OPNsense Forum

International Forums => German - Deutsch => Topic started by: Stephan1984 on March 27, 2021, 12:07:48 PM

Title: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 12:07:48 PM
Moin Moin,

nachdem nun eine Woche rum ist und ich immer noch vor meinem Problem stehe (leider haben keine Foreneinträge/Guides geholfen), frag ich nun verzweifelt in die Runde.

Problem/IST-Zustand:

* Die OPNsense ist direkt hinter einem VDSL2-Modem von Zyxel und dahinter sind 1 FritzBox & 1 FritzRepeater,
   jeweils als AccessPoint (natürlich auch mit WLAN)

* Internet & Festnetztelefone (Telekom) funktionieren tadellos

* Eine WireGuard Instanz zu meinem VPN-Anbieter TorGuard ist nach dieser Anleitung eingestellt
   https://forum.opnsense.org/index.php?topic=21205.0

   & funktioniert nach dieser auch angewendet auf einen einzelnen Client (RasPi), der im LAN   
   (OPNsense->FritzBox->RasPi) 192.168.1.0/24 hängt

Mein Problem:

Ich erreiche den auf dem RasPi (und natürlich bei dem TorGuard/VPN-Anbieter geöffneten Port) meinen WebServer nicht.
Meine Logs werde ich später noch hinzuposten, aber es scheint so, dass der RasPi nicht in den Tunnel nach Außen erreichbar ist.

Wäre stark wenn ihr mir weiterhelfen könnt.
Ich geh stark davon aus, dass es lediglich eine Firewall-Regel ist, die hier fehlt.

Danke schon mal für Lösungsansätze oder vielleicht sogar die ganze Kuh...
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: lfirewall1243 on March 27, 2021, 12:31:24 PM
Mach Mal bitte einen grafischen Netzwerkplan.
Ich verstehe noch nicht ganz von wo nach wo der Raspi nicht erreichbar ist.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: chemlud on March 27, 2021, 01:36:49 PM
Wenn WireGuard auf dem Raspi läuft und der Tunnel steht, braucht die OPNsense eigentlich keine weiteren Regeln auf dem LAN, denn sie sieht den Traffic nicht, der als reply vom Raspi in den Tunnel geht (die Antwort geht direkt auf dem Raspi in das WG Interface).

Kannst du denn von dem Raspi durch den WG-Tunnel das www erreichen?
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 03:36:25 PM
Das ging fix mit dem Feedback, hätte ich nicht gedacht.  :)

Jetzt bin ich wieder vor Ort und kann mich voll drauf konzentrieren.
Hier nun auch ein "Netzwerkplan" (nicht schön, aber selten).

Der Raspi bekommt den VPN-Tunnel von der OPNsense zugewiesen und erzeugt ihn nicht selbst.

PS:

Zum Testen habe ich meinen Laptop auch in der Alias unter Firewall eingetragen, wodurch der natürlich auch mit im Tunnel nach Außen kommuniziert.
Das musste ich nun umstellen, da ich gemerkt habe, dass ich das Bild des "Netzwerkplans" nicht hochladen konnte...
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 03:45:03 PM
Hier eine Aufnahme der Liveansicht der Protokolldateien.

Es handelt sich beim Raspi tatsächlich um den Port 35953
und die IPs die zugreifen wollen sind externe Clients.
Die 10.13.128.89 ist die TorGuardInterfaceAdresse
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 03:50:38 PM
Die detaillierte Regelinformation betitelt die Standard Deny Regel
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Tigerl on March 27, 2021, 04:11:52 PM
Ich bin mir nicht sicher, aber ich glaube gelesen zu haben, daß die fritzbox kann nur wlanaccess kann.
Das heißt der Pi kann nur über wlan, wenn Du wlanaccess betreibst.
Besser wäre firewall zu switch, switch kabel fritzbox als wlanaccess, switch pi, oder pi wlan.
https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html (https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html)

Ps.: Nimm mal die fritzbox zwischen raus
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: chemlud on March 27, 2021, 04:17:55 PM
Also du machst WG von der OPNsense. Das ist ja schon mal neu... ;-)

Welche FW-Regeln hast du auf dem WireGuard Tab in der OPNsense?

Ich würde auch mal mit einem verkabelten Client direkt an der OPNsense probieren, da fällt der Fritz-AP als Fehlerquelle weg...
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 04:19:46 PM
Hallo Tigerl,

das hatte ich auch schon probiert und den Raspi direkt unten an den unmanaged Switch vor der OPNsense gehängt. Das Ergebnis bleibt das Gleiche.
Die FritzBox macht halt das WLAN im Wohnzimmer und ich hab u.a. den Raspi an einem der LANports angeschlossen.

OPNsense->unmanaged Switch->Fritzbox->Raspi (alles über Kabel verbunden)

PS: Wo finde ich denn im OPNsense die Default Deny Rule?
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: chemlud on March 27, 2021, 04:22:24 PM
Quote from: Stephan1984 on March 27, 2021, 04:19:46 PM

PS: Wo finde ich denn im OPNsense die Default Deny Rule?

Gar nicht. Das bedeutet, dass es keine Regel gibt, die diesen Traffic erlaubt, daher wird er geblockt.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Tigerl on March 27, 2021, 05:15:33 PM
Die Lanports der Fritzbox sollten nicht mehr gehen.
Lan1 ist jetzt Wan Eingang - der Rest geht nur über Wlan.
Das hilft aber jetzt nicht bei VPN.

Hab's aber nicht ausprobiert.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 05:42:09 PM
Hallo chemlud,

habe nun zusammen mit einem Kollegen die Regeln definiert und sie werden auch nicht mehr von der Firewall blockiert. Leider geht es ( auch nach einem Neustart der OPNsense) nicht, dass ich den Server auf dem Pi erreiche.

Zusätzlich wurde Wireshark angeschmissen, ergab aber leider kein Ergebnis, da er weder über WLAN, noch direkt über LAN (an der FritzBox angeschlossen) überhaupt den Traffic vom RasPi anzeigt. Lediglich die Kommunikation zum Laptop wurde ersichtlich.

Wie müsste denn, bzw. wo müsste denn eine Firewall-Regel eingesetzt werden, um von Lokal (dem RasPi) über den VPN-Tunnel nach Außen kommunizieren zu dürfen?

Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 05:44:07 PM
@Tigerl:

bei der 7590 kann man den WAN-Eingang benutzen und hat somit im IP-Client Modus alle normalen LAN-Anschlüsse zur Verfügung.
Bin gerade selbst noch über LAN an der FritzBox dran, währendessen mein Handy über deren WLAN ins Internet geht.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 05:52:51 PM
TESTUPLOAD
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Tigerl on March 27, 2021, 06:07:12 PM
Ich habe auch die 7590.
Meine Aufteilung ist:
7590 Modem Telefon Wlan Lan Internet als Sicherheit
Lan 4 als Exposed Host opnsense als firewall - 16port switch - fritzaccesspoint 2400 per Kabel an den switch.
Der Exposed Host gibt mir die möglichkeit die firewall der fritzbox zu umgehen.
Ich habe also 2 Netzwerke. Das Fritzboxnetzwerk dient mir zur Sicherheit falls bein Rumspielen was schief geht.
Server Docker usw. laufen über nginx proxy manager.

Ps.: Hab dies hier noch gefunden.
https://forum.opnsense.org/index.php?topic=9348.0
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: chemlud on March 27, 2021, 06:10:59 PM
Gibt es einen erfolgreichen Handshake für WG?

Welche Regeln sind auf dem WG-Interface?
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 27, 2021, 09:20:01 PM
Guten Abend,

ein Handshake findet statt und unter Local ist das Routen abgewählt.
Die Adresse wurde unter erweitert auf die 10.0.1.1 gelegt, mit dieser dann (natürlich erst ein Interface und dann) ein Gateway angelegt.
Es ist eigentlich alles (bis auf die Routenadresse von 10.0.1.1) alles wie in dem verlinkten Tutorial aus meinem ersten Post aufgebaut.
Mit dieser Anleitung funktioniert auch die Selektion des RasPi in den Tunnel, währendessen die restlichen Clienten im Netzwerk über meine öffentliche IP ins Inet gehen.
Gibt es eine andere Alternative zu der oben benannten Anleitung?

Link  https://forum.opnsense.org/index.php?topic=21205.0

Nicht das da schon der Wurm drinne ist... obwohl es sinnig nachvollziehbar ist mit dem RFC1918 für Privatnetze.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: micneu on March 28, 2021, 08:53:43 PM
im notfall auch mal googlen. ich habe damals mein wireguard über ein beitrag von thomas krenn konfiguriert.
Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: Stephan1984 on March 28, 2021, 09:50:52 PM
Guten Abend,

das Tutorial von Thomas hatte ich auch schon gelesen und bin es erneut durchgegangen.
Jetzt kommt mir eine vielleicht doofe Frage auf, aber...

muss ich den WireGuard-Port im WAN auch freigeben, bzw. den Port forwarden für ausgehende Verbindungen über den Tunnel, wenn ich mich eigentlich nur als Client an meinen VPN-Anbieter dranhänge?

Das hab ich derweil auch mal probiert, komme aber nicht über die VPN-Verbindung auf meinen WebServer auf dem Pi, trotz funktionierender Portfreigabe (getestet als StandaloneVariante auf dem Pi selbst) drauf.

Title: Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
Post by: micneu on March 29, 2021, 05:17:34 AM
ich habe leider in deinem text noch nicht lesen können was genau dein ziel ist?



Gesendet von iPad mit Tapatalk Pro