OPNsense Forum

Hallo zusammen,

habe zwei Telekom-DSL-Anschlüsse, beide 100/40Mbit, beide mit bridged Modems die laut Sync-Statistik stabile Leitungen haben und auch keine merkbaren Internetverbindungsprobleme (PPPoE-Reconnects oder ähnliches).

Beide Sites haben OPNsense als Router. Site 1 läuft virtuell in einer VMware-Umgebung, Site 2 bare metal auf einer PC Engines APU. Beide sites sind auf der aktuellen OPNsense-Version mit Wireguard 1.7-Plugin. Da ich den Tunnel erst seit ein paar Tagen installiert hab, kann ich nicht sagen ob es mit früheren Versionen besser lief.

Grundstäzlich funktioniert meine Wireguard Site2Site-Konfig, das heißt ich kann von beiden Sites Hosts auf der jeweils anderen Site erreichen. Irgendwann geht dann aber nix mehr durch den Tunnel und ich muss Wireguard disablen und wieder enablen, damit wieder was durch läuft.

Läuft Wireguard bei euch stabil? Habt ihr Ansätze, wie ich das debuggen kann?

Viele Grüße und danke für eure Hilfe.

Keepalives Intervall in Endpoints auf 5 stellen

Ich habe auch einen 100/40 Anschuß beim Gilb mit einem Vigor 166 als Modem. Kein WG, sondern openVPN. Aber ich habe auch mehrfach am Tag den Eindruck, dass unterhalb einer neuen IP-Vergabe die Verbindung kurz zurückgesetzt wird.

Hallo,

mit OpenVPN hatte ich bei einem Setup auch alle paar Tage bzw. Wochen ärger. Nach der Umstellung auf Wireguard mit einem Keepalive von 25 läuft es seit Monaten stabil. Daher würde ich diesen Vorschlag zunächst mal probieren: Keepalive auf einen Wert unter 60 stellen, ggf. etwas probieren.

Gruß

Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?

Quote from: Layer8 on June 24, 2021, 08:25:29 PM
Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?

Weiß dein Client denn welche Netze alle über das Wireguard sollen?
Wahrscheinlich musst du noch 0.0.0.0 als Remote Netzwerk hinterlegen, damit auch alles darüber geroutet wird.

Ja, der Client müsste alles über den WG-Tunnel schicken, weil 0.0.0.0/0 als Zielnetz hinterlegt ist.

Meine Konfig sieht so aus.

Und so aufm Client.

Okay dann aktivere Mal das logging auf der OPNsense.

Kommt da im Liveview was während du einen Ping versuchst ?

Das ganze sieht dann so aus wie im Anhang. Ich hab vom Handy aus 1.1.1.1 und 10.1.1.101 gepingt - und eigentlich auch 10.1.1.233 (was die LAN-IP von der Sense ist), was aber nicht auftaucht.

Pong kam bei allen außer 1.1.1.1.

Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Quote from: Layer8 on June 25, 2021, 08:12:30 PM
Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ein INterface kann man schon immer assignen .. wie kommst du darauf?

Quote from: Layer8 on June 25, 2021, 08:12:30 PM
Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ginge immer schon.
Das habe ich mich schon immer gefragt.

Stimmt, hab mich geirrt und den Changelog-Eintrag bei v1.7 falsch in Erinnerung gehabt.

Die Frage dahinter und mein Problem bleiben. :-/

Ja, Changelog war für mich auch unklar. Da mein WG Setup eh funktioniert, habe ich dem wenig Aufmerksamkeit geschenkt, aber immerhin tät mich interessieren was mit 1.7 anders ist. Lt. Changelog sollte der zusätzliche Interface nicht notwendig sein. Ist aber...?

Ich hab noch keine Anleitung zu einem Road-Warrior-Setup mit Wireguard und opnsense gesehen, in dem ein Interface assigned werden musste.

Das Ding ist aber auch, dass diese ganzen Anleitungen mit Wireguard-Versionen um 1.0 gemacht wurden und somit vielleicht schon nicht mehr funktionieren.

Nutzt denn irgend jemand Wireguard im Road-Warriors-Setup mit aktuellen Versionen und kann berichten, dass es geht?

Ich hab hier auch noch eine Anleitung gefunden, die sogar noch ein Outbound-NAT einrichtet: 

https://homenetworkguy.com/how-to/configure-wireguard-opnsense/

Das ist die Anleitung die ich genommen habe und benutze eben Internet-Zugriff, also route alles über die Sense.
Wobei aktuell, funktioniert mein WG Setup nicht und ich weiß nicht warum.

Ich hab mein Problem gelöst. Folgende zwei Einstellungen hab ich noch vorgenommen:


1. Ich musste wg0 als Interface assignen und das Interface aktivieren. Die Vergabe einer IP war nicht notwendig, enablen hat gereicht.
-> Das ist beim Site2Site-Setup nicht erforderlich, aber scheinbar beim Roardwarrior-Setup. Steht aber blöderweise auch nicht in der Thomas Krenn-Anleitung.


2. Außerdem musste ich unter VPN -> Wireguard -> Local unter dem entsprechenden Servereintrag die Tunneladresse von a.b.c.d/32 auf a.b.c.d/24 ändern.
-> Bei Site2Site-Setup scheint /32 auszureichen, weil wohl jede Seite einen Tunnel zur anderen Seite aufbaut. Tatsächlich wird beim Road-Warrior-Setup das Netz nicht nur auf eine Adresse begrenzt, sondern man muss den gewünschten Netzbereich angeben.


Anmerkungen:

Es gibt unter Firewall -> Rules nun zwei Interfaces. Eines namens "Wireguard", was ja per default immer da ist. Außerdem noch das Interface, welches ich manuell assigned und aktiviert habe.
Eine Firewallregel (allos IPv4 * * * * * *) habe ich aktuell nur für das "Wireguard"-default Interface angelegt. Für das selbst angelegte Interface hab ich keine Regel hinterlegt und ich komme trotzdem vom Android-Device ins Internet.

Frage zu Anmerkung 1: Fungiert der "Wireguard"-default Eintrag unter Firewall -> Rules hier als globales Regelset für alle Wireguard-Instanzen? Ähnlich wie Floating für alle, nur dass "Wireguard" einfach nur Wireguard-Instanzen/Traffic übergeordnet ist? Oder was hat es mit diesem Interface auf sich?



Noch ne Anmerkung:

Es ist nicht notwendig, auf dem Android-Device im Interface einen DNS-Server, einen Eingangsport oder eine MTU zu definieren.

Der Wireguard-Client macht das automatisch (zumindest auf Android). Sobald ich meine OPNsense-IP als DNS-Server hinterlegt habe, konnte ich keine Namen auf dem Android Device mehr auflösen. Einen öffentlichen DNS-Server konnte ich über Unbound nicht testen, weil:

Ich habe auf meinem WAN-Interface allen ausgehenden Traffic mit Zielport 53 geblockt. Damit verhindere ich, dass irgend eine unverschlüsselte DNS-Anfrage über meine Internetverbindung ins Internet geht. Ich nutze dafür DNS over TLS, somit ist sichergestellt, dass meine DNS-Anfragen stets verschlüsselt sind. Umgesetzt habe ich das über Unbound DNS.


Und die letzte Anmerkung:

Es ist bei mir nicht notwendig gewesen, Outbound-Nat zu konfigurieren, so wie es in der oben verlinkten englischen Anleitung von homenetworkguy.com beschrieben steht. Ich habe zwar Outbound-NAT im hybrid-Modus aktiviert, aber das nur um auf das Webinterface meiner DSL-Modems zu kommen. Ich hab keine extra Regel für irgend ein Wireguard-Interface oder Netz erstellt.

Merkwürdigerweise wird in der Roadwarrior-Anleitung in den OPNsense Dokus auch von Outbound-Nat gesprochen: https://docs.opnsense.org/manual/how-tos/wireguard-client.html


Wieso funktioniert das bei mir dann ohne Outbound NAT ? Leider wird da nicht erklärt, wieso man Outbound-NAT konfigurieren soll.

Kosta: Was geht an deinem Wireguard-Setup denn nicht?

Funkt mittlerweile, hab's heute gerichtet. Waren paar Fehler drin... DNS unter anderem auch, aber nachdem ich so verstanden habe, dass man das Interface nicht mehr benötigt, habe ich es entfernt, und dann ziemlich alles zusammengehaut.
Nun wieder erstellt, Rules drin, NAT, alle WG Einstellungen geprüft, Firewall Reboot und jetzt geht alles wieder wie  gewohnt.

Eine Sache nervt mich allerdings:
Eine Seite (derstandard.at) will über VPN nicht aufgehen.
Sensei ist es nicht, IPS/IDS auch nicht, Firewall blockt auch nix. Geht bis zur Hälfte und das war's.
Ist aber eine der Zeitungen die ich oft lese...

Ja, DNS schreibt die resolv.conf um, das macht nur Ärger

QuoteWieso funktioniert das bei mir dann ohne Outbound NAT ? Leider wird da nicht erklärt, wieso man Outbound-NAT konfigurieren soll.

Was hast du in deiner App unter Allowed IP (bzw zulässige IPs) stehen?