Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: bforpc on April 09, 2020, 03:36:33 PM

Title: wireguard routing problem
Post by: bforpc on April 09, 2020, 03:36:33 PM
Hallo Group,

meine letzte Hoffnung auf Hilfe, nach Tagelangen versuchen und Recherchen ;-)
Meine Wireguard Site-to-Site Verbindung funktioniert nicht wie gewünscht. Vorgegangen bin ich nach dieser Anleitung: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_Site-to-Site_einrichten
(inkl. Regeln)

Ich habe an 2 Standorten jeweils einen Proxmox mit einer virtuellen opnsense VM.
Die opnsense hat jeweils eine dedizierte NIC für die Verbindung ins WAN und eine fürs Intranet.

Standort A (WireGuard Server)
wan = (öffentliche IP)
lan = 192.168.1.101 / 24

Standort B (WireGuard Client)
wan = 192.168.10.2 ->Fritzbox 192.168.10.1 ->(öffentliche IP) - die Fritzbox reicht alles an die opnsense durch ("exposed Host")
lan = 192.168.2.102 / 24

Die allowed IP's sind jeweils das Netz der Gegenseite plus die Adresse des Tunnels (/32) der Gegenseite.

Die Verbindung kommt zustande. An der Konsole der opnsense (Standort B)  kann ich alle Rechner am Standort A erreichen.
Rechner am Standort B können keinen Rechner am Standort A erreichen.
Niemand vom Standort A kann irgendjemanden am Standort B erreichen.

Ein tcpdump auf der opnsense Konsole am Standort B und A bei einem Ping von einem Rechner am Standort B (192.168.2.1) an einen Rechner am Standort A (192.168.1.1) zeigt:
opnsense B:
Code Select
13:26:42.331828 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 1, length 64
13:26:43.331253 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 2, length 64

Der sendet raus, bekommt aber nichts zurück

opnsense  A:
Code Select
15:26:42.359330 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 1, length 64
15:26:42.359527 IP 192.168.1.1 > 192.168.2.1: ICMP echo reply, id 19012, seq 1, length 64

Hier kommt also etwas an und wird zurück gesendet, jedoch kommt es bei der opnsense B nicht an.


Sende ich einen Ping von der Konsole der opnsense am Standort B, dann sieht der dump an der Konsole des Standortes A so aus:
Code Select

15:37:56.457657 IP 10.10.11.2 > 192.168.1.1: ICMP echo request, id 14660, seq 0, length 64
15:37:56.457704 IP 192.168.1.1 > 10.10.11.2: ICMP echo reply, id 14660, seq 0, length 64

Zu beachten: Hier kommt die PING Anfrage aus der Tunnel Adresse und wird dorthin wieder zurück gesendet.
Das Netz hinter der opnsense sendet aber wie oben zu sehen ist über die LAN Adresse. Das kann ja so nicht gehen.

Wo könnte der Fehler liegen?

Bfo
Title: Re: wireguard routing problem
Post by: stumpjumper on April 10, 2020, 09:05:38 PM
Prüfe doch mal unter Firewall->Log->Live View ob da was geblockt wird.
Title: Re: wireguard routing problem
Post by: bforpc on April 15, 2020, 08:17:16 AM
Nein. Nichts.

Bfo
Title: Re: wireguard routing problem
Post by: stumpjumper on May 28, 2020, 11:25:56 AM
Versuch doch mal auf beiden Seiten bei den allowed IP's die EIGENE Tunnel IP hinzuzufügen
Title: Re: wireguard routing problem
Post by: micneu on May 28, 2020, 02:14:31 PM
Poste doch mal bitte deine WireGuard configure (natürlich ohne public/private keys (bitte als bild)


Gesendet von iPad mit Tapatalk Pro
Text only | Text with Images