Hallo zusammen,
ich habe hier folgendes Netz:
WAN WAN
: :
: CableProvider : DSL-Provider
: :
.---+---. .--+--.
WAN | Cable | Modems | DSL | WAN2
'---+---' '--+--'
| |
PPPoE | | PPPoE
| |
| .----------. |
+------| OPNsense |------+
'----+-----'
|
LAN | 192.168.0.1/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------------- | WireGuard 192.168.0.35:51825 |
(Clients/Servers)
Die beiden WAN-Interfaces sind in einer Gruppe "Uplink_Group" gebündelt.
Nun würde ich gern von außen eine VPN-Verbindung über WireGuard aufbauen.
Einstellungen:
Firewall -> Settings -> Advanced
- Reflection for port forwards: on
Firewall -> NAT -> Port Forward -> Add
- Interface: Uplink_Group
- TCP/IP Version: IPv4
- Protocol: UDP
- Destination: Uplinks_Group net
- Destination Port Range: 51825 - 51825
- Redirect target IP: 192.168.0.35 (WireGuard)
- Redirect target Port: 51825
- NAT reflection: Use system default
- Filter rule association: Add associated rule
Firewall -> NAT -> Outbound: Automatic outbound NAT rule generation
Leider lässt sich absolut keine Verbindung aufbauen. Ein Test mit einem einfachen Webserver statt Wireguard blieb ebenfalls erfolglos. Allerdings: Richte ich den gleichen Verlauf in nginx als Datastream -> Upstream ein, funktioniert die Verbindung sofort (sowohl Wireguard als auch ein Test-Webserver).
Hat jemand eine Idee woran es liegen könnte? Ich bin für jeden Hinweis dankbar, da ich leider absolut keine Idee mehr habe, wo der Fehler ist.
Die Filterregel auf dem WAN Interface, die die eingehende Verbindung erlaubt, hat die unter "Advanced features" reply-to das entsprechende Interface gesetzt?
Vielleicht muß die Filterregel manuell eingerichtet werden anstatt der automatischen.
Grüße, chrs
Wenn Wireguard auf der OPNsense läuft muss man kein Port Forwarding dafür machen.
Der Port von Wireguard wird auf alle Interfaces gebunden.
Es muss nur eine Firewall Regel erstellt werden, die den Port eingehend auf den WAN Interfaces erlaubt.
@chrs: Die automatisch erstellte Regel kann ich nicht bearbeiten. DA weiß ich nicht, wie es bzgl. des reply-to aussieht. Wenn ich allerdings selbst eine Regel erstelle, habe ich dort "default" drin stehen, weil ich mich wegen des Multi-WANs nicht auf eine Verbindung beschränken will. Die Gruppe auswählen ist nicht möglich.
@Monviech: Wenn WireGuard auf der opnSense selbst liefe, bestünde mein Problem ja überhaupt nicht. Aber darum geht es mir nicht. Wie in der Skizze zu sehen, läuft WireGuard auf 192.168.0.35 und nicht auf der opnSense selbst. Das Problem, dass das Port Forwarding nicht funktioniert betrifft alle Dienste, die ich ausprobiert habe.
Hab mich noch an was erinnert was ich mal gelesen habe:
Wenn zwei PPPoE WAN Verbindungen vom selben ISP die selbe Gateway IP Adresse benutzen.
https://github.com/opnsense/core/issues/5238
Edit: Achso im Schaubild steht Kabel und DSL aber 2 mal PPPoE. Wieder verwirrt worden. Sorry :)
Ich würde einfach 2 Port Forwarding Regeln anlegen, für jedes WAN interface eine eigene, und schauen ob es dann funktioniert. Wenn diese Regeln auch nicht matchen dann gibt es da irgend ein anderes Problem als die Gateway Gruppe. Vor mehreren Jahren hatte ich auch eine Opnsense an DSL und Kabel gleichzeitig mit Gateway Gruppe betrieben, aber soweit ich mich erinnere habe ich die Port Forwarding und Outbound NAT Regeln immer auf die einzelnen Interfaces gemacht.
Hallo,
danke für deinen Vorschlag. Ich habe gerade mal probiert die Regeln einzeln anzulegen, aber das hat leider auch nichts gebracht.
Ich habe endlich die Lösung gefunden: Der Server (in der Skizze 192.168.0.35) muss die opnSense als Standard-Gateway nutzen. Ansonsten kommen die Pakete zwar dort an, aber die Antwort geth ins Nirvana (bzw. das eingestellte Default-Gateway). Darauf gestoßen hat mich der "Port Forward Troubleshooting Guide" der pfSense (ich dachte mir: Ist ja ähnlich, schauste mal in deren Doku: https://docs.netgate.com/pfsense/en/latest/troubleshooting/nat-port-forwards.html (https://docs.netgate.com/pfsense/en/latest/troubleshooting/nat-port-forwards.html)).