Hallo zusammen,
ich möchte das OPNsense das gesamte Internet durch einen kostenpflichtigen VPN Tunnel über Wireguard leitet. Sprich alle Client's, die an dem Router hängen sollen dann mit dem Internet vom VPN versorgt werden.
Mit OVPN hat das soweit alles funktioniert, ist mir aber ein wenig zu langsam.
Habe vom Anbieter eine *.conf erhalten die ich gerne dafür nutzen würde.
Bsp.
[Interface]
PrivateKey=KOrxxxxxxxxxxxxxxxxxxxxxxgvctnQ0Ws=
Address=172.15.16.17
DNS=149.123.456.789, 149.987.654.321
[Peer]
PublicKey=U2HxxxxxxxxxxxxxxxxxxxxxxcAnR0Vxs=
AllowedIPs=0.0.0.0/0
Endpoint=Zieldomain.com:51820
PersistentKeepalive=21Was ich bisher gemacht habe
- Plugin für Wireguard installiert.
- Wireguard-Instanz erstellt:
- Private Key aus der Konfiguration verwendet.
- Listen Port auf 51820 festgelegt.
- tunneladress auf 172.15.16.17/32 gesetzt. - Peer erstellt:
- Public Key aus der Konfiguration verwendet.
- Erlaubte IPs auf 0.0.0.0/24 gesetzt.
- Endpunkt-Adresse auf Zieldomain.com gesetzt.
- Endpunkt-Port auf 51820 festgelegt.
- Verknüpfung mit anderen Instanzen hergestellt.
- Keepalive-Intervall auf 21 gesetzt.
Ausgabe LogMit der Option tunneladress 172.15.16.17/32 kam der folgende Fehler. Nachdem ich /32 weggelassen habe kam kein Fehler mehr.
/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route -q -n add -'inet' '128.0.0.0/1' -interface 'wg1'' returned exit code '1', the output was ''Ausgabe von Diagnostics
Device | Status | Public key | Name | Port / Endpoint | Handshake | Send | Received |
wg1 | up | LXBxxxxxxxxxxxxxxxxxxxxxxyYIup118= | | 51820 | | | |
wg1 | | U2HxxxxxxxxxxxxxxxxxxxxxxcAnR0Vxs= | test-3 | 149.xxx.xxx.xxx:51820 | | 7.08 KB | 0 |
Ausgabe Logwireguard instance test (wg1) startedSieht doch soweit ich das erkennen kann gut aus? Wie richte ich nun ein, dass alle Clients die mit der OPNsense verbunden sind, automatisch die Internetverbindung über Wireguard nutzen? Sobald diese unterbrochen ist, sollen die Clients keinen Zugriff mehr zum Internet haben.
Danke schonmal!
Edit:Danke an tiermutter (https://forum.opnsense.org/index.php?action=profile;u=24254) für die Hilfe und die schnelle Lösung! -> Lösung (https://forum.opnsense.org/index.php?topic=37353.msg183111#msg183111)
Wenn das VPN steht und funktioniert brauchst Du eigentlich nur in Deiner default allow auf dem LAN (und ggf. weiteren Netzen) das Gateway auf das VPN setzen.
Dazu ist es erforderlich, dass die WG Verbindung auch als Gateway angezeigt wird und eine outbound NAT Regel erstellt wurde. Hierzu im Zweifel einfach mal Screenshots posten.
Sollte IPv6 aktiv sein musst Du es deaktivieren bzw. per Regel blockieren, damit nichts am VPN vorbeigeht, da der Tunnel nur für v4 konfiguriert ist.
Im Grunde das hier ab step 6:
https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Wobei Du 7-9 überspringen bzw, durch den Part "default allow Rule anpassen" ersetzen kannst.
In step 10 bei source addr. anstelle des Alias dann das LANnet und die eventuellen weiteren Netze angeben.
@tiermutter, das hat mich schon in dem anderen Thread irritiert - weshalb muss man für den VPN-Tunnel explizit ein Gateway anlegen? Ein aktiver WG-Tunnel mit "allowed ips = 0.0.0.0/0" erzeugt bei mir
- eine Host-Router zum anderen WG-Endpunkt richtung Default-Gateway
- 0/1 richtung Tunnel
- 128/1 richtung Tunnel
Die beiden letzteren sollten dafür sorgen, dass per Routing-Tabelle alles durch den Tunnel geroutet wird. Weshalb nochmal zusätzlich in der Regel das Gateway explizit setzen?
Danke!
Patrick
Es wird ja auch outbound NAT benötigt, da es für das VPN ja nur die eine IP gibt... durch das Anlegen des Gateways wird die outbound NAT Regel automatisch erstellt, andernfalls müsste man sie manuell anlegen.
Wenn die Route hier automatisch angelegt wird, dann kann man sich das mit der Firewall-Regel natürlich sparen und dann bleibt auch das Anlegen des GW optional... aber ohne outbound NAT dürfte da nicht viel gehen?!
Ach sooo ... :) Ich benutze nirgendwo automatisches NAT.
Jaja... wenn die Profis am Werk sind ;)
Habe aber nochmal geschaut, gut möglich dass ich mich hier täusche und das outband NAT durch das GW gar nicht automatisch angelegt wird... das war glaube ich nur für WAN der Fall wenn ein entsprechendes Interface (und nicht GW) angelegt wird :o
Ergo: outbound NAT selbst anlegen und den Spaß mit dem Gateway sparen (es sei denn das VPN soll durch dpringer überwacht werden)...
Quote from: tiermutter on December 04, 2023, 08:05:39 AM
Im Grunde das hier ab step 6:
https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Wobei Du 7-9 überspringen bzw, durch den Part "default allow Rule anpassen" ersetzen kannst.
In step 10 bei source addr. anstelle des Alias dann das LANnet und die eventuellen weiteren Netze angeben.
Vielen Dank @tiermutter für deine schnelle Hilfe, die Anleitung ist perfekt für mein vorhaben. Funktioniert auch ohne Probleme und ist "ein wenig" performanter als ovpn. :D
Weißt du vielleicht ob OPNsense auch sowas wie Multi VPN kann. Also die Anleitung mit 2-3 Verbindungen zum Anbieter um die ganze Internetgeschwindigkeit auszureizen?
Vermutlich wird der Provider nicht mitspielen, aber selbst wenn dem so wäre, dann gäbe es auch dafür Mittel und Wege...
Wäre dann Load balancing mit mehreren VPN, vom Prinzip her dasselbe wie mit Load balancing mit mehreren WAN... Deine Hardware muss das aber auch mitmachen, Verschlüsselung braucht ja ein paar Ressourcen...
Danach werde ich mal ein wenig suchen. Zur Not nehme ich einen zweiten Anbieter ins Boot. Aber meistens sind ja ein paar aktive User mit dabei, wüsste nicht was von der Seite dagegen sprechen sollte.
Ich danke dir vielmals! ;D ;D