Hallo,
ich habe einen eigenartigen Fehler mit wireguard:
Richte ich einen Endpoint mit erlaubter ipv4-(x.x.x.10) und ipv6-(x:x:x:x::10) ein funktioniert alles.
Richte ich einen zweiten Endpoint mit erlaubter ipv4-ipv4-(x.x.x.11) und ipv6-(x:x:x:x::11) ein, bekommt nur der zweite Endpoint die erlaubten ipv4- und ipv6-Adressbreiche auf dem Server unter List Configuration. Im Anhang die entsprechenden Screenshots.
Ist dieser Fehler bekannt und kann dieser auf anderen Systemen nachvollzogen werden?
Kann ich diesen Fehler umgehen?
Vielen Dank für eure Hilfe!
ich verstehe nicht was du meinst mit "erlaubter" ip?
kannst du mal genauer beschreiben was du meinst
und du bist dir ganz sicher dass die ipv4 unterschiedliche bereiche sind (auf den bildern ist das nicht so zu erkennen)
ist das deine x.x.x.10 tunnel oder deine LAN adresse?
da habe ich aus deinem text nicht erkennen können (bitte mal einen grafischen netzwerkplan, hilft mir zum bessern verständnis)
Ich würde mal raten, das ist ein Konfigurationsfehler.
Du scheinst den Screenshots gemäß für beide Endpoints Netze (/24 für IPv4 und /64 für IPv6) zu verwenden und da möglicherweise die gleichen (ist ja ausgegraut :) )
Auf die "Allowed IP's" wird aber von der OPNSense auf den jeweiligen Peer geroutet und routigtechnisch ist (am Beispiel IPv4 erklärt) das Netz 10.x.y.10/24 das gleiche wie 10.x.y.11/24.
Ich würde den Peers unter "Allowed IP's" /32 und /128 Adressen geben, dann sollte das schon klappen.
Oder aber, falls nötig, abweichende Netze.
Hallo
@micneu und @goodomens42 vielen Dank für eure Antworten.
@godsman das Ändern der Subnetmask ipv4 und des Präfix ipv6 ändert nichts.
Nach Neustart habe ich den gleichen Fehler.
@micneu
Wireguardserver mit
1x ipv4 und 1x ipv6
10.0.0.1/24 2003:x:x:x::1/64
| |
| _________________|
| |__________________
| |
Endpoint 1 |
10.0.0.10/24 und 2003:x:x:x::10/64 |
|
Endpoint2
10.0.0.11/24 und 2003:x:x:x::11/64
Wenn die Konfiguration mit zwei Endpoints eingerichtet ist, der Wireguardserver neu gestartet wird,
bekommt der Endpoint1 im Karteireiter "List Configuration" allowed ips: (none), dort sollte aber stehen
10.0.0.0/24, 2003:x:x:x::/64
Ich hoffe so ist es ersichtlich.
Nehme ich die Konfiguration nur mit ipv4 vor funktioniert es für beide Endpoints.
Gestern hatte ich einen Bericht vom Server gesendet. Dort wurde ein php wireguard api Fehler mit der Adresszuweisung ausgegeben.
Sieht so aus, als wäre es ein Softwarefehler.
Es können nicht beide Endpoints dasselbe /24 oder /64 haben. Wenn die nur eine Adresse daraus nutzen, wovon ich ausgehe, dann darfst Du unter allowed ips auch nur /32 und /128 eintragen.
Hallo
@micneu, @goodomens42 und @pmhausen vielen Dank für eure Antworten.
@goodomens42 und @pmhausen
Ist gelöst, die einzelnen IP-Endadressen für die Endpoints waren
Endpoint1=10.0.0.10/32,2003:x:x:x::10/128 und
Endpoint2=10.0.0.11/32,2003:x:x:x::11/128.
Nachdem ich diese auf
Endpoint1=10.0.0.10/32,2003:x:x:x::10/128 und
Endpoint2=10.0.0.18/32,2003:x:x:x::18/128 geändert habe
und der Hinweis mit den Subnetmask/Präfix =32/128 brachten letztendlich den Erfolg.
Was ich nicht verstehe, dass bei der Subnetmask /32 und Präfix /128 sind jeweils nur eine IP zugelassen, warum es mit den IP-Endadressen 10 und 11 nicht funktioniert?
Danke.