Nach langem Probieren wende ich mich an Euch. Auf meiner OPNsense habe ich einen Wireguard -Server .
installiert.
Wiregard -Netz / Tunnel ist :10.10.0.0/24
Die OPNsense ist hinter der Fritzbox und folgende Interfaces:
WAN: 192.168.179.11
Lan 1 : 192.168.1.1
LAN 2 : 192.168.2.1
Wireguard-Server: 10.10.0.1
Die Instanz und die Peers wurden nach Anleitung eingerichtet und der Tunnel von Extern steht.
Ich kann ohne Probleme von Extern - hier dargestellt als Notebook (10.10.0.2) - auf das Netzwerk hinter dem Interface LAN1 zugreifen, z.B. Aufruf des Apache auf Raspberry.
Was nicht klappt ist der Zugriff über den Tunnel auf das Netz hinter LAN2. Im Heimnetzwerk kann ich problemlos von Netz 192.168.1.0/24 auf 192.168.2.0/24 und umgekehrt zugreifen.
Warum klappt der Zugriff auf LAN1 und nicht auf LAN2. Bei einem log auf interface sieht man, es kommt nichts an, es wird nichts blockiert. Ich vermute es liegt irgendwie an forwarding oder NAT.
Ich bin sicher, für Euch Experten wird es leicht sein, mir eine Lösung / Tipp zu geben.
Jetzt schon einmal vielen Dank
hdkirschbaum
Wireguard .------------.
Client + Notebook |
10.10.0.2 '-----:------'
:
────────────────────────────────────
:
Tunnel10.10.0.0/24 Internet
:
:
───────────────────────────────────
:
: -
.-----+-----.
192.168.178.1| Fritzbox |
'-----+-----'
|
WAN |192.168.178.11
| Mailserver -
.-----+------. .------------. Nextcloud
Wireguard | OPNsense +------LAN-2------+ Miniserver | MySQL
Server '-----+------' 192.168.2.1 '------------'
10.10.0.1 |
LAN 1 | 192.168.1.1
|
.-------------
| LAN-Switch |
'-----+------'
|
|---------+--------|
| |
| |
.------------. .------------.
+ Client | + Client |
'-----:------' '-----:------'
Was ist bei Allowed IP eingetragen?
Beim Peer und beim WG Client
Und wie sehen die Firewallregeln aus?
Peer:
allowed adress:10.10.0.2/32
Client 10.10.0.2
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
bei windows ist kein Haken bei "Blockiere Verkehr außerhalb des Tunnels"
wird der Haken gesetzt, dann
AllowedIPS = 0.0.0.0/0, ::/0
Vielen Dank für die schnellen Antworten.
Hier meine Meine Firewall Regeln
Interface Wireguard:
IPv4 TCP/UDP * * * * * * Allow WireGuard devices access to anywhere
IPv4 UDP WireGuard net * 192.168.1.1 5310 * * ADGuard DNS
Interface LAN2 (hier NAS)
Protocol Source Port Destination Port Gateway Schedule Description
Automatically generated rules
IPv4 TCP/UDP * * * * * * wiregard access to NAS
IPv4 TCP/UDP NAS net * * 587 (SUBMISSION) * * Allow SMTP ohne Surfshark
IPv4 ICMP NAS net * This Firewall * * * NASnrt_To_Firewall_Ping
IPv4 TCP/UDP 192.168.2.100 * This Firewall 6556 * * Checkmk allow
IPv4 * NAS net * * * * * Allow alltraffic
IPv6 * NAS net * * * * * Default allow LAN IPv6 to any rule
NAT For Ward
Interface Proto Address Ports Address Ports IP Ports Description
LAN TCP * * LAN address 22, 80, 443 * * Anti-Lockout Rule
LAN UDP LAN net * * 53 (DNS) 192.168.1.1 5310 ADGuard DNS
WireGuard UDP WireGuard net * * 53 (DNS) 192.168.1.1 5310 ADGuard DNS
WAN TCP * * WAN address 22 (SSH) 192.168.2.100 22 (SSH) NAT SSH to Miniserver
Zusätzlich muß ich erwähnen, daß ich über einen VPN-Server "Surfshark" ins Internet gehe.
In OPNsense ist ein "Surfshark - client" eingerichtet; Port 51280.
Unabhängig ob ich den Traffic über "surfshark" leite oder nicht (client auf OPNsense disabled) kann ich nicht von Extern auf das 2. subnetz zugreifen.
Gruß
hdkirschbaum
...und die Routen auf dem Notebook? :-)
Hier der Code auf dem Notebook:
[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1
[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821
Nun wenn es nur um Zugriff auf die interne Netze geht würd ich folgendes machen.
AllowedIPs = 192.168.1.0/24 , 192.168.2.0/24
Ist das auf dem Notebook ein Original WG Client?
Quote from: lewald on April 28, 2024, 11:02:25 AM
Nun wenn es nur um Zugriff auf die interne Netze geht würd ich folgendes machen.
AllowedIPs = 192.168.1.0/24 , 192.168.2.0/24
...
Ich würde noch die remote tunnel IP dazu nehmen, aber ansonsten: Full support... :-)
Jup der muss natürlich auch rein.
Vielen Dank für die vielen Tipps.
Ich glaube der Tipps von @lewald und @chemlud waren die Lösung. Ich habe alle möglichen Allowed IPS eingetragen, ebenso den Tunnel selbst. Zusätzlich wurde DNS erweitert mit 8.8.8.8.
Siehe Code
Somit scheint das Problem gelöst zu sein. Zur allgemeinen Information, Client.conf für mein Smartphone klappte die Verbindung ohne die o.a. Erweiterungen, auch die Verbindung auf das 2. Subnetzt. Es scheint wohl eine Eigenart von Windows auf meinem Notebook zu sein.
Nochmals vielen Dank für Eure Hilfe!!!!
Gruß
hdkirschbaum
[Interface]
PrivateKey =
Address = 10.10.0.2/32
DNS = 192.168.1.1, 8.8.8.8
[Peer]
PublicKey =
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821
Guten Morgen oder besser schlechter Morgen,
nach der Freude, daß gestern der Zugriff auf alle sunetze vom Notebook geklappt hat, heute morgen die große Enttäuschung. Nach dem Booten des Notebooks und Aktivieren von wireguard konnte kein subnetz erreicht werden.
Ichvermute, das liegt nicht an OPNsense sondern an windows.
Ich versuche heraus zu kriegen, woran dieses Verhalten liegt.
Vielleicht hat jemand noch einen Tipp....auch wenn es vielleicht an Windows liegt.
Schade !!!!
Gruß
hdkirschbau
Ich glaube , ich habe die Lösung gefunden.
Zunächst habe ich auf dem Notebook Wireguard-client deinstalliert und neu installiert. Anschließen habe ich das das WLAn als "Privates Netzwerk" eingerichtet.
Hinweis wurde aus der website
https://www.andysblog.de/wireguard-server-unter-windows-einrichten
entnommen. Da steht:
"Eine Einschränkung scheint es zu geben: Die Clients können zwar auf den WireGuard-Server zugreifen (z.B. ping, rdp, usw.) aber umgekehrt vom Server auf die Clients klappt dies nicht. Die Netzwerkkategorie auf dem VPN-Client ist dabei richtig konfiguriert (Privates Netzwerk) und die gewünschten Dienste sind in der Firewall zugelassen."
Zusätzlich wurde in der Windows-Firewall als "Eingehende Regel" wiregauard.exe zugelassen.
Ja Windows ist halt nicht Linux.
Der code von Wireguard-client wurde Schritt für Schritt angepasst. Es klappt nun mit o.a. Code, selbst ohne die internen Subnetze als AllowedIPS anzugeben.
Selbst nach einem Reboot des Notebooks, läuft alles wie gewünscht.
Vielen Dank für die Unterstützung.
hdkirschbaum
[Interface]
PrivateKey = xxxxxxx
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 8.8.8.8
[Peer]
PublicKey = xxxxxxxxx
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = xxxxxxxxxx
Quote from: hdkirschbaum on April 27, 2024, 10:47:41 PM
Hier der Code auf dem Notebook:
[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1
[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821
Mein Vorschlag:
DNS = 10.10.0.1, 192.168.1.1
... bist Du in einem vertrauenswürdigen Netzwerk:
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24
... wenn aber Bahnhof, Flughafen oder sonstwo:
AllowedIPs = 0.0.0.0/0
Gruß Udo
Nur so eine Vermutung: https://www.chip.de/news/Schwere-Update-Panne-bei-Microsoft-Windows-kappt-VPN-Verbindungen_185256435.html
Aber wenn's wieder geht, ist ja alles gut...