OPNsense Forum
International Forums => German - Deutsch => Topic started by: wirehire on May 10, 2019, 10:23:54 pm
-
Hallo,
dank der Hilfe der Community konnte ich mein Wireguard Setup zum laufen bringen. Direkt danach ist es zu einer neuen Idee gekommen wie ich es am besten benutze. Ich bräuchte aber einen Denkanstoß bzw Umsetzungs Idee.
Ich möchte das nur bestimmte Clients über einen bestimmten VPN rausgehen und der Rest über das normale Internet Leitung.
Wenn ich mir die Anleitungen anschaue, soll man dieses per hinzufügen von Gateways lösen und diese dann per Rules anbinden.
Ich habe jetzt schon ein paar Sachen probiert aber es kommt einfach nicht soweit das es nur Ansatzweise klappt.
1. Wireguard disable Routes (damit keine neue default route erstellt wird)
2. ich habe ein neues Gateway mit dem Namen WIREGATEWAY erstellt. Nur Namen vergeben , rest so belassen.
Wie würde ich jetzt dieses Gateway einbinden bzw warum hilft mir das ,weild as Gateway doch keine Adresse besitzt. Muss ich mir das wie ein Alias bzw ein virtuelles Interface vorstellen?
Wenn ich den haken von disable routes heruasnheme , kommt ja die 0.0.0.0/1 wg0 und 128.0.0.0/1 wg0 zu der Routing Tabelle hinzu. Also muss ich jetzt wo die Routen nicht gesetzt werden doch diese dierekt über das WAN interface anbinden?
Ich hoffe das es halbwegs verständlich ist. Am Ende möchte ich das 3 Wireguard VPN laufen die bestimmte interne PCs durchleiten und der Rest die normale Leitung benutzt.
Danke
-
moin, ich habe s mit OpnVPN und einem VPN Provider so gelöst.
Ich habe mal eine PDF Anleitung erstellt.
leider ist sie zu groß für das forum. schreib mich mal per PM an, mit einer email an die ich es senden kann
-
Multi WAN Howto von der offiziellen Doku beschreibt auch wie man mit mehreren Gateways umgeht
-
@micneu habe dir eine pm geschrieben.
@mimugmail Danke dir für den Tipp, hatte ich mir auch schon durchgelesen, hat mir aber nicht das resultat gebracht. Aber mir schon mal aufgezeigt wie ich zb Leitungen für Ausfälle konfiguriere. Danke dir!
schaue mir generell auxh Videos usw zur opnsense an, damit ich einfach dazulerne.
ich werde am Ende für alle eine ordentliche Dokumentation schreiben, wenn ich es zum laufen bekomme.
-
Ich muss mal suchen, hatte mal ne Kurzdoku wie man die Gateways macht.
-
Dank Euch beiden, bin ich schon sehr nah dran und habe einen kleinen Durchbruch.
Ich habe das Gateway einstellen können und habe für die Schnittstelle wg0 einen manuelle Route gesetzt. Dem client habe ich das Gateway der Sense mitgegegeben.
im WAN habe ich die Regel gesetzt das alles vom Client kommt 192.168.178.249 zu dem wg0_Gateway geht.
Wie kann ich jetzt eine route erstellen das auch wg0 0.0.0.0/0 darf ? die Default Route ist ja 0.0.0.0/0
Momentan kann ich vom Client in das Wireguard Netz und hatte einmal eine statische Route für eine ip gesetzt. Da geht er auch durch den Tunnel.
Ich möchte ja das er alles dann durch den Tunnel gibt , was von der Client IP kommt.
-
Firewall Regel, LAN Tab, source LAN destination ANY, accept und Wireguard Gateway.
-
Das sind die Route wenn beim wg interface disable drin ist damit er nicht die default überschreibt:
default 192.168.178.1 UGS em0
localhost link#3 UH lo0
172.16.1.6 link#6 UH wg0
192.168.178.0/24 link#1 U em0
r1 link#1 UHS lo0
Die Regel auf der WAN (habe ja kein LAN) Schnittstelle habe ich dann so gesetzt:
IPv4 * 192.168.178.249 * * * WireCloud_DHCP
Ich muss doch noch eine Route für das wg setzten oder verstehe ich das falsch?
Beim Test hatte ich :
172.16.1.0/28 wg0 US wg0 gesetzt
und mal eine feste ip nach draußen, die gingen dann auch durch den Tunnel.
-
Ping ich vom Client die 172.16.1.1 an kommt der reply:
14:47:02.754293 IP 172.16.1.6 > 172.16.1.1: ICMP echo request, id 59199, seq 21, length 40
14:47:02.779317 IP 172.16.1.1 > 172.16.1.6: ICMP echo reply, id 59199, seq 21, length 40
Ping ich zb 8.8.8.8 an geht er nicht in den Tunnel sondern über das normale Interface:
14:49:50.973632 IP (tos 0x0, ttl 127, id 48911, offset 0, flags [none], proto ICMP (1), length 60)
192.168.178.249 > 8.8.8.8: ICMP echo request, id 1, seq 32, length 40
14:49:50.998196 IP (tos 0x0, ttl 52, id 0, offset 0, flags [none], proto ICMP (1), length 60)
8.8.8.8 > 192.168.178.249: ICMP echo reply, id 1, seq 32, length 40
-
Netstat -nr bitte
-
Internet:
Destination Gateway Flags Netif Expire
default 192.168.178.1 UGS em0
127.0.0.1 link#3 UH lo0
172.16.1.0/28 wg0 US wg0
172.16.1.6 link#6 UH wg0
192.168.178.0/24 link#1 U em0
192.168.178.252 link#1 UHS lo0
Internet6:
Destination Gateway Flags Netif Expire
::1 link#3 UH lo0
fe80::%em0/64 link#1 U em0
fe80::20c:29ff:fec3:7f5d%em0 link#1 UHS lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
-
Habe jetzt mal alles auf Screenshots dokumentiert.
was mir auffält sind die deny Sachen der Firewal.
192.168.178.249:50169 185.33.223.203:443 tcp Default deny rule
Müsste das dann nicht pass und force GW sein?
-
und noch die Firewall Rules:
-
Sollte da nicht noch die Default Route (2 Stück) für wg sein?
-
Die beiden Default Rules setzte r ja nur wenn man den haken bei disable Route nicht setzt. Dann geht aber wieder alles darüber und wenn ein weiterer vpn zugang kommt, geht das Routing nicht.
Deswegen war meine Frage wie ich eine zweite rule auf 0.0.0.0 setzten kann.
es kommt dann ja später noch zb ein wg1 interface dazu, wenn ich jeweils den haken nicht setzte würde dann alles nicht mehr gehen, weil sie dann alle die default rule setzten wollen.
-
Geht nur über Firewall rules, und auch nicht wenn der Ping lokal auf der Firewall ausgeführt wird.
-
@mimugmail
schau mal :),
das ist doch wenn ich es richtig verstehe , genau das was ich machen möchte oder?
https://forum.opnsense.org/index.php?topic=10444.0
Da hattest Du sogar mitgewirkt.
-
Ich glaube damit habe ich es . ist gerade ein erster Test, aber mir fallen gerade keine grauen Haare mehr aus :).
Mein Client PC mit der 249 geht jetzt alles durch den Tunnel und der Rest läuft durch den normalen LAN.
ich teste das gerade mal!
Nachtrag: es funktioniert alles so wie ich es möchte. Mit verfeinern der Rules werde ich mich die Tage beschäftigen.
Ich werde Morgen dazu eine Dokumentation machen, eventuell hilft das anderen.
Grüße und gn8
-
Kannst du mir sagen wo ich die Dokumentation finden kann? Stehe gerade in der gleichen Situation.
-
https://docs.opnsense.org/manual/vpnet.html#other
Und hier eine Linksammlung von mir:
https://www.routerperformance.net/opnsense/opnsense-and-wireguard/