Moin,
ich versuche an einem virtualisierten Setup auf Virtualbox Basis erste Erfahrung mit wireguard zu machen.
Ich habe zwei opnsense VMs erstellt:
siteA
WAN 10.0.64.61/24
LAN 10.5.64.1/24
Tunnel Address 10.11.0.1/24
siteB
WAN 10.0.64.63/24
LAN 10.6.64.1/24
Tunnel Address 10.11.0.2/24
Die VMs laufen im promiscuous Mode, für die WAN Schnittstelle.
Ich habe entsprechende Regeln für die WAN Schnitstelle erstellt:
ICMP, HTTPS (um von meinem Rechner aus dem WAN zu konfigurieren), 51820 (für Wireguard).
Außerdem hatte ich auch für einen IPSec Test die entsprechenden Ports freigegeben.
Die wireguard Einstellungen habe ich aus dem Wiki von Thomas Krenn übernommen.
Den lokalen Endpoint, den entferten Endpoint, Port, etc.
Wenn ich von meinem Rechner aus ein nmap -sU 10.0.64.63 -p 51820 bzw. nmap -sU 10.0.64.61 -p 51820 durchführe kann ich auf den beiden FWs sehen, das Verkehr passiert.
Beim Status der wireguard Verbindung wird mir flogendes angezeigt:
interface: wg1
public key: SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
private key: (hidden)
listening port: 51820
peer: V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
preshared key: (hidden)
endpoint: 10.0.64.63:51820
allowed ips: 10.6.64.0/21, 10.11.0.0/24
Handshakes
wg1 V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k= 0
Eingehenden Verkehr auf Port 51820 des jeweiligen WAN Interface habe ich nicht.
Wie debugge ich das jetzt am besten?
Kann ich von einer opnsense zur anderen auch ein nmap machen? Unter den debuggin Tools habe ich nichts gesehen.
Woran erkenn ich, ob eine wireguard Verbindung aufgebaut wurde?
Ach ja, mit IPSec hat die Verbindung recht reibungslos funktioniert, ICMP zwischen den opnsense funktioniert auch,...
Grüße
Gregor
Hmmm, auf den WAN ist "block private networks" disabled? Handshake 0 ist kein Handshake...
Die Screenshots der beiden Configs wären noch interessant, aber bei VMs bin ich im Prinzip raus... ;-)
Moin,
Ja block private networks habe ich draußen.
Ich habe jetzt auf beiden Seiten mittels pkg install nmap nachinstalliert.
Mache ich von den jeweiligen opnsensen ein nmap sehe ich das im live log grün.
Hier mal die aktuellen Einstellungen:
siteA
Local Configuration
Name siteA2SiteB
Instance 1
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Private Key SNgkTgYs6O...
Listen Port 51820
Tunnel Address 10.11.0.1/24
Peers siteB
Endpoint
Name siteB
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Shared Secret XCEoiuHcO...
Allowed IPs 10.6.64.0/21 10.11.0.2/24
Endpoint Address 10.0.64.63
Endpoint Port 51820
siteB
Local Configuration
Name siteB2siteA
Instance 1
Public Key V4VMaIW/fg4QMpYnjz4R1V1LZMhROlj8y2Rh1y/yb3k=
Private Key aIIHiJYf...
Listen Port 51820
Tunnel Address 10.11.0.2/24
Peers siteA
Endpoint
Name siteA
Public Key SwCqJZDeRwjU3zYllqAsg/0pVpJAE4KqyUwtJHUrRnM=
Shared Secret XCEoiuHcO...
Allowed IPs 10.5.64.0/21 10.11.0.1/24
Endpoint Address 10.0.64.61
Endpoint Port 51820
Auf beiden opnsensen habe ich per floating rule auf WAN den port 51820 freigegeben und logge dass. Das kann ich ja auch durch nmap sehen.
Ich habe den Eindruck, ich habe noch nicht mal einen Verbindungsversuch?
Das Handshake 0 bedeutet, keine Verbindung ist gut, habe ich mir natürlich auch schon gedacht.
also ich habe es bei mir am laufen unter proxmox habe 2 test netzwerke (je netzt 1 x opnsense und einen linux client) keine ahnung was du/wie du das am besten unter virtual box laufen lässt (mit virtual box habe ich keine erfahrung)
meine empfehlung ist wirklich 2 virtuelle netze zu machen:
- mein lan ist für die virtuellen netze das wan
- zwei /24 netzbereiche mit einer sense und einem client, so hast du nicht nur die sense als ziel für ping oder was auch immer
- bitte screenshots deiner konfiguration
PS: das sieht für mich nicht richtig aus, und das hast du wirklich so aus dem thomas kren howto?
Allowed IPs 10.6.64.0/21 10.11.0.2/24