OPNsense Forum
International Forums => German - Deutsch => Topic started by: DauerFest on March 18, 2020, 09:18:07 pm
-
Hilfe,
ich habe WireGuard als RoadWarrior / Server - Konfiguration (nach Anleitung Thomas Krenn) bis durch den Tunnel ans Laufen bekommen. Allerdings endet ein Ping vom Client auf das Firmennetz im OpnSense, ich komme nicht ins Firmennetz.
Was habe ich vergessen, hat jemand Ideen oder schaut mal auf meine Konfiguration?
Axel
-
Ist es denn erlaubt? Wie siehst du das der Ping an der Firewall ankommt?
-
Hallo mimugmail,
ich mache vom Client ein Ping auf die lokale Adresse des Routers im Firmennetz. Auch kann ich vom Client über den Tunnel auf das Webinterface von OPNsense zugreifen. Aber Pings auf andere Ziele im Firmennetz sind nicht möglich.
Bei Firewall: Log Files: Live View ist alles grün...
Ping für die WAN-Schnittstelle ist deaktiviert.
Axel
-
Haben die Clients die OPNsense als Standardgateway eingetragen? Erlaubt die Windowsfirewall der internen Clients Pings vom VPN Netz?
-
Die Firewall ist aus.
Der Standardgateway dürfte doch eigentlich kein Rolle spielen, da die Verbindung vom Client uber das OPNsense initiiert wird.
Wir habe bisher zwei LANCOM-Router eingesetzt die beide VPN IPSEC machen und im Firmennetz ist jeweils nur einer als Standardgateway eingetragen. Trotzdem kann über beide Router auf alle Worstations und Server zugegriffen werden.
Aber ich probiere das mit dem Standardgateway mal aus.
Kann man irgendwo einen Trace einschalten mit dem man den Traffic des WireGuard im OPNsense verfolgen kann? Bin noch blutiger OPNsense - Neuling...
Axel
-
Der Client braucht entweder OPN als Gateway oder eine Route vom Tunnelnetz zu OPN
-
Sorry, war ein Verständnisfehler. Du hattest nach dem Standardgateway vom CLIENT/HomeOffice-Warrior gefragt...
In Zahlen:
Firmennetzwerk 172.16.0.0/18
Client 192.168.100.x/24
Tunnel vom OPN 198.51.100.254
Tunnel vom Client 198.51.100.1
IP des OPN im Firmennetzwerk 172.16.0.249
Config des Clients:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXX
Address = 198.51.100.1/32
DNS = 172.16.0.2
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 172.16.0.0/18
Endpoint = XXX.XXX.XXX.XXX:4445
Bei route print gibt es folgende Ausgabe:
172.16.0.0 255.255.192.0 Auf Verbindung 198.51.100.1 5
Ping auf 172.16.0.249 klappt, andere IPs im Netz 172.16.0.x nicht erreichbar
-
Wie mimugmail bereis geschrieben hat, die Clients im Firmennetzwerk benötigen entweder die OPN als GW oder eine Route zu 192.168.100.x/24 über 172.16.0.249 - wenn ich deine Daten richig interpretiert habe.
-
OK, das war es! ;D
Weshalb das bei dem Gespann LANCOM/IPSEC kein Problem ist, wenn das Defaultgateway nicht der Router mit dem VPN-Tunnel ist, weiß ich nicht.
War aber so bequem, weil nicht der ganze Traffic der Firma auch noch über den Router ging, der das VPN abwickelte.
Danke nochmal
Axel
-
Update:
mit dem default gateway ist es etwas komplex, da wir in einer AD-Domäne arbeiten. Also in Kürze:
- lokale IP des OPNservers (172.16.0.249) im Windows Server -> DHCP-Rolle als Router eingetragen
- Da der Domaincontroller/DHCP-Server/DNS-Server eine statische IP hat, eine permanente Route auf das Subnetz des Tunnels eingetragen:
route add 198.51.100.0 MASK 255.255.255.255.0 172.16.0.249 -P
Das ganze könnte man natürlich umgehen, wenn die einzelnen Tunnel auf Adresse im lokalen Netzwerk (198.51.100.X -> 172.16.X.X) im OPN übersetzt werden könnten. Geht das? Ist das evtl. die Endpoint Address?
Außerdem noch ein dickes Problem: Wie kann ich der Verbindung beim HomeOffice Warrior einen DNS-Suffix geben?
Ich bastel aus den Erfahrungen mal ein HowTo, da Coronal bedingt sich z.Zt. viele damit beschäftigen müssen...
Axel
-
wenn du dein howto fertig hast (bitte mit bildern, wo was eingetragen wird). bitte eine info.
-
Jo, immer her damit, ich verlinke es dann auch gern bei mir
https://www.routerperformance.net/opnsense/opnsense-and-wireguard/