Moin Moin,
nachdem nun eine Woche rum ist und ich immer noch vor meinem Problem stehe (leider haben keine Foreneinträge/Guides geholfen), frag ich nun verzweifelt in die Runde.
Problem/IST-Zustand:
* Die OPNsense ist direkt hinter einem VDSL2-Modem von Zyxel und dahinter sind 1 FritzBox & 1 FritzRepeater,
jeweils als AccessPoint (natürlich auch mit WLAN)
* Internet & Festnetztelefone (Telekom) funktionieren tadellos
* Eine WireGuard Instanz zu meinem VPN-Anbieter TorGuard ist nach dieser Anleitung eingestellt
https://forum.opnsense.org/index.php?topic=21205.0
& funktioniert nach dieser auch angewendet auf einen einzelnen Client (RasPi), der im LAN
(OPNsense->FritzBox->RasPi) 192.168.1.0/24 hängt
Mein Problem:
Ich erreiche den auf dem RasPi (und natürlich bei dem TorGuard/VPN-Anbieter geöffneten Port) meinen WebServer nicht.
Meine Logs werde ich später noch hinzuposten, aber es scheint so, dass der RasPi nicht in den Tunnel nach Außen erreichbar ist.
Wäre stark wenn ihr mir weiterhelfen könnt.
Ich geh stark davon aus, dass es lediglich eine Firewall-Regel ist, die hier fehlt.
Danke schon mal für Lösungsansätze oder vielleicht sogar die ganze Kuh...
Mach Mal bitte einen grafischen Netzwerkplan.
Ich verstehe noch nicht ganz von wo nach wo der Raspi nicht erreichbar ist.
Wenn WireGuard auf dem Raspi läuft und der Tunnel steht, braucht die OPNsense eigentlich keine weiteren Regeln auf dem LAN, denn sie sieht den Traffic nicht, der als reply vom Raspi in den Tunnel geht (die Antwort geht direkt auf dem Raspi in das WG Interface).
Kannst du denn von dem Raspi durch den WG-Tunnel das www erreichen?
Das ging fix mit dem Feedback, hätte ich nicht gedacht. :)
Jetzt bin ich wieder vor Ort und kann mich voll drauf konzentrieren.
Hier nun auch ein "Netzwerkplan" (nicht schön, aber selten).
Der Raspi bekommt den VPN-Tunnel von der OPNsense zugewiesen und erzeugt ihn nicht selbst.
PS:
Zum Testen habe ich meinen Laptop auch in der Alias unter Firewall eingetragen, wodurch der natürlich auch mit im Tunnel nach Außen kommuniziert.
Das musste ich nun umstellen, da ich gemerkt habe, dass ich das Bild des "Netzwerkplans" nicht hochladen konnte...
Hier eine Aufnahme der Liveansicht der Protokolldateien.
Es handelt sich beim Raspi tatsächlich um den Port 35953
und die IPs die zugreifen wollen sind externe Clients.
Die 10.13.128.89 ist die TorGuardInterfaceAdresse
Die detaillierte Regelinformation betitelt die Standard Deny Regel
Ich bin mir nicht sicher, aber ich glaube gelesen zu haben, daß die fritzbox kann nur wlanaccess kann.
Das heißt der Pi kann nur über wlan, wenn Du wlanaccess betreibst.
Besser wäre firewall zu switch, switch kabel fritzbox als wlanaccess, switch pi, oder pi wlan.
https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html (https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html)
Ps.: Nimm mal die fritzbox zwischen raus
Also du machst WG von der OPNsense. Das ist ja schon mal neu... ;-)
Welche FW-Regeln hast du auf dem WireGuard Tab in der OPNsense?
Ich würde auch mal mit einem verkabelten Client direkt an der OPNsense probieren, da fällt der Fritz-AP als Fehlerquelle weg...
Hallo Tigerl,
das hatte ich auch schon probiert und den Raspi direkt unten an den unmanaged Switch vor der OPNsense gehängt. Das Ergebnis bleibt das Gleiche.
Die FritzBox macht halt das WLAN im Wohnzimmer und ich hab u.a. den Raspi an einem der LANports angeschlossen.
OPNsense->unmanaged Switch->Fritzbox->Raspi (alles über Kabel verbunden)
PS: Wo finde ich denn im OPNsense die Default Deny Rule?
Quote from: Stephan1984 on March 27, 2021, 04:19:46 PM
PS: Wo finde ich denn im OPNsense die Default Deny Rule?
Gar nicht. Das bedeutet, dass es keine Regel gibt, die diesen Traffic erlaubt, daher wird er geblockt.
Die Lanports der Fritzbox sollten nicht mehr gehen.
Lan1 ist jetzt Wan Eingang - der Rest geht nur über Wlan.
Das hilft aber jetzt nicht bei VPN.
Hab's aber nicht ausprobiert.
Hallo chemlud,
habe nun zusammen mit einem Kollegen die Regeln definiert und sie werden auch nicht mehr von der Firewall blockiert. Leider geht es ( auch nach einem Neustart der OPNsense) nicht, dass ich den Server auf dem Pi erreiche.
Zusätzlich wurde Wireshark angeschmissen, ergab aber leider kein Ergebnis, da er weder über WLAN, noch direkt über LAN (an der FritzBox angeschlossen) überhaupt den Traffic vom RasPi anzeigt. Lediglich die Kommunikation zum Laptop wurde ersichtlich.
Wie müsste denn, bzw. wo müsste denn eine Firewall-Regel eingesetzt werden, um von Lokal (dem RasPi) über den VPN-Tunnel nach Außen kommunizieren zu dürfen?
@Tigerl:
bei der 7590 kann man den WAN-Eingang benutzen und hat somit im IP-Client Modus alle normalen LAN-Anschlüsse zur Verfügung.
Bin gerade selbst noch über LAN an der FritzBox dran, währendessen mein Handy über deren WLAN ins Internet geht.
TESTUPLOAD
Ich habe auch die 7590.
Meine Aufteilung ist:
7590 Modem Telefon Wlan Lan Internet als Sicherheit
Lan 4 als Exposed Host opnsense als firewall - 16port switch - fritzaccesspoint 2400 per Kabel an den switch.
Der Exposed Host gibt mir die möglichkeit die firewall der fritzbox zu umgehen.
Ich habe also 2 Netzwerke. Das Fritzboxnetzwerk dient mir zur Sicherheit falls bein Rumspielen was schief geht.
Server Docker usw. laufen über nginx proxy manager.
Ps.: Hab dies hier noch gefunden.
https://forum.opnsense.org/index.php?topic=9348.0
Gibt es einen erfolgreichen Handshake für WG?
Welche Regeln sind auf dem WG-Interface?
Guten Abend,
ein Handshake findet statt und unter Local ist das Routen abgewählt.
Die Adresse wurde unter erweitert auf die 10.0.1.1 gelegt, mit dieser dann (natürlich erst ein Interface und dann) ein Gateway angelegt.
Es ist eigentlich alles (bis auf die Routenadresse von 10.0.1.1) alles wie in dem verlinkten Tutorial aus meinem ersten Post aufgebaut.
Mit dieser Anleitung funktioniert auch die Selektion des RasPi in den Tunnel, währendessen die restlichen Clienten im Netzwerk über meine öffentliche IP ins Inet gehen.
Gibt es eine andere Alternative zu der oben benannten Anleitung?
Link https://forum.opnsense.org/index.php?topic=21205.0
Nicht das da schon der Wurm drinne ist... obwohl es sinnig nachvollziehbar ist mit dem RFC1918 für Privatnetze.
im notfall auch mal googlen. ich habe damals mein wireguard über ein beitrag von thomas krenn konfiguriert.
Guten Abend,
das Tutorial von Thomas hatte ich auch schon gelesen und bin es erneut durchgegangen.
Jetzt kommt mir eine vielleicht doofe Frage auf, aber...
muss ich den WireGuard-Port im WAN auch freigeben, bzw. den Port forwarden für ausgehende Verbindungen über den Tunnel, wenn ich mich eigentlich nur als Client an meinen VPN-Anbieter dranhänge?
Das hab ich derweil auch mal probiert, komme aber nicht über die VPN-Verbindung auf meinen WebServer auf dem Pi, trotz funktionierender Portfreigabe (getestet als StandaloneVariante auf dem Pi selbst) drauf.
ich habe leider in deinem text noch nicht lesen können was genau dein ziel ist?
Gesendet von iPad mit Tapatalk Pro