Hi,
hab eine Opnsense bei mir zuhause und mein MacBook als Wireguard Roadwarrior eingerichtet.
Ich komme vom Macbook aus von unterwegs auf alle internen Adressen.
Wenn ich im MacBook im WG-Client aber 0.0.0.0/0 hinzufüge zur vorhandenen IP 192.168.0.0/24 dann geht zwar alles interne weiterhin, aber es ist kein Internetzugriff mehr möglich.
Wo könnte der Fehler liegen? Wo soll ich zu suchen anfangen? Im Opnsense Live-Firewall-View ist nichts auffälliges...
Hab eigentliche eine Wireguard any-to-any Regel in der Opnsense.
Gibt es eine outbound NAT Regel für Wireguard?
Die Anleitung aus den how-tos in den opnsense-Docs (punkt 5, 5a, 5b) hab ich nun dazu befolgt. Schnittstelle zugewiesen usw und auch die outbound nat erstellt, aber leider immer noch das selbe Ergebnis.
Muss ich vielleicht auf dem Notebook noch den DNS unter Interface angeben?
Aktuell schaut das so aus:
[Interface]
PrivateKey = privatecode123
Address = 10.xx.xx.x/32
[Peer]
PublicKey = publiccode123
AllowedIPs = 0.0.0.0/0, 192.168.0.0/24
Endpoint = abc.dyndns.de:51820
Mach allowed IPs unter Windows mal 0.0.0.0/1, 0.0.0.128/1
Um dns Probleme auszuschließen versuch erstmal zB 8.8.8.8 anzupingen.
Ich hab in der Opnsense alle DNS-Anfragen zum pihole umgeleitet, alles andere in der Firewall gesperrt. Einzig der pihole darf dann auf die opnsense port 53 zugreifen und unbound fragt direkt bei den root-servern nach.
Hab die IP des pihole DNS bei interface hinzugefügt und auch deine Vorschläge auf dem Notebook unter allowed IPs hinzugefügt.
Keine Änderung.
Pingen versuche ich, wenn ich herausgefunden habe, wie das auf meinem Macbook funktioniert...
EDIT: Hab mir WhatRoute installiert... Wireguard aus -> ping an 8.8.8.8 klappt
Wireguard an -> egal wohin ich pinge, immer timeout. Auch an Adressen, die auf Port 80 erreichen kann (Webinterface der opnsense, pihole, usw)
Was ergibt denn ein traceroute?
Die allowed IPs solltest du dennoch anpassen, wenigstens aber das subnetz vom LAN rausnehmen, das ist in 0.0.0.0/0 ja enthalten...
Quote from: halloween on December 14, 2023, 04:20:04 PM
Pingen versuche ich, wenn ich herausgefunden habe, wie das auf meinem Macbook funktioniert...
Terminal starten. (1)
ping 8.8.8.8
(1) Liegt in /Programme/Dienstprogramme.
Oder Cmd ("Propeller") und die Leertaste drücken, ins Suchfeld T E R M I ... eingeben, sobald "Terminal" vervollständigt wird, auf Enter hauen.
Das ist ein komplettes BSD unter der Haube, da sind alle üblichen Unix-Tools einfach da.
Hab oben mein EDIT eingefügt mit dem Ping...
Hab alles rausgenommen ausser 0.0.0.0/0 und trotzdem geht nach wie vor nichts. Ping selbes Ergebnis wie oben.
Wireguard aus -> pings gehen
Wireguard an -> pings gehen nicht, selbst zur lokalen ip der opnsense nicht.
opnsense hat 192.168.0.1 aber unter wireguard bekommt die ja eine 10.xx.xx.1 zugewiesen, weil mein macbook hat unter wireguard 10.xx.xx.2. Aber selbst dahin kann ich nicht pingen.
Hast du denn zusätzlich zu der Wireguard-Konfiguration auch eine Firewall-Regel (oder mehrere), die den Traffic auch tatsächlich erlauben? Das geschieht nicht automatisch.
Unter WAN hab ich die Regel drin für den Zugriff von extern zur opnsense mit Port 51820
CDann hab ich noch Wireguard (Gruppe) und WireguardServer (das hab ich durch das opnsense how-to --> "aktivieren der Schnittstelle" dazubekommen)
Unter wireguard (gruppe) hab ich die 15 automatisch generierten Regeln drin und eine von wireguard (gruppe) port any zu any/any (allow-regel).
Unter Firewall "WireguardServer" - das ist der Name der Schnittstelle- sind nur die 15 automatisch erstellten Regeln drin.
Quote from: halloween on December 14, 2023, 04:56:35 PM
Unter wireguard (gruppe) hab ich die 15 automatisch generierten Regeln drin und eine von wireguard (gruppe) port any zu any/any (allow-regel).
Das *sollte* eigentlich funktionieren.
... und traceroute?
... und bitte mal Screenshot vom outboud NAT.
Du hast geschrieben dass Du Step 5a und 5b gemacht hast, 5b ist aber nur notwendig wenn 5a nicht gemacht wurde (oder für IPv6 ULA im Tunnel).
Screenshot siehe Anhang
traceroute liefert nur * wenn ich per Wireguard verbunden bin, egal ob auf Ziele im Internet oder lokale IPs.
Punkt 5b ist ja das erstellen der Outbound NAT Regel, also brauche ich die garnicht oder wie?
Moin,
wie sind denn die Routen gesetzt?
Auf der OPNSense, insbesondere aber auf Deinem Mac.
Also die Ausgabe von `route -n get 1.1.1.1` und `route -n get $IP_DES_LOKALEN_LAN` jeweils mal mit, mal ohne WG-Verbindung.
Und dann könnte es hilfreich sein, auf dem roten Interface mal per Paketaufzeichnung die ICMP-Pakete der `ping` zu überprüfen- gehen die da überhaupt raus oder wo landen die?
/KNEBB
Here we go...
1. - ohne Wireguard - mit Hotspot vom Handy verbunden
2. - mit Wireguard - mit Hotspot vom Handy verbunden
3. - mit Wireguard - mit Hotspot vom Handy verbunden - auf die IP der Opnsense
Gut, das heißt, dass entweder auf dem Mac dann irgendeine Firewall-Regel gesetzt wird (was ich nicht glaube) oder das WG auf Deinem Mac das default Gateway ändert, wenn WG verbunden ist. Die Pakete gehen also vermutlich alle in Richtung OPNsense.
Dann jetzt bitte die Route-Einträge von der OPNSense in Richtung verbundenes MacBook.
Und sehr hilfreich, PAcketaufzeichnung vom WG-Interface, gerne auch von ROT.
/KNEBB
Wenn du mir sagst, was ich wo nachschauen soll, dann gerne...
Rot = WAN ?
Ich habe keine Routen gesetzt...
Was genau soll ich überprüfen?
Kann es etwas mit dem DNS-Server zu tun haben? Kann ich das irgendwie prüfen? Vielleicht wenn ich die IP einer Homepage direkt im Browser eingebe?
Ich habe auf meinem iPad auch die Wireguard-App installiert und dieses als weiteren Peer zu meiner Opnsese hinzugefügt.
Selbes Ergebnis: Sobald ich 0.0.0.0/0 eintrage, erhalte ich Zugriff aufs Home-LAN aber nicht mehr aufs Internet...
Was ich noch herausgefunden habe:
Im Firewalllog sehe ich alle lokalen Zugriffe vom Notebook auf das Webinterface, auf andere Server usw.
Die Zugriffe ins Internet hingegen nicht. Garnichts, kein block, kein pass.
Pings vom MacBook aus ins Internet zu 8.8.8.8 funktionieren, ping zu google.de nicht.
Vom Ping sehe ich ein icmp pass auf 8.8.8.8 von der ip des macbooks aus im firewall livelog.
Wenn ich im Browser 1.1.1.1 eingebe, dann komme ich auf die Internetseite, im Livelog wird auch port 443 udp zugriff als pass schön angezeigt.
Also muss es doch irgendwie mit der Namensauflösung zusammenhängen?
Bitte geh strukturiert vor.
Zuerst muss "ping-mäßig" alles, aber auch wirklich ALLES passen. Also ping nur auf IPs, nicht auf Namen.
Wenn das dann wirklich sauber funktioniert, kannst Du auf "Namen" pingen, dann merkt man, ob der Name auflöst oder nicht (alternativ geht hierfür auch das "host" Kommando).
Und wenn das dann funktioniert, dann darfst Du die "üblichen" Internetdienste testen (Browser etc.)
Alles Andere ist ein Hin- und Her, dem keiner hier mehr folgen kann.
/KNEBB
Danke für die vielen Tipps und die schnelle Hilfe!
Ich habs hinbekommen!
Das Problem war, dass ich auf meinem Notebook den DNS-Eintrag in der Wireguard-Config setzen musste und dann hab ich noch herausgefunden, dass im pihole die Option gesetzt war, dass er nur Zugriffe vom lokalen Netz zulässt.