som underlättar senare. Klicka på "Save".
Bild

~~~~~~~

8)
Dags att fixa med NAT, så in i menyn "Firewall" > "NAT" och välj "Outbound"-fliken på sidan.
Ändra till "Manual Outbound NAT" och klicka på "Save".
Bild

9)
Vi ser standard genererade mappningar, för varje mappning ska vi klicka på de två "papperna" för att klona de en åt gången.
Bild

10)
För varje mappning ändrar vi från WAN till vår nya Interface (steg 7) och sen "Save".
Bild

11)
När alla är ändrade så klickar vi på "Apply Changes"
Bild

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

12) VPN till hela nätverket:

Vi går till menyn "System" > "Routing"
Ändrar "Default gateway IPv4" till namnet i steg 7 (dvs ej "Automatic" eller "WAN_DHCP") och klickar på "Save" och "Apply Changes".
Bild

Gå nu till menyn "Status" > "Interfaces" och se om det ser liknande ut och ser paket skickas/tas emot. Kan också gå till https://integrity.st/ t.ex.
FÄRDIG !
Bild


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

13) VPN till specifika IP / Enheter:

13 a)
Först måste vi skapa ett Alias via menyn "Firewall" > "Aliases".
Klicka här på "Add"
Bild

13 b)
"Name" är ett måste, rekommenderar "VPN".
Som "Type" välj "Host(s)".
Här skrivs in vilka specifika IP samt t.ex. vilken enhet det handlar om, fler kan du lägga till genom "Add Host".
Tryck sedan på "Save".
Bild

13 c)
Vi går till menyn "Firewall" > "Rules" och väljer "LAN"-fliken.
Sen klickar på "Add" med pilen upp så den nya regeln hamnar överst.
Bild

13 d)
Välj "IPv4" som "Address Family".
Som "Source" välj "Single host or alias", i fältet bredvid skriver du "VPN" eller det namnet på Aliaset du skapade i steg 13 b.
Klicka (om det behövs) på "Display Advanced" och gå längre ner till "Gateway" för att där välja namnet på Interfacet vi skapade i steg 7.
Klicka på "Save"
Bild

13 e)
När du är tillbaks klicka på "Apply Changes" längst upp och dubbelkolla så att posten vi skapade ligger näst längst upp.
Bild

Gå nu till menyn "Status" > "Interfaces" och se om det ser liknande ut och ser paket skickas/tas emot. Kan också gå till https://integrity.st/ t.ex.
FÄRDIG !
Bild

vattenspridarn
Inlägg: 1
Blev medlem: fre 26 februari 2021, 13:52

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av vattenspridarn » fre 26 februari 2021, 14:10

Guiden fungerar för mig.

Jag har dock några problem.
När jag ska spela Age 2 DE edition multiplayer kan jag inte koppla upp när jag är uppkopplad via wireguard, men när jag stänger av wireguard fungerar det bra.

Hur kan jag lösa det?

Firestorm
Inlägg: 4
Blev medlem: ons 3 mars 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Firestorm » ons 3 mars 2021, 11:06

Jag instämmer med Slekkens angående pfSense och stöd för Wireguard, äntligen! :D
Har en liknade setup och allt ser ok ut och fungerar med bra hastighet, utom att komma åt vissa sidor (connection timeout).
Till exempel kommer jag inte in på https://duckduckgo.com/

DNS-uppslag ser bra ut, dock ser jag att ”routningen” (på slutet) blir lite annorlunda över WG...

Är det någon som har haft liknade problem?

Langelus
Inlägg: 8
Blev medlem: fre 22 november 2019, 23:20

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Langelus » ons 3 mars 2021, 16:14

Fungerar det bra att köra direkt i 2.5 nu?

Jag provade nämligen i i senaste RC innan Stable och visst fungerade det men det vart ostabilt på TCP anslutningar då jag inte hittade hur man sätter MSS Clamping. Gick tillbaka till min ordinarie setup med 2.4.5 och fristående Ubuntu server i transit nät som alltid fungerat klockrent.

Firestorm
Inlägg: 4
Blev medlem: ons 3 mars 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Firestorm » ons 3 mars 2021, 17:49

Det kanske är samma problem som jag har, ostabilt.

Har trixat med både MTU och MSS på interfacet (punkt 7 i guiden) men tyckte inte det spelade någon roll.

De inställningar som finns där är:
MTU
If this field is blank, the adapter's default MTU will be used. This is typically 1500 bytes but can vary in some circumstances
och
MSS
If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.

Just nu kör jag med default på båda.

Langelus
Inlägg: 8
Blev medlem: fre 22 november 2019, 23:20

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Langelus » tor 4 mars 2021, 09:13

Låter lite som samma!

Provade också med MTU / MSS inställningarna på interface nivå men fick det aldrig att lira.

Det jag kör i Post UP konfigurationen på Ubuntu Server 20.0.4 för att få det att lira är "iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"

Firestorm
Inlägg: 4
Blev medlem: ons 3 mars 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Firestorm » tor 4 mars 2021, 12:13

Langelus skrev:
tor 4 mars 2021, 09:13
Låter lite som samma!

Provade också med MTU / MSS inställningarna på interface nivå men fick det aldrig att lira.

Det jag kör i Post UP konfigurationen på Ubuntu Server 20.0.4 för att få det att lira är "iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"
Kan tillägga att jag försökte editera konfigurationsfilen för pfSense med någon liknande men det försvann… Ja det stod iofs, klar och tydligt, i filen att man inte fick editera den "för hand" men… 😊

illern
Inlägg: 1
Blev medlem: sön 14 mars 2021, 12:44

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av illern » sön 14 mars 2021, 12:46

Firestorm skrev:
ons 3 mars 2021, 11:06
Jag instämmer med Slekkens angående pfSense och stöd för Wireguard, äntligen! :D
Har en liknade setup och allt ser ok ut och fungerar med bra hastighet, utom att komma åt vissa sidor (connection timeout).
Till exempel kommer jag inte in på https://duckduckgo.com/

DNS-uppslag ser bra ut, dock ser jag att ”routningen” (på slutet) blir lite annorlunda över WG...

Är det någon som har haft liknade problem?
Hej!

Hade samma problem med duckduckgo.com.
Ändrade i Interfacet för tunneln.
Satte MSS till 1420 så fungerade det sen.
Lät det vara tomt i MTU fältet.

/illern

Firestorm
Inlägg: 4
Blev medlem: ons 3 mars 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Inlägg av Firestorm » tis 30 mars 2021, 09:52

illern skrev:
sön 14 mars 2021, 12:46

Hej!

Hade samma problem med duckduckgo.com.
Ändrade i Interfacet för tunneln.
Satte MSS till 1420 så fungerade det sen.
Lät det vara tomt i MTU fältet.

/illern
Jag testade även dessa inställningar men problemet kvarstod.

För att göra en lång historia kort så kan jag meddela att i 2.5.1 CE (Community Edition) så har man helt tagit bort Wireguard

Från https://docs.netgate.com/pfsense/en/lat ... 2-5-1.html
______________________________________
Warning
WireGuard has been removed from this release after it was removed from FreeBSD. For more details, read the WireGuard removal announcement blog post
If upgrading from a version that has WireGuard active, the upgrade will abort until all WireGuard tunnels are removed.
To remove tunnels, go to VPN -> WireGuard and click the delete button for each tunnel. The banner stating No WireGuard tunnels have been configured. indicates that the upgrade can proceed.
______________________________________

Så om ni nu sitter med en lösning i 2.5 som fungerar så bör ni nog inte uppgradera förrän Wireguard är tillbaka i FreeBSD.

Gla påsk :D

Skriv svar