pfSense 2.5.0 + Wireguard Guide

Vår huvudtjänst.
Slekkens
Posts: 4
Joined: Thu 5 December 2019, 15:09

pfSense 2.5.0 + Wireguard Guide

Post by Slekkens »

pfSense uppdaterade nyligen till 2.5.0 där man lagt till stöd för Wireguard (!!Äntligen!!),
Här kommer en guide som bör fungera för både hela nätverket (punkt 12) och för specifika IP / enheter (punkt 13).

Good luck!

1)
Börjar med att lägga till tunneln för Wireguard via menyn "VPN" > "WireGuard"
Klickar där på "Add Tunnel".
Image

2)
Innan vi aktiverar tunneln så ska vi lägga till en Peer via knappen "Add peer".
Image

3)
Fyll i följande information som hittas i din egna genererade fil SEintegrity_vpn.conf från https://wireguard-bahnhof.5july.net/.
Klickar sen på "Update".
Image

4)
Nu kan vi aktivera tunneln och fylla i resterande information för att sedan klicka på "Save".
Image

~~~~~~~

5)
Vi måste lägga till tunneln som ett nytt Interface genom "Interfaces" > "Assignments".
Image

6)
När den lagts till ser vi nu ett nytt Interface som bör ha namnet OPT# som vi klickar på.
Image

7)
Kryssa i "Enable Interface" och fyll i en beskrivning/namn som underlättar senare. Klicka på "Save".
Image

~~~~~~~

8)
Dags att fixa med NAT, så in i menyn "Firewall" > "NAT" och välj "Outbound"-fliken på sidan.
Ändra till "Manual Outbound NAT" och klicka på "Save".
Image

9)
Vi ser standard genererade mappningar, för varje mappning ska vi klicka på de två "papperna" för att klona de en åt gången.
Image

10)
För varje mappning ändrar vi från WAN till vår nya Interface (steg 7) och sen "Save".
Image

11)
När alla är ändrade så klickar vi på "Apply Changes"
Image

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

12) VPN till hela nätverket:

Vi går till menyn "System" > "Routing"
Ändrar "Default gateway IPv4" till namnet i steg 7 (dvs ej "Automatic" eller "WAN_DHCP") och klickar på "Save" och "Apply Changes".
Image

Gå nu till menyn "Status" > "Interfaces" och se om det ser liknande ut och ser paket skickas/tas emot. Kan också gå till https://integrity.st/ t.ex.
FÄRDIG !
Image


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

13) VPN till specifika IP / Enheter:

13 a)
Först måste vi skapa ett Alias via menyn "Firewall" > "Aliases".
Klicka här på "Add"
Image

13 b)
"Name" är ett måste, rekommenderar "VPN".
Som "Type" välj "Host(s)".
Här skrivs in vilka specifika IP samt t.ex. vilken enhet det handlar om, fler kan du lägga till genom "Add Host".
Tryck sedan på "Save".
Image

13 c)
Vi går till menyn "Firewall" > "Rules" och väljer "LAN"-fliken.
Sen klickar på "Add" med pilen upp så den nya regeln hamnar överst.
Image

13 d)
Välj "IPv4" som "Address Family".
Som "Source" välj "Single host or alias", i fältet bredvid skriver du "VPN" eller det namnet på Aliaset du skapade i steg 13 b.
Klicka (om det behövs) på "Display Advanced" och gå längre ner till "Gateway" för att där välja namnet på Interfacet vi skapade i steg 7.
Klicka på "Save"
Image

13 e)
När du är tillbaks klicka på "Apply Changes" längst upp och dubbelkolla så att posten vi skapade ligger näst längst upp.
Image

Gå nu till menyn "Status" > "Interfaces" och se om det ser liknande ut och ser paket skickas/tas emot. Kan också gå till https://integrity.st/ t.ex.
FÄRDIG !
Image
vattenspridarn
Posts: 2
Joined: Fri 26 February 2021, 13:52

Re: pfSense 2.5.0 + Wireguard Guide

Post by vattenspridarn »

Guiden fungerar för mig.

Jag har dock några problem.
När jag ska spela Age 2 DE edition multiplayer kan jag inte koppla upp när jag är uppkopplad via wireguard, men när jag stänger av wireguard fungerar det bra.

Hur kan jag lösa det?
Firestorm
Posts: 11
Joined: Wed 3 March 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Post by Firestorm »

Jag instämmer med Slekkens angående pfSense och stöd för Wireguard, äntligen! :D
Har en liknade setup och allt ser ok ut och fungerar med bra hastighet, utom att komma åt vissa sidor (connection timeout).
Till exempel kommer jag inte in på https://duckduckgo.com/

DNS-uppslag ser bra ut, dock ser jag att ”routningen” (på slutet) blir lite annorlunda över WG...

Är det någon som har haft liknade problem?
Langelus
Posts: 15
Joined: Fri 22 November 2019, 23:20

Re: pfSense 2.5.0 + Wireguard Guide

Post by Langelus »

Fungerar det bra att köra direkt i 2.5 nu?

Jag provade nämligen i i senaste RC innan Stable och visst fungerade det men det vart ostabilt på TCP anslutningar då jag inte hittade hur man sätter MSS Clamping. Gick tillbaka till min ordinarie setup med 2.4.5 och fristående Ubuntu server i transit nät som alltid fungerat klockrent.
Firestorm
Posts: 11
Joined: Wed 3 March 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Post by Firestorm »

Det kanske är samma problem som jag har, ostabilt.

Har trixat med både MTU och MSS på interfacet (punkt 7 i guiden) men tyckte inte det spelade någon roll.

De inställningar som finns där är:
MTU
If this field is blank, the adapter's default MTU will be used. This is typically 1500 bytes but can vary in some circumstances
och
MSS
If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.

Just nu kör jag med default på båda.
Langelus
Posts: 15
Joined: Fri 22 November 2019, 23:20

Re: pfSense 2.5.0 + Wireguard Guide

Post by Langelus »

Låter lite som samma!

Provade också med MTU / MSS inställningarna på interface nivå men fick det aldrig att lira.

Det jag kör i Post UP konfigurationen på Ubuntu Server 20.0.4 för att få det att lira är "iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"
Firestorm
Posts: 11
Joined: Wed 3 March 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Post by Firestorm »

Langelus wrote: Thu 4 March 2021, 09:13 Låter lite som samma!

Provade också med MTU / MSS inställningarna på interface nivå men fick det aldrig att lira.

Det jag kör i Post UP konfigurationen på Ubuntu Server 20.0.4 för att få det att lira är "iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"
Kan tillägga att jag försökte editera konfigurationsfilen för pfSense med någon liknande men det försvann… Ja det stod iofs, klar och tydligt, i filen att man inte fick editera den "för hand" men… 😊
illern
Posts: 1
Joined: Sun 14 March 2021, 12:44

Re: pfSense 2.5.0 + Wireguard Guide

Post by illern »

Firestorm wrote: Wed 3 March 2021, 11:06 Jag instämmer med Slekkens angående pfSense och stöd för Wireguard, äntligen! :D
Har en liknade setup och allt ser ok ut och fungerar med bra hastighet, utom att komma åt vissa sidor (connection timeout).
Till exempel kommer jag inte in på https://duckduckgo.com/

DNS-uppslag ser bra ut, dock ser jag att ”routningen” (på slutet) blir lite annorlunda över WG...

Är det någon som har haft liknade problem?
Hej!

Hade samma problem med duckduckgo.com.
Ändrade i Interfacet för tunneln.
Satte MSS till 1420 så fungerade det sen.
Lät det vara tomt i MTU fältet.

/illern
Firestorm
Posts: 11
Joined: Wed 3 March 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Post by Firestorm »

illern wrote: Sun 14 March 2021, 12:46
Hej!

Hade samma problem med duckduckgo.com.
Ändrade i Interfacet för tunneln.
Satte MSS till 1420 så fungerade det sen.
Lät det vara tomt i MTU fältet.

/illern
Jag testade även dessa inställningar men problemet kvarstod.

För att göra en lång historia kort så kan jag meddela att i 2.5.1 CE (Community Edition) så har man helt tagit bort Wireguard

Från https://docs.netgate.com/pfsense/en/lat ... 2-5-1.html
______________________________________
Warning
WireGuard has been removed from this release after it was removed from FreeBSD. For more details, read the WireGuard removal announcement blog post
If upgrading from a version that has WireGuard active, the upgrade will abort until all WireGuard tunnels are removed.
To remove tunnels, go to VPN -> WireGuard and click the delete button for each tunnel. The banner stating No WireGuard tunnels have been configured. indicates that the upgrade can proceed.
______________________________________

Så om ni nu sitter med en lösning i 2.5 som fungerar så bör ni nog inte uppgradera förrän Wireguard är tillbaka i FreeBSD.

Gla påsk :D
Firestorm
Posts: 11
Joined: Wed 3 March 2021, 10:39

Re: pfSense 2.5.0 + Wireguard Guide

Post by Firestorm »

En liten uppdatering från min sida.
I version 2.5.2 (kanske även tidigare?) finns nu Wireguard som ett paket (EXPERIMENTAL) som man kan installera.
Efter lite trixade och fixande så fick jag det faktiskt att fungera och det verkar stabilare än tidigare.
Kan tillägga att jag var tvungen att sätta MSS på interfacet till 1420 för att få vissa sidor (https://duckduckgo.com/) att fungera.
Post Reply