OPNsense Forum
International Forums => German - Deutsch => Topic started by: 0zzy on March 08, 2024, 04:28:25 pm
-
Eventuell kann mir ja jemand von euch helfen.
Ich wollte Wireguard auch mal probieren mit der Sense.
Hier der englische Thread dazu https://forum.opnsense.org/index.php?topic=39323.0
Mein Netzwerk:
WAN / Internet
:
: Cable ISP Vodafone
:
.-----+-----.
| Gateway | (CableModem,FritzBox 6660 in Bridge Mode)
'-----+-----'
|
WAN (DHCPv4/v6 from ISP)
|
.-----+------. WG0
| OPNsense| +----------------+----------------+
'-----+------' 10.10.10.1/24. |
| WG0 Client
LAN | 192.168.11.0/24 10.10.10.3/30
|
.-----+------. vlan20 192.168.12.0/24
| LAN-Switch |+-------------------------------------+
'-----+------' Wifi Network (Fritzbox 7590 as AP)
|
...-----+------... (Clients/Servers)
Die Wireguard Settings:
Interface:
Name: wg0 (wie das Interface)
Address: 10.10.10.3/32
ListenPort: 54168
DNS servers: 10.10.10.1
PEER:
Public Key und Preshared Key über die shell mit wg genpsk, umask 077 && wg genkey > wg-private-client.key und wg pubkey < wg-private-client.key > wg-public-client.key
Endpoint: (DynDns):51820
Allowed IPs: (zum testen) 0.0.0.0/0, ::/0
Ich habe mich explizit an das Road Warrior Setup gehalten.
Jedoch bekomme ich kein Handshake geschweige denn eine Verbindung mit dem Peer hin.
Habe ich etwas vergessen oder muss noch was machen?
Wie habt ihr das eingerichtet oder schaut das für euch gut aus?
Beste Grüße
0zzy
-
Port ist auf Wan offen?
Firewall Regeln für Datenverkehr sind in der Wireguard Group gesetzt?
-
Ja Port ist offen:
Protocol Source Port Destination Port GW Sched Description
IPv4+6UDP * * WAN address 51820 * * Allow external access to the Wireguard VPN Server
-
IPv4+6 TCP/UDP WG0 net * WireGuard (Group) net 53 (DNS) * * Allow access to the LAN DNS server
IPv4+6 * * * * * * * Wireguard Test
Jupp wie gesagt hab mich ans Road Warrior Setup gehalten, hier wird ja gesagt das ich nicht zwingend ein Interface anlegen müsste, hab es mit beidem aber auch einzeln probiert.
-
Was ist denn bei VPN: WireGuard: Diagnostics zu sehen.
Wird der Verbindungstest auch wirklich von außen gemacht?
-
Dignostics sagt:
Device wg0 up (Interface) / Pubkey / Port 51820 / kein Handshake Send und Receive leer
bei wg0 für den Peer, kein Status, pubkey, mein iPhone, Port/Endpoint meine dedyn.io fqdn:51820, kein Handshake, Send/receive 0
Und klar wird der test von außen durchgeführt, ist mein iPhone im Mobilnetz.
Witzigerweise komme ich über meinen dedicated Wireguardsetup (Server im Netz) auf mein internes Netz via Jumphost in der DMZ, mein Client ist in dem Fall ein Container in Proxmox, welches im DMZ steht und per iptables auf den Jump verweist, somit habe ich zugriff auf meine internen devices.
-
Was ist denn in den peers auf opnsense für den Client eingetragen.
Also welche allowed ips.
Da sollte nur die ip drinnen sein welche der client bekommt.
-
Allowed IPs 0.0.0.0/0, ::/0
-
Das gehört max. auf den Client.
Nicht auf den Peer in opnsense.
Da soll ja dem Client eine Ip zugewiesen werden. Im Transfernetz.
-
Ahn mein Fehler ich meinte den Peer Client.
In der CLient config ist es 10.10.10.3/30.
-
Wirklich /30 ?
-
ja hab gerade mal romprobiert, weil ich in einem thread gelesen hatte das es mit /32 nicht gehen würde habe also beides probiert (insgesamt sind es einige Konstellationen die ich probiert habe, unterschiedliche IP Adressbereiche meist aus dem 10.x/x Bereich aber auch schon mal etwas kuriosere wie 172.x/x u.s.w.).
Ist aber völlig egal was ich nutze ob ich nun ein 32er netz nehme was ein host bedeutet oder eben eine 30 für 2 hosts.
Juckt wireguard auf opnsense nicht die Bohne, während die selbe Konstellation am dedizierten Server im WWW ohne Probleme läuft.
-
Löst der dyn irgendwas wirklich die korrekte ip auf.
-
ja ist vollkommen korrekt.
host xxxxx.dedyn.io
xxxxx.dedyn.io has address 94.x.x.x
xxx.dedyn.io has IPv6 address 2a02:::::X
nslookup das selbe:
Server: 2a02:xxxxx
Address: 2a02:xxxxxxx#53
Non-authoritative answer:
Name: xxxxxx.dedyn.io
Address: 94.x.x.x
Bin selbst etwas sprachlos, sitze an dem problem jetzt seit einer Woche und raff es nicht.
Dabei ist so eine wireguard Konfiguration nun wirklich ein Selbstläufer.
Normalerweise auf jedem *nix System:
nano /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <site-1 private-key>
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
[Peer]
PublicKey = <site-2 public-key>
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25
--> site 2 (client)
## create wg0.conf
[Interface]
PrivateKey = <site-2 private-key>
Address = 10.0.0.3/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <site-1 public-key>
Endpoint = <FQDN>:51820
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25
Mit den Settings nur eben anderen IP Adressbereichen setze ich das überall auf.
Nur die Sense streikt, Firewallregeln habe ich aus dem Road Warrior Setup entnommen welche in der OPNSense Doku zu finden ist.
-
Läuft ipv6 bei dir korrekt und ist eingerichtet?
Ich würde jetzt mal ganz von vorne beginnen. Bock drauf?
-
ein test sagt ja:
https://ipv6test.google.com
Yes, looks like you’re using IPv6 already.
Welcome to the future of the Internet!
-
Klar gerne, bin für jeden rat dankbar. ich glaube aber ohne das wir telen oder so wird das schwierig, hab nämlich nicht alles Standard auf der sense.
-
Das ist dann natürlich schwierig
-
Sagen wir mal so die Sense ist weitestgehend durchkonfiguriert, floating rules, dnscrypt-proxy, tor ,ids/ips, CrowdSec und und und.
Insofern es sich auf das WG Setup konzentriert auch gern hier, falls du damit schmerzen hast zu telen o.ä.
Allerdings finde ich in den FW blocks keinen Eintrag der auf Wireguard hindeutet.
-
sonst machen wir das morgen, eilt nicht bei mir. wäre halt nur geil damit meinen dedicated ab zu lösen da hetzner die preise mal wieder angezogen hat im Bananenstaat.
-
Nun ich könnte Dir eine anydesk Session anbieten. Ohne irgendeine Gewähr.
-
Wenn du magst. Aber morgen. Bin mittlerweile durch. Arbeite ja auch nebenbei 😉
Wenn das für dich okay ist. Ich wäre ab morgen späten Nachmittag wieder am Rechner.
-
Hab es nun. Sehr komisch. Ich gebe den peers immer 32er Adressen hatte nie Probleme. Selbst in der aktuellen FreeBSD Version klappt das aber mit WireGuard unter opnsense muss man einen etwas anderen Weg gehen.
Der Fehler war ich habe gedacht das ich für den Peer und den Client die selbe Adresse benötige.
Peer hat ein /32 und Client ein /24 damit funktioniert es.
Ich sage ja es ist weird!