Hallo,
wie im Thomas Krenn-Wiki beschrieben, habe ich Wireguard installaiert und konfiguriert:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Der PublicKey des Client wurde bei Endpoints in PublicKey eingetragen.
Der PublicKey aus der Local Configuration steht im Client unter Peer
Weitere Einträge beim Client unter Peer
AllowedIps = 10.11.0.0/24, 172.16.0.0/24
Endpoint = meine ip:4445
unter Interface
Private Key
Adress = 10.11.0.20/32
Verwendet wird der Wireguard-Client. Vor OPNsense ist eine Fritzbox und OPNsense hat die IP 192.168.178.2. Auf der Fritzbox ist OPNsense vollständig freigeben, Exposed Host.
Ich habe die Konfiguration mehrfach überprüft.
Leider bekomme ich keine Verbindung ins Netz, was könnte das Problem sein?
Freundliche Grüße
Jens Falk
Bekommst Du irgendeine Fehlermeldung?
Ein gern gemachter Fehler ist, das Vergessen den Peer in der Local Config in der OPNsense zu aktivieren:
VPN: WireGuard
auf Local
den Eintrag editieren
bei Peers nachschauen, ob der Peer auch aktiviert ist.
Oder bedeutet Verbindung ins Netz, dass die WireGuard Verbindung aufgebaut wird, dann aber kein Verkehr läuft? Dann ist es was mit den Firewall Regeln. Falls Du per WireGuard allen Traffic ins Internet schieben willst, musst Du eine Outbound NAT Regel anlegen: WAN Interface, Source is das WG Netz
Danke für die Antwort
Peer(s) wurde richtig ausgewählt und ist aktiv.
Ich gehe davon aus, dass keine Verbindung hergestellt wird, weil:
List Configuration zeigt nur:
interface: wg0
public key: xxx
private key: (hidden)
listening port: 4445
peer: xxx
allowed ips: 10.11.0.20/32
Auf dem WAN Interface ist Port 4445 aber freigegeben?
IPv4 UDP * * WAN address Port_WireGuard 4445 * *
Und der Client kann dort wo er ist auch auf Port 4445 raustelefonieren?
Genauso ist es!
Beim Client ist die FW aus (windows 10) und ich habe es mit zwei Notebooks getestet.
Screenshots von local instance und endpoint bitte :)
Sehr gern.
Sofern die Keys passen siehts gut aus.
Am Endpoint selbst machst du dann 0.0.0.0/0 als allowed IPs?
Nein, im Windows-Client ist
AllowedIPs = 10.11.0.0./24, 172.16.0.0/24 konfiguriert.
erreicht soll der Server 172.16.0.25. OPNsense hat selbst 172.16.0.1.
WireGuard Firewall ist auf accept? Siehst du die Pakete eingehend auf dem WG Interface ankommend?
Ja, erlauben: IPv4 * 10.11.0.0/24 * * * * * ermöglicht Wireguard Verkehr
Wo bzw. prüfe ich ob Pakete ankommen? Der windows-Client sagt 0 Traffic.
List Configuration zeigt nur:
interface: wg0
public key: xxx
private key: (hidden)
listening port: 4445
peer: xxx
allowed ips: 10.11.0.20/32
weder lates handshake, noch transfer
Auf dem WAN Interface die Regel, die den WireGuard Verkehr erlauben soll mit Logging ausstatten. Dann solltest Du im Live View die Pakete sehen.
Vielen Dank an Euch!
Das Problem war, dass man auf der Fritzbox nicht nur Exposed Host aktivieren muss, sondern weiterhin "selbständige Portfreigaben ... erlauben" und dann muss man noch die Portfreigabe einstellen.
Dann habe ich das hier wohl falsch verstanden:
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/016/hilfe_exposed_host
Hallo,
deine Lösung mit den zusätzlichen Freigaben in der Fritzbox hat mir geholfen. Ich hatte das gleiche Problem. Es muss aber an der kombination Fritzbox-Opnsense liegen. Ich hatte vorher openWRT an der Fritzbox, nur als exposed Host, und damit keine Probleme.
Was solls, jetzt läuft es. Danke.