OPNsense Forum
International Forums => German - Deutsch => Topic started by: pumuckl on February 06, 2020, 01:03:02 pm
-
Hallo,
Sorry das ich schon wieder einen aufmache, aber eine deutsche Thread dazu hab eich nicht gefunden.
Als alterative zu tor möchte ich ein ausgehendes VPN nutzen.
ich habe das wireguard-go Plugin installiert
nach dieser Anleitung:
https://www.routerperformance.net/opnsense-wireguard-plugin-azirevpn/ (https://www.routerperformance.net/opnsense-wireguard-plugin-azirevpn/)
und mit diesen Empfehlungen:
But to re-iterate the setup for those interested:
Set up Mullvad endpoint (public key, allowed IPs + 1.2.3.4, endpoint address & port)
Set up local endpoint (private key, tunnel address, DNS, "disable routes", gateway IP 1.2.3.4)
Assign an interface to wg# (enable, lock, no IP config)
Restart Wireguard service (or you will get an error when trying to create the gateway)
Create gateway on the newly created interface (IP 1.2.3.4, check "far gateway", optionally enable monitoring (I'm using cloudflare's 1.1.1.1))
Create a NAT rule on the Mullvad interface for your LAN network
Create a firewall rule for your LAN interface directing (selected) traffic to the Mullvad gateway (or the group in my case)
All done!
Die verbindung zu azire steht wie es aussieht:
Wireguard list configuration:
interface: wg0
public key: xxxxxxxxxxxxxxxxxxxxx=
private key: (hidden)
listening port: 51820
peer: vxxxxxxxxxxx=
endpoint: xx.1xx.9x.x6:51820
allowed ips: 0.0.0.0/24, 1.2.3.4/32
latest handshake: 1 minute, 12 seconds ago
transfer: 1012 B received, 3.25 KiB sent
persistent keepalive: every 30 seconds
Aber mein Client kann keinen host auflösen:
pi@garage-rpi:~ $ curl ifconfig.me
curl: (6) Could not resolve host: ifconfig.me
ich hab folgende Regeln angelegt:
Firewall: Rules: azire
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * * * * * * *
Firewall: Rules: WireGuard
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * * * * * * *
Firewall: Rules: LAN
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * azire * * * aziregw *
Firewall: Rules: WAN
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 TCP/UDP * * WAN address 51820 * *
Nat outbound manual rules
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
azire any * * * xx.0.xx.xx9/32 * NO
hier noch das Gate way:
ystem: Gateways: Single
Name Interface Protocol Priority Gateway Monitor IP RTT RTTd Loss Status Description
WAN_DHCP (active) WAN IPv4 250 (upstream) xx.x0.x0.138 ~ ~ ~ Online Interface WAN_DHCP Gateway
aziregw azire IPv4 253 1.2.3.4 ~ ~ ~ Online aziregw
Wo liegt der Fehler?
ich sag schon mal danke für jede Antwort
gruss
-
Kannst du Screenshots machen? Die Codeblöcke sind nicht einfach zu lesen.
Und bitte auch ping auf ne IP machen um die DNS Auflösung auszuschließen.
-
gateway
(https://i.ibb.co/n3nj6xf/1.png) (https://ibb.co/Q8CMpyn)
Lan regel: alias azire ist ein lan client
(https://i.ibb.co/5r2JLtf/2.png) (https://ibb.co/Mc9J7W3)
(https://i.ibb.co/9q28KWr/4.png) (https://ibb.co/Yt8RnhL)
(https://i.ibb.co/HNWHh0z/4.png) (https://ibb.co/DGxRrNC)
(https://i.ibb.co/VSZfTx4/5.png) (https://ibb.co/pz8YdQF)
bitte sehr
(https://i.ibb.co/DL89pdC/6.png) (https://ibb.co/cxC6LqF)
(https://i.ibb.co/KVxgmKY/7.png) (https://ibb.co/kq2TMmp)
(https://i.ibb.co/HYWz8tj/8.png) (https://ibb.co/GkK2SWq)
-
Danke, das sieht gut aus.
Kannst du mal einen tcpdump auf wg0 in der CLI machen und dann einen Ping auf 1.1.1.1 oder 8.8.8.8?
Was ist der Inhalt von Alias Azire?
-
pi@garage-rpi:~ $ ping -c 3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 66ms
pi@garage-rpi:~ $ ping -c 3 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
--- 1.1.1.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 64ms
root@OPNsense:~ # tcpdump -i wg0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type NULL (BSD loopback), capture size 262144 bytes
14:24:35.860658 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 1, length 64
14:24:36.863109 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 2, length 64
14:24:37.926910 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 3, length 64
14:24:54.901726 IP 10.0.12.229 > one.one.one.one: ICMP echo request, id 36711, seq 1, length 64
14:24:55.904635 IP 10.0.12.229 > one.one.one.one: ICMP echo request, id 36711, seq 2, length 64
14:24:56.967066 IP 10.0.12.229 > one.one.one.one: ICMP echo request, id 36711, seq 3, length 64
Azire Alias sind 2 lokale ips aus dem Lan
(https://i.ibb.co/HCdvsYG/9.png) (https://ibb.co/zFJcYbP)
-
Ist 10.0.12.229 die IP von wg0, bzw. von Azire zugewiesen?
-
ja da ist die tunnel Adresse
(https://i.ibb.co/jzPyXGB/11.png) (https://ibb.co/ypc6j5G)
Last login: Thu Feb 6 16:46:11 2020 from 10.10.0.6
pi@garage-rpi:~ $ curl ifconfig.me
curl: (6) Could not resolve host: ifconfig.me
root@OPNsense:~ # tcpdump -i wg0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type NULL (BSD loopback), capture size 262144 bytes
16:48:56.992207 IP 10.0.12.229.3719 > OPNsense.localdomain.domain: 53600+ A? ifconfig.me. (29)
16:48:56.992227 IP 10.0.12.229.3719 > OPNsense.localdomain.domain: 55648+ AAAA? ifconfig.me. (29)
16:49:01.998301 IP 10.0.12.229.3719 > OPNsense.localdomain.domain: 53600+ A? ifconfig.me. (29)
16:49:01.998322 IP 10.0.12.229.3719 > OPNsense.localdomain.domain: 55648+ AAAA? ifconfig.me. (29)
16:49:07.003438 IP 10.0.12.229.45258 > OPNsense.localdomain.domain: 41308+ A? ifconfig.me.localdomain. (41)
16:49:07.003572 IP 10.0.12.229.45258 > OPNsense.localdomain.domain: 43100+ AAAA? ifconfig.me.localdomain. (41)
16:49:12.006884 IP 10.0.12.229.45258 > OPNsense.localdomain.domain: 41308+ A? ifconfig.me.localdomain. (41)
16:49:12.006908 IP 10.0.12.229.45258 > OPNsense.localdomain.domain: 43100+ AAAA? ifconfig.me.localdomain. (41)
-
Ich hab die überschrift geändert, um nicht schon wieder einen neuen Beitrag zu eröffnen.
zu Wiregate was sagt diese Ausgabe aus?
root@OPNsense:~ # tcpdump -i wg0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type NULL (BSD loopback), capture size 262144 bytes
14:24:35.860658 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 1, length 64
14:24:36.863109 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 2, length 64
14:24:37.926910 IP 10.0.12.229 > dns.google: ICMP echo request, id 24154, seq 3, length 64
High Availability Carp NAT: Outbound
Ich habe meine Sense mit 20.1 neu installiert und möchte es Hochverfügbarkeit machen, damit ich Server Wartungen nicht Nachts machen muss.
Ich bin nach dieser Anleitug HA eingerichtet:
https://devopstales.github.io/linux/opnsense-ha/ (https://devopstales.github.io/linux/opnsense-ha/)
zwischen frage:
die Synchronisation Funktioniert,aber wird automatisch synchronisiert oder muss man das immer manuell machen?
Bis zum Aktivieren des dhcp Server auf der Virtuellen IP klappt alles, dann hab ich keine ausgehenden Verbindungen mehr, bzw Internet geht nicht mehr.
So sieht die Konfiguration aus:
(https://i.ibb.co/RjPphZX/10.png) (https://ibb.co/KK7jNRt)
(https://i.ibb.co/23VL0FQ/3.png) (https://ibb.co/CKCXpwZ)
(https://i.ibb.co/zrKjCG1/2.png) (https://ibb.co/NswQfZX)
(https://i.ibb.co/ZH6ZfSF/1.png) (https://ibb.co/7gJ9SQZ)
(https://i.ibb.co/strQp8C/7.png) (https://ibb.co/wY1CZ57)
(https://i.ibb.co/g6z30H4/6.png) (https://ibb.co/b7zP4qb)
(https://i.ibb.co/zh2TG5j/9.png) (https://ibb.co/8DxL6BT)
(https://i.ibb.co/8s17QKD/8.png) (https://ibb.co/wg5z20N)
So wie ich die outbound Nat erstelle bricht die Verbindung ab,ohne der Regegeht es auch nicht.
(https://i.ibb.co/P9NLdHZ/5.png) (https://ibb.co/9VND759)
(https://i.ibb.co/QHwVv9b/4.png) (https://ibb.co/GMSDQ7x)
dhcp:
master:
DNS servers 10.10.10.1
Gateway 10.10.10.1
Failover peer IP: 10.10.10.252
backup:
DNS servers 10.10.10.1
Gateway 10.10.10.1
Failover peer IP: 10.10.10.251
Was mache ich Falsch?
-
vermutlich liegt es daran das Backup LAN immer als master angezeigt wird:
master:
(https://i.ibb.co/C2Z4rMt/11.png) (https://ibb.co/BNxv1rP)
(https://i.ibb.co/ZLfD4xW/16.png) (https://ibb.co/ngwJdjz)
(https://i.ibb.co/SVVbbC3/13.png) (https://ibb.co/j33mmXr)
Backup:
(https://i.ibb.co/pZPXrVd/12.png) (https://ibb.co/jG54Z0D)
(https://i.ibb.co/SX4Cs67/15.png) (https://ibb.co/HDf8FKp)
(https://i.ibb.co/H7JLzDN/14.png) (https://ibb.co/1ZSYqfs)
Was kann man dagegen machen?
An der Wan Schnittstelle funktioniert es
der Master läuft auf VMware ESXI , Backup auf VMware Workstation
gruss
-
WireGuard unterstützt kein CARP, das hast du am Anfang des Threads nicht erwähnt, hätte ich dir dann gleich gesagt ;)
-
Ich hab Carp jetzt deaktiviert und nur noch sync aktive, die Backupfirewall läuft aber nur wenn ich den Server stoppen will.
Meine Opnsense ist frisch aufgesetzt:
Versions OPNsense 20.1.1-amd64
FreeBSD 11.2-RELEASE-p16-HBSD
OpenSSL 1.1.1d 10 Sep 2019
Keine Blocklisten aktive und kein anderes VPN eingerichtet.
Habe die selben Einstellungen wie oben, aber wenn ich meinen Rechner über das azire Gateway leite habe ich kein Internet.
dns ist von opendns
außerdem habe ich NAT, meine Firewall liegt hinter dem Internet Router.
woran kann das liegen?
gruss
-
Bitte auch die unit2 stoppen
-
HA bzw sync ist deaktiviert
Unit2 ist offline
Das sagt wireguard:
interface: wg0
public key: Xj/os+k4kICpoAAo2hs2uQe4ENzpPqiqC0RmiJWj2T0=
private key: (hidden)
listening port: 51820
peer: T28Qn5VFzT4wiwEPd7DscwcP3Rsmq23QcnjH1N5G/wc=
endpoint: 45.15.16.60:51820
allowed ips: 0.0.0.0/0, 1.2.3.4/32
latest handshake: 5 seconds ago
transfer: 92 B received, 852 B sent
persistent keepalive: every 30 seconds
powershell tracert über das normale Gateway
PS C:\Windows\system32> tracert -h 16 -w 50 google.at
Routenverfolgung zu google.at [172.217.20.3]
über maximal 16 Hops:
1 <1 ms <1 ms <1 ms OPNsense20.local [10.10.10.251]
2 1 ms 1 ms 1 ms 10.0.0.138
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 15 ms 17 ms * 74.125.242.241
8 18 ms 16 ms * 216.239.35.251
9 17 ms 18 ms * bud02s28-in-f3.1e100.net [172.217.20.3]
10 15 ms * 16 ms bud02s28-in-f3.1e100.net [172.217.20.3]
Ablaufverfolgung beendet.
powershell tracert über das azire Gateway
PS C:\Windows\system32> tracert -h 16 -w 50 google.at
Routenverfolgung zu google.at [172.217.20.3]
über maximal 16 Hops:
1 <1 ms 1 ms <1 ms OPNsense20.local [10.10.10.251]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * * * Zeitüberschreitung der Anforderung.
16 * * * Zeitüberschreitung der Anforderung.
Ablaufverfolgung beendet.
müsste der 2te hop nicht auch über 10.0.0.138(mein router) gehen?
-
Ne, tracert geht immer auf den nächsten Hop und die müssten dann alle in den Netzen matchen. Schau halt Mal im tcpdump ob die Pakete raus und rein gehen.
-
habe ich hier nur ausgehede pakete?
die 10.0.22.202 ist nicht meine definierte ip
root@OPNsense20:~ # tcpdump -i wg0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type NULL (BSD loopback), capture size 262144 bytes
23:17:04.961752 IP 10.0.22.202.informatik-lm > OPNsense20.local.domain: 17891+ A? www.cardsharingserver.com. (43)
23:17:05.125283 IP 10.0.22.202.20478 > OPNsense20.local.domain: 64580+ A? mail.google.com. (33)
23:17:05.535217 IP 10.0.22.202.21438 > bud02s27-in-f14.1e100.net.https: Flags [S], seq 2664773759, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:05.786469 IP 10.0.22.202.18544 > bud02s27-in-f14.1e100.net.https: Flags [S], seq 3364294460, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:06.255313 IP 10.0.22.202.10220 > OPNsense20.local.domain: 23342+ A? fcmconnection.googleapis.com. (46)
23:17:06.553430 IP 10.0.22.202.16993 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 1507807799, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:06.891465 IP 10.0.22.202.24162 > OPNsense20.local.domain: 3663+ A? www.msftconnecttest.com. (41)
23:17:07.017198 IP 10.0.22.202.24162 > OPNsense20.local.domain: 3663+ A? www.msftconnecttest.com. (41)
23:17:07.699626 IP 10.0.22.202.50214 > OPNsense20.local.domain: 30762+ A? dns.msftncsi.com. (34)
23:17:07.826376 IP 10.0.22.202.50214 > OPNsense20.local.domain: 30762+ A? dns.msftncsi.com. (34)
23:17:08.017708 IP 10.0.22.202.24162 > OPNsense20.local.domain: 3663+ A? www.msftconnecttest.com. (41)
23:17:08.827438 IP 10.0.22.202.50214 > OPNsense20.local.domain: 30762+ A? dns.msftncsi.com. (34)
23:17:10.018169 IP 10.0.22.202.24162 > OPNsense20.local.domain: 3663+ A? www.msftconnecttest.com. (41)
23:17:10.826113 IP 10.0.22.202.50214 > OPNsense20.local.domain: 30762+ A? dns.msftncsi.com. (34)
23:17:12.553687 IP 10.0.22.202.17823 > ed-wgcrowd-vip-1.fe.core.pw.http: Flags [S], seq 3816410640, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:13.534635 IP 10.0.22.202.21438 > bud02s27-in-f14.1e100.net.https: Flags [S], seq 2664773759, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:13.555603 IP 10.0.22.202.17823 > ed-wgcrowd-vip-1.fe.core.pw.http: Flags [S], seq 3816410640, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:13.786954 IP 10.0.22.202.18544 > bud02s27-in-f14.1e100.net.https: Flags [S], seq 3364294460, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:14.018439 IP 10.0.22.202.24162 > OPNsense20.local.domain: 3663+ A? www.msftconnecttest.com. (41)
23:17:14.384426 IP 10.0.22.202.12095 > OPNsense20.local.domain: 25667+ A? client-s.gateway.messenger.live.com. (53)
23:17:14.510191 IP 10.0.22.202.12095 > OPNsense20.local.domain: 25667+ A? client-s.gateway.messenger.live.com. (53)
23:17:14.826299 IP 10.0.22.202.50214 > OPNsense20.local.domain: 30762+ A? dns.msftncsi.com. (34)
23:17:15.510407 IP 10.0.22.202.12095 > OPNsense20.local.domain: 25667+ A? client-s.gateway.messenger.live.com. (53)
23:17:15.651003 IP 10.0.22.202.17823 > ed-wgcrowd-vip-1.fe.core.pw.http: Flags [S], seq 3816410640, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:17.510968 IP 10.0.22.202.12095 > OPNsense20.local.domain: 25667+ A? client-s.gateway.messenger.live.com. (53)
23:17:18.828962 IP 10.0.22.202.36965 > OPNsense20.local.domain: 30616+ A? dns.msftncsi.com. (34)
23:17:18.954081 IP 10.0.22.202.36965 > OPNsense20.local.domain: 30616+ A? dns.msftncsi.com. (34)
23:17:18.979944 IP 10.0.22.202.60509 > OPNsense20.local.domain: 22287+ A? client.wns.windows.com. (40)
23:17:19.000532 IP 10.0.22.202.63259 > OPNsense20.local.domain: 63885+ A? forum.radxa.com. (33)
23:17:19.104706 IP 10.0.22.202.60509 > OPNsense20.local.domain: 22287+ A? client.wns.windows.com. (40)
23:17:19.125642 IP 10.0.22.202.63259 > OPNsense20.local.domain: 63885+ A? forum.radxa.com. (33)
23:17:19.651207 IP 10.0.22.202.17823 > ed-wgcrowd-vip-1.fe.core.pw.http: Flags [S], seq 3816410640, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:19.954441 IP 10.0.22.202.36965 > OPNsense20.local.domain: 30616+ A? dns.msftncsi.com. (34)
23:17:20.104980 IP 10.0.22.202.60509 > OPNsense20.local.domain: 22287+ A? client.wns.windows.com. (40)
23:17:20.125951 IP 10.0.22.202.63259 > OPNsense20.local.domain: 63885+ A? forum.radxa.com. (33)
23:17:20.997030 IP 10.0.22.202.34314 > OPNsense20.local.domain: 62143+ A? ssl.gstatic.com. (33)
23:17:21.122281 IP 10.0.22.202.34314 > OPNsense20.local.domain: 62143+ A? ssl.gstatic.com. (33)
23:17:21.511238 IP 10.0.22.202.12095 > OPNsense20.local.domain: 25667+ A? client-s.gateway.messenger.live.com. (53)
23:17:21.957826 IP 10.0.22.202.36965 > OPNsense20.local.domain: 30616+ A? dns.msftncsi.com. (34)
23:17:22.105626 IP 10.0.22.202.60509 > OPNsense20.local.domain: 22287+ A? client.wns.windows.com. (40)
23:17:22.122655 IP 10.0.22.202.34314 > OPNsense20.local.domain: 62143+ A? ssl.gstatic.com. (33)
23:17:22.126542 IP 10.0.22.202.63259 > OPNsense20.local.domain: 63885+ A? forum.radxa.com. (33)
23:17:22.453627 IP 10.0.22.202.15776 > OPNsense20.local.domain: 25613+ A? clients1.google.com. (37)
23:17:22.578346 IP 10.0.22.202.15776 > OPNsense20.local.domain: 25613+ A? clients1.google.com. (37)
23:17:22.945946 IP 10.0.22.202.7675 > OPNsense20.local.domain: 13646+ A? www.amazon.de. (31)
23:17:22.947118 IP 10.0.22.202.36064 > OPNsense20.local.domain: 32432+ A? fls-eu.amazon.com. (35)
23:17:23.071002 IP 10.0.22.202.7675 > OPNsense20.local.domain: 13646+ A? www.amazon.de. (31)
23:17:23.072026 IP 10.0.22.202.36064 > OPNsense20.local.domain: 32432+ A? fls-eu.amazon.com. (35)
23:17:23.578679 IP 10.0.22.202.15776 > OPNsense20.local.domain: 25613+ A? clients1.google.com. (37)
23:17:23.741706 IP 10.0.22.202.31831 > 40.69.221.239.https: Flags [S], seq 2549385547, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:24.071302 IP 10.0.22.202.7675 > OPNsense20.local.domain: 13646+ A? www.amazon.de. (31)
23:17:24.072330 IP 10.0.22.202.36064 > OPNsense20.local.domain: 32432+ A? fls-eu.amazon.com. (35)
23:17:24.123208 IP 10.0.22.202.34314 > OPNsense20.local.domain: 62143+ A? ssl.gstatic.com. (33)
23:17:24.756457 IP 10.0.22.202.31831 > 40.69.221.239.https: Flags [S], seq 2549385547, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:25.579396 IP 10.0.22.202.15776 > OPNsense20.local.domain: 25613+ A? clients1.google.com. (37)
23:17:25.955249 IP 10.0.22.202.36965 > OPNsense20.local.domain: 30616+ A? dns.msftncsi.com. (34)
23:17:26.071968 IP 10.0.22.202.7675 > OPNsense20.local.domain: 13646+ A? www.amazon.de. (31)
23:17:26.072925 IP 10.0.22.202.36064 > OPNsense20.local.domain: 32432+ A? fls-eu.amazon.com. (35)
23:17:26.105883 IP 10.0.22.202.60509 > OPNsense20.local.domain: 22287+ A? client.wns.windows.com. (40)
23:17:26.126820 IP 10.0.22.202.63259 > OPNsense20.local.domain: 63885+ A? forum.radxa.com. (33)
23:17:26.950031 IP 10.0.22.202.31831 > 40.69.221.239.https: Flags [S], seq 2549385547, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:27.760457 IP 10.0.22.202.17823 > ed-wgcrowd-vip-1.fe.core.pw.http: Flags [S], seq 3816410640, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:28.123390 IP 10.0.22.202.34314 > OPNsense20.local.domain: 62143+ A? ssl.gstatic.com. (33)
23:17:29.579535 IP 10.0.22.202.15776 > OPNsense20.local.domain: 25613+ A? clients1.google.com. (37)
23:17:30.072148 IP 10.0.22.202.7675 > OPNsense20.local.domain: 13646+ A? www.amazon.de. (31)
23:17:30.073189 IP 10.0.22.202.36064 > OPNsense20.local.domain: 32432+ A? fls-eu.amazon.com. (35)
23:17:31.049788 IP 10.0.22.202.31831 > 40.69.221.239.https: Flags [S], seq 2549385547, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:33.464307 IP 10.0.22.202.35031 > OPNsense20.local.domain: 58104+ A? i.alicdn.com. (30)
23:17:33.589757 IP 10.0.22.202.35031 > OPNsense20.local.domain: 58104+ A? i.alicdn.com. (30)
23:17:33.851352 IP 10.0.22.202.40737 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 136107952, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:34.590060 IP 10.0.22.202.35031 > OPNsense20.local.domain: 58104+ A? i.alicdn.com. (30)
23:17:34.987954 IP 10.0.22.202.40737 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 136107952, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:36.590674 IP 10.0.22.202.35031 > OPNsense20.local.domain: 58104+ A? i.alicdn.com. (30)
23:17:36.988664 IP 10.0.22.202.40737 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 136107952, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:39.054023 IP 10.0.22.202.31831 > 40.69.221.239.https: Flags [S], seq 2549385547, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:40.590993 IP 10.0.22.202.35031 > OPNsense20.local.domain: 58104+ A? i.alicdn.com. (30)
23:17:40.988815 IP 10.0.22.202.40737 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 136107952, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:40.998012 IP 10.0.22.202.45190 > OPNsense20.local.domain: 57187+ A? www.google.com. (32)
23:17:41.123432 IP 10.0.22.202.45190 > OPNsense20.local.domain: 57187+ A? www.google.com. (32)
23:17:42.123868 IP 10.0.22.202.45190 > OPNsense20.local.domain: 57187+ A? www.google.com. (32)
23:17:43.000808 IP 10.0.22.202.46928 > OPNsense20.local.domain: 30626+ A? beacons.gvt2.com. (34)
23:17:43.012800 IP 10.0.22.202.27531 > OPNsense20.local.domain: 15663+ A? www.gstatic.com. (33)
23:17:43.126092 IP 10.0.22.202.46928 > OPNsense20.local.domain: 30626+ A? beacons.gvt2.com. (34)
23:17:43.138029 IP 10.0.22.202.27531 > OPNsense20.local.domain: 15663+ A? www.gstatic.com. (33)
23:17:44.124422 IP 10.0.22.202.45190 > OPNsense20.local.domain: 57187+ A? www.google.com. (32)
23:17:44.126377 IP 10.0.22.202.46928 > OPNsense20.local.domain: 30626+ A? beacons.gvt2.com. (34)
23:17:44.138317 IP 10.0.22.202.27531 > OPNsense20.local.domain: 15663+ A? www.gstatic.com. (33)
23:17:44.273358 IP 10.0.22.202.4899 > OPNsense20.local.domain: 66+ A? clients4.google.com. (37)
23:17:44.398657 IP 10.0.22.202.4899 > OPNsense20.local.domain: 66+ A? clients4.google.com. (37)
23:17:45.398985 IP 10.0.22.202.4899 > OPNsense20.local.domain: 66+ A? clients4.google.com. (37)
23:17:46.126928 IP 10.0.22.202.46928 > OPNsense20.local.domain: 30626+ A? beacons.gvt2.com. (34)
23:17:46.139403 IP 10.0.22.202.27531 > OPNsense20.local.domain: 15663+ A? www.gstatic.com. (33)
23:17:46.972270 IP 10.0.22.202.17633 > OPNsense20.local.domain: 42871+ A? login.live.com. (32)
23:17:47.097386 IP 10.0.22.202.17633 > OPNsense20.local.domain: 42871+ A? login.live.com. (32)
23:17:47.399628 IP 10.0.22.202.4899 > OPNsense20.local.domain: 66+ A? clients4.google.com. (37)
23:17:48.097788 IP 10.0.22.202.17633 > OPNsense20.local.domain: 42871+ A? login.live.com. (32)
23:17:48.124729 IP 10.0.22.202.45190 > OPNsense20.local.domain: 57187+ A? www.google.com. (32)
23:17:49.089050 IP 10.0.22.202.40737 > ed-wgcrowd-vip-2.fe.core.pw.http: Flags [S], seq 136107952, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:17:49.997540 IP 10.0.22.202.23556 > OPNsense20.local.domain: 14568+ A? forum.radxa.com. (33)
23:17:50.007272 IP 10.0.22.202.31174 > OPNsense20.local.domain: 56964+ A? play.google.com. (33)
23:17:50.098387 IP 10.0.22.202.17633 > OPNsense20.local.domain: 42871+ A? login.live.com. (32)
23:17:50.122347 IP 10.0.22.202.23556 > OPNsense20.local.domain: 14568+ A? forum.radxa.com. (33)
23:17:50.127240 IP 10.0.22.202.46928 > OPNsense20.local.domain: 30626+ A? beacons.gvt2.com. (34)
23:17:50.132306 IP 10.0.22.202.31174 > OPNsense20.local.domain: 56964+ A? play.google.com. (33)
23:17:50.140661 IP 10.0.22.202.27531 > OPNsense20.local.domain: 15663+ A? www.gstatic.com. (33)
23:17:51.122623 IP 10.0.22.202.23556 > OPNsense20.local.domain: 14568+ A? forum.radxa.com. (33)
23:17:51.132592 IP 10.0.22.202.31174 > OPNsense20.local.domain: 56964+ A? play.google.com. (33)
23:17:51.399860 IP 10.0.22.202.4899 > OPNsense20.local.domain: 66+ A? clients4.google.com. (37)
23:17:53.123295 IP 10.0.22.202.23556 > OPNsense20.local.domain: 14568+ A? forum.radxa.com. (33)
23:17:53.133215 IP 10.0.22.202.31174 > OPNsense20.local.domain: 56964+ A? play.google.com. (33)
23:17:54.098596 IP 10.0.22.202.17633 > OPNsense20.local.domain: 42871+ A? login.live.com. (32)
^C
111 packets captured
111 packets received by filter
-
Und woher kommt die IP? Vom LAN?
-
das is seltsam
die ip gehört zu einer config die ich gestern runtergeladen habe.
ich hatte die Config für Stockholm und Gothenburg ( 10.0.22.202) heruntergeladen.
aber nur Stockholm in wiregaurd Plugin definiert.
aber die ip von Gothenburg unter loacal eingetragen, ich hatte den fehler irgendwann bemerkt und geändert.
tcdump ging aber nach 10.0.22.202
Dann hatte ich die Config nochmal neu runtergeladen und hatte eine neue ip(10.10.17.205), diese hab ich auch eingetragen.
aber tctump geht immer noch nach 10.0.22.202
heute habe ich Amsterdam (10.0.8.27) eingestellt und die fw neu gestartet, doch tctup geht nach 10.0.22.202
liegt das am plugin?
hier noch frische screens:
(https://i.ibb.co/pQGNgLT/22.png) (https://ibb.co/ypGKDQC)
(https://i.ibb.co/PFD6180/23.png) (https://ibb.co/Jm3srPg)
(https://i.ibb.co/CbGBZnp/26.png) (https://ibb.co/X7RXgzf)
(https://i.ibb.co/nmXTQm1/25.png) (https://ibb.co/3dxwSdF)
es ist seltsam das der public key von "list configuration" nicht zu den handshakes bzw zu der config passt
wie kann das sein?
-
Screenshot outbound Nat
-
Ich hatte vergessen die Outbound zu ändern, da war noch die 10.0.22.202 eingestellt.
hab das geändert, dann ging google und orf.at aber sonst nichts.
Dann habe ich die wiregaurd config gelöscht und eine neue von aziere heruntergeladen.
Die neue config eingestellt, am Dashboard wireguard neugestartet und dann ist mir die sense abgestürzt.
Nach dem neustarte ist sie dann wieder abgestürzt wenn ich die Web gui gestartet habe.
BZW wenn ich den Fehlerberichts enden wollte, er sist vermutlich nicht rausgegeangen.
Das zurückspielen der config hat nichts geholfen.
Ich hab die Backup sense gestartet und die Main gelöscht bzw neu aufgesetzt.
Das ist vermutich der Fahe:
PHP Errors:
[16-Feb-2020 09:06:27 Europe/Vienna] PHP Warning: A non-numeric value encountered in /usr/local/sbin/carp_service_status on line 51
Den Fehler Bericht kann man hier Runterladen
https://drive.google.com/file/d/1Gtp6_N3y45r2zUS0YkraTuCGW3s1jrlU/view?usp=sharing (https://drive.google.com/file/d/1Gtp6_N3y45r2zUS0YkraTuCGW3s1jrlU/view?usp=sharing)
Sieht nach Carp aus, obwohl ich die Virtuellen ips gelöscht habe.
Morgen teste ich nochmal auf meiner Test Installation
gruss
-
das Plugin dürfte ein Fehler haben.
ich hab heute auf meinen Testsystem VmWare Workstation eie neu Opnsense20.1 aufgesetzt und die config von meiner Opnsense geladen und angepasst.
Beim einrichten von Wiregate ist sie mir mehrfach abgestürzt
Diesen Fehler hab jetzt ich schon öfters gesehen:
[17-Feb-2020 20:09:12 Etc/UTC] PHP Warning: implode(): Invalid arguments passed in /usr/local/www/system_general.php on line 154
Dann habe ich nochmal eine neue Opnsense 20.1 aufgesetzt und neu konfiguriert.
nur VmWaretools und wireguard installiert.
Immer mit dem Selben Ergebnis, das der lan client keine Internet Verbindung hat.
Dei zuletzt auf gesetzte Opnsense stürzt auch regelmäßig ab, bzw startet neu.
Fehler Protokoll von heute:
https://drive.google.com/file/d/1tNicd6L2RSMb0HVG7grtbC99m_Eg0qt9/view?usp=sharing (https://drive.google.com/file/d/1tNicd6L2RSMb0HVG7grtbC99m_Eg0qt9/view?usp=sharing)
und Gestern:
https://drive.google.com/file/d/1BDB2nVVhTmDzuwq088xINTw9AULnH5vM/view?usp=sharing (https://drive.google.com/file/d/1BDB2nVVhTmDzuwq088xINTw9AULnH5vM/view?usp=sharing)
Hier Screens vom letzte Setup.
(https://i.ibb.co/GQfKhgQ/1.png) (https://ibb.co/r2KCWn2)
die 10.30.0.0 ist nirgends definiert
(https://i.ibb.co/Xzhs92B/12.png) (https://ibb.co/4j6Tcmy)
(https://i.ibb.co/2jNLryR/10.png) (https://ibb.co/jLRxYTq)
(https://i.ibb.co/C98QHkQ/9.png) (https://ibb.co/PWjg67g)
(https://i.ibb.co/X5wXyFN/8.png) (https://ibb.co/3FJ1fSG)
(https://i.ibb.co/60fjgGr/7.png) (https://ibb.co/9HCQsBc)
(https://i.ibb.co/n830vRy/6.png) (https://ibb.co/LhQPWvy)
(https://i.ibb.co/xDQ0yLm/5.png) (https://ibb.co/hyvjk9X)
(https://i.ibb.co/cxMPxbR/4.png) (https://ibb.co/vDgbDsf)
(https://i.ibb.co/d79w23L/3.png) (https://ibb.co/HXvfzMx)
(https://i.ibb.co/8mxrN67/2.png) (https://ibb.co/nw176zL)
-
8443 und 53 auf die lokale Firewall darf nicht an WG.
Dann hast du eine Gateway rule und davor keinen Accept für lokale Dienste?
-
Das ist das config vom Testsystem, da hab ich außer Wireguard nichts anderes eingerichtet.
im Produktionen System wird nur einzelne Clients umgeleitet, da hatte ich aber rauch alles umgeleitet.
meinst du das so?
(https://i.ibb.co/HBL3kNS/15.png) (https://ibb.co/DzPTSGJ)
muss ich dns unter den Einstellung auch definieren für azire?
-
Sieht gut aus. Kannst Gateway auch leer lassen bei den ersten beiden. Es ist bisschen schwierig zu debuggen wenn das eine vom live das andere vom Test ist.
-
Zwischendurch mal Danke für deine Hilfe
Ich habe auf das Testsystem gewechselt weil das life System wegen Wireguard abgestürzt ist.
Irgendetwas ist noch Falsch, ich hab keien verbindung über azire
Setup ist noch wie oben.
outbound:
(https://i.ibb.co/yd9sFhb/16.png) (https://ibb.co/mbjz5vM)
wiregaurd
(https://i.ibb.co/fXFds6k/17.png) (https://ibb.co/tHKp9jq)
der client ip:
(https://i.ibb.co/Lh4HkF7/18.png) (https://ibb.co/3YtQr3Z)
aber tcpdump zeigt mir wieder eine ip die ich nicht kenne
root@OPNsense:~ # tcpdump -i wg0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type NULL (BSD loopback), capture size 262144 bytes
15:58:26.201416 IP 10.30.0.0.14914 > orf.at.https: Flags [S], seq 3510994493, win 64240, options [mss 1460,sackOK,TS val 2020593705 ecr 0,nop,wscale 7], length 0
15:58:26.324694 IP 10.30.0.0.39040 > orf.at.https: Flags [S], seq 3275679596, win 64240, options [mss 1460,sackOK,TS val 2020593828 ecr 0,nop,wscale 7], length 0
15:58:26.324720 IP 10.30.0.0.10657 > orf.at.https: Flags [S], seq 4252743597, win 64240, options [mss 1460,sackOK,TS val 1448440486 ecr 0,nop,wscale 7], length 0
15:58:26.330713 IP 10.30.0.0.54483 > orf.at.https: Flags [S], seq 131295733, win 64240, options [mss 1460,sackOK,TS val 2020593834 ecr 0,nop,wscale 7], length 0
15:58:26.581464 IP 10.30.0.0.33573 > orf.at.https: Flags [S], seq 2770616258, win 64240, options [mss 1460,sackOK,TS val 2020594085 ecr 0,nop,wscale 7], length 0
15:58:27.206578 IP 10.30.0.0.14914 > orf.at.https: Flags [S], seq 3510994493, win 64240, options [mss 1460,sackOK,TS val 2020594711 ecr 0,nop,wscale 7], length 0
15:58:27.334426 IP 10.30.0.0.54483 > orf.at.https: Flags [S], seq 131295733, win 64240, options [mss 1460,sackOK,TS val 2020594839 ecr 0,nop,wscale 7], length 0
15:58:27.334456 IP 10.30.0.0.10657 > orf.at.https: Flags [S], seq 4252743597, win 64240, options [mss 1460,sackOK,TS val 1448441497 ecr 0,nop,wscale 7], length 0
15:58:27.334465 IP 10.30.0.0.39040 > orf.at.https: Flags [S], seq 3275679596, win 64240, options [mss 1460,sackOK,TS val 2020594839 ecr 0,nop,wscale 7], length 0
15:58:27.590196 IP 10.30.0.0.33573 > orf.at.https: Flags [S], seq 2770616258, win 64240, options [mss 1460,sackOK,TS val 2020595095 ecr 0,nop,wscale 7], length 0
15:58:29.220380 IP 10.30.0.0.14914 > orf.at.https: Flags [S], seq 3510994493, win 64240, options [mss 1460,sackOK,TS val 2020596727 ecr 0,nop,wscale 7], length 0
15:58:29.348285 IP 10.30.0.0.39040 > orf.at.https: Flags [S], seq 3275679596, win 64240, options [mss 1460,sackOK,TS val 2020596855 ecr 0,nop,wscale 7], length 0
15:58:29.348316 IP 10.30.0.0.10657 > orf.at.https: Flags [S], seq 4252743597, win 64240, options [mss 1460,sackOK,TS val 1448443513 ecr 0,nop,wscale 7], length 0
15:58:29.348324 IP 10.30.0.0.54483 > orf.at.https: Flags [S], seq 131295733, win 64240, options [mss 1460,sackOK,TS val 2020596855 ecr 0,nop,wscale 7], length 0
15:58:29.595409 IP 10.30.0.0.52478 > 37.157.4.23.https: Flags [S], seq 2277790558, win 64240, options [mss 1460,sackOK,TS val 4136528967 ecr 0,nop,wscale 7], length 0
15:58:29.604019 IP 10.30.0.0.33573 > orf.at.https: Flags [S], seq 2770616258, win 64240, options [mss 1460,sackOK,TS val 2020597111 ecr 0,nop,wscale 7], length 0
15:58:29.847053 IP 10.30.0.0.9783 > 37.157.4.23.https: Flags [S], seq 2968896375, win 64240, options [mss 1460,sackOK,TS val 4136529219 ecr 0,nop,wscale 7], length 0
15:58:30.594979 IP 10.30.0.0.52478 > 37.157.4.23.https: Flags [S], seq 2277790558, win 64240, options [mss 1460,sackOK,TS val 4136529968 ecr 0,nop,wscale 7], length 0
15:58:30.850673 IP 10.30.0.0.9783 > 37.157.4.23.https: Flags [S], seq 2968896375, win 64240, options [mss 1460,sackOK,TS val 4136530224 ecr 0,nop,wscale 7], length 0
15:58:32.608794 IP 10.30.0.0.52478 > 37.157.4.23.https: Flags [S], seq 2277790558, win 64240, options [mss 1460,sackOK,TS val 4136531984 ecr 0,nop,wscale 7], length 0
15:58:32.864498 IP 10.30.0.0.9783 > 37.157.4.23.https: Flags [S], seq 2968896375, win 64240, options [mss 1460,sackOK,TS val 4136532239 ecr 0,nop,wscale 7], length 0
15:58:33.439924 IP 10.30.0.0.54483 > orf.at.https: Flags [S], seq 131295733, win 64240, options [mss 1460,sackOK,TS val 2020600950 ecr 0,nop,wscale 7], length 0
15:58:33.439961 IP 10.30.0.0.10657 > orf.at.https: Flags [S], seq 4252743597, win 64240, options [mss 1460,sackOK,TS val 1448447609 ecr 0,nop,wscale 7], length 0
15:58:33.439971 IP 10.30.0.0.39040 > orf.at.https: Flags [S], seq 3275679596, win 64240, options [mss 1460,sackOK,TS val 2020600951 ecr 0,nop,wscale 7], length 0
15:58:33.439980 IP 10.30.0.0.14914 > orf.at.https: Flags [S], seq 3510994493, win 64240, options [mss 1460,sackOK,TS val 2020600951 ecr 0,nop,wscale 7], length 0
15:58:33.695654 IP 10.30.0.0.33573 > orf.at.https: Flags [S], seq 2770616258, win 64240, options [mss 1460,sackOK,TS val 2020601206 ecr 0,nop,wscale 7], length 0
15:58:34.843655 IP 10.30.0.0.14271 > 37.157.4.41.https: Flags [S], seq 249924049, win 64240, options [mss 1460,sackOK,TS val 1322556622 ecr 0,nop,wscale 7], length 0
15:58:35.874271 IP 10.30.0.0.14271 > 37.157.4.41.https: Flags [S], seq 249924049, win 64240, options [mss 1460,sackOK,TS val 1322557653 ecr 0,nop,wscale 7], length 0
15:58:36.765279 IP 10.30.0.0.52478 > 37.157.4.23.https: Flags [S], seq 2277790558, win 64240, options [mss 1460,sackOK,TS val 4136536144 ecr 0,nop,wscale 7], length 0
15:58:37.883342 IP 10.30.0.0.14271 > 37.157.4.41.https: Flags [S], seq 249924049, win 64240, options [mss 1460,sackOK,TS val 1322559664 ecr 0,nop,wscale 7], length 0
^C
30 packets captured
30 packets received by filter
0 packets dropped by kernel
-
Sollte bei NAT address nicht /32 rein?? Sonst nattet er doch auf einen Pool auf dem Bereich ..
-
das war es ,
Am Testsystem funktioniert es jetzt
vielen dank
-
Phew .. hat sich doch gelohnt 8)