Hi mal wieder,
ich habe Wireguard einegrichtet und kurioserweise komm ich mit einem Client im LAN nicht mal mit nem ping raus, wenn Wireguard auf der FW an ist. Also der Client hat nichts mit Wireguard zu tun, einfach lokaler Client.
Folgende Regeln sind aktiv:
Floating - PrivateNetworkDevices --> ! Private_Networks
Floating - Private_Networks ICMP --> any
LAN - LAN net --> Private_Networks net
PiHole - PiHole --> This Firewall DNS
WAN - any --> WAN address (WG Port)
WireGuard - WireGuard net --> WireGuard address DNS
WireGuard - WireGuard net --> ! Private_Networks
WLAN - WLAN net --> PiHole
Bei Normalization:
WireGuard (group) - any --> any Wireguard MSS Clamping IPv4
Das wars.
Und wenn ich WireGuard starte, cutet er mir die Verbindung für ALLE!
Kein Client kann pingen, aber auch die FW selbst nicht.
WTF???
Ich hab mir den Umstieg von ipfire einfacher vorgestellt :D
Wie sieht denn "AllowedIPs" für diese Wireguard-Verbindung aus?
QuoteWie sieht denn "AllowedIPs" für diese Wireguard-Verbindung aus?
bisher als Standard genullt. Wollte das erst nachdem alles funktioniert anpassen und mich informieren, was da am sinnvollsten ist. Aber der Peer ist ja nicht mal verbunden, da klappt noch etwas nicht.
ACH CRAZY!! Du Genie! :D
Wenn ich den Peer deaktiviere, geht alles. Wie zum Teufel kann das denn sein?
Dann mal gleich bei der Gelegenheit die Frage in Bezug auf AllowedIPs:
kommt da die eigene IP des Peers rein und die IP von PiHole (in meinem Fall) und gut ist?
Setze ich die beiden IP-Ranges von VPN-Client-Netz und PiHole-Netz (10.1.1.1/24, 192.168.4.1/24) dann bekomme ich Bad Address beim Verbindungsversuch in der ClientApp.
Edit:
Ah! Es sind wieder die Prefixes... es wird Zeit sich damit tiefer zu beschäftigen.
10.1.1.1/32, 192.168.4.1/32
Dann verbindet er sich schon mal.
Auch wenn noch keine Daten fließen. Aber immerhin! :D
Per Default in Wireguard - nicht OPNsense-spezifisch - ist die "AllowedIPs" Liste gleichzeitig eine Anweisung, welche Netze über den Tunnel zu routen sind.
Wenn da also 0.0.0.0/0 drin steht - jetzt mal wild geraten ;) - dann geht jedweder Verkehr durch den Tunnel. Also schießt man sich damit evtl. auch lokale Verbindungen ab.
Was genau willst du mit der WG-Verbindung denn erreichen? Du könntest bei der "Instance" den Haken bei "Disable Routes" setzen und dann z.B. über Firewall-Regeln gezielt Traffic durch den Tunnel schicken.
Quote from: Patrick M. Hausen on June 26, 2024, 11:28:06 PM
Wenn da also 0.0.0.0/0 drin steht - jetzt mal wild geraten ;) - dann geht jedweder Verkehr durch den Tunnel. Also schießt man sich damit evtl. auch lokale Verbindungen ab.
Aber das ist ja die Einstellung auf dem Client. Auf dem Server habe ich den Punkt AllowedIPs gar nicht gesehen.
D.h. der Client sagt dann der FW, dass sie ihren ganzen Verkehr durch WG routen soll?? Das ist ja crinch, wie die Jugend heute sagen würde! ;D
Ich glaub, ich habe diese AllowedIPs-Sache noch nicht wirklich verstanden.
QuoteWas genau willst du mit der WG-Verbindung denn erreichen? Du könntest bei der "Instance" den Haken bei "Disable Routes" setzen und dann z.B. über Firewall-Regeln gezielt Traffic durch den Tunnel schicken.
Ich will einfach einen Road Warrior, nen Handy, der das Internet mit dem PiHole Zuhause nutzt.
"Disable Routes" habe ich jetzt mal bei der Instance gesetzt.
AllowedIPs beim Client sind jetzt wie folgt:
10.1.1.1/32, 192.168.4.1/32, 192.168.5.1/32
Die IP-Range des VPN-Servers, des PiHoles und des WANs
Entsprechende Regeln sind (wie oben ersichtlich) gesetzt.
Kein Datenfluss.
Für einen Roadwarrior setzt du beim Peer dessen IP-Adresse mit /32 in die AllowedIPs.
Quote from: Patrick M. Hausen on June 27, 2024, 09:09:15 AM
Für einen Roadwarrior setzt du beim Peer dessen IP-Adresse mit /32 in die AllowedIPs.
Hab ich gemacht, kein Datenfluss.
Muss nicht die PiHole-Adresse noch als AllowedIPs rein und die Adresse des WAN net?
Client muss ja drauf zugreifen können.
Edit:
OK, mein DynDNS ist tot. Muss erstmal schauen, was da los ist.
Aber nicht [Peer] Allowed IPs bei Client und Server verwechseln.
Das sind zwei unterschiedliche Sachen.
Gab es schon hier mit dem Vorschlag die Beschreibung in der Sense anzupassen:
https://forum.opnsense.org/index.php?topic=39938.msg195670#msg195670
Und vor wenigen Stunden erst wieder hier (vermutlich):
https://forum.opnsense.org/index.php?topic=41260.msg202333#msg202333
QuoteAber nicht [Peer] Allowed IPs bei Client und Server verwechseln.
Das dachte ich auch, aber wo ist die Einstellung von AllowedIPs für den Server??
Danke für die Links, werd mir mal anschauen.
Allowed IPs beim Server hat nichts mit "erlaubten" oder gerouteten IPs zu tun, auch wenn es dämlicherweise so heißt. Die Routingoption gibt es serverseitig nicht, sondern nur im Client.
Quote from: tiermutter on June 27, 2024, 02:53:35 PM
Allowed IPs beim Server hat nichts mit "erlaubten" oder gerouteten IPs zu tun, auch wenn es dämlicherweise so heißt. Die Routingoption gibt es serverseitig nicht, sondern nur im Client.
Also Server hat gar keine AllowedIPs-Einstellung? Ich fand nämlich keine.
Irgendwie check ich die Sache mit den AllowedIPs gar nicht, egal wieviel ich schon darüber gelesen habe.
Gibts irgendwo DIE beste Beschreibung dafür?
Eigentlich finde ich die Beschreibung vom ersten Link (mein Vorschlag wie es lauten sollte) schon ganz gut.
Server: Ist die Host (!) IP die dem Client zugewiesen wird, findet sich auch in der Client Config wieder, heißt hier aber "Addresses".
Client: Sind die Adressbereiche die über den Tunnel geroutet werden, diese Einstellung gibt es serverseitig nicht.
Auf der Server-Seite kommt die beim Peer rein.
... bedeutet hier dann aber, dass das die IP ist, die dem Client zugewiesen wird.
Nach was suchen wir denn jetzt? Von "allowed IPs" dürfen wir nicht reden, da das ja an jeder Stelle was anderes bedeutet :o
Jungs, ich verstehe nicht ganz. Ich sehe KEINE AllowedIPs oder Addresses beim Server (Edit Instance). Es gibt nur Tunnel Address, also die IP vom Server selbst, wie ichs verstehe.
Und beim Client gibts sie in der App, sowie bei der Peer-Einstellung.
Dort habe ich jetzt die IP vom Client selbst. Das ist vermutlich falsch, denn da muss die IP vom Server mit /32 kommen oder nicht? Und wenn ich mein PiHole erreichen will und ins Internet über VPN will, dann muss ich doch noch die IP von Pihole /32 und die IP von WAN mit /32 beim Client anfügen oder nicht?
Edit:
ach, Server-Side ist gemeint die Einstellung vom Peer auf der OPNsense, richtig?
Und ich suche es beim Interface.
Client-Side ist dann die App auf dem Android z.B.
CLIENT SIDE:
[Peer]
AllowedIPs = IPs to be routed via VPN
Was bedeutet das konkret?
Quote from: bread on June 27, 2024, 03:05:22 PM
Jungs, ich verstehe nicht ganz. Ich sehe KEINE AllowedIPs oder Addresses beim Server (Edit Instance). Es gibt nur Tunnel Address, also die IP vom Server selbst, wie ichs verstehe.
Ich habe doch nun schon mehrfach geschrieben, dass das NUR CLIENTSEITIG (das bedeutet in der Konfig auf dem Client Gerät ) möglich ist.
Beim Clienz:
Addresses = die IP die dem Client zugewiesen wurde /32
Allowed IPs = Adressen die geroutet werden dürfen. /24 (vermutlich)
Steht oben aber auch schon ;)
Nun,
OPNsense
1. Instance ist dein WG Server mit Tunnelnetz und Port.
2. Peer ist sozusagen der "Benutzer". Das kann sein das der raus geht oder nur Eingang ist.
Wenn der nur Eingang ist gehört dort unter Allowed IPs die Adresse (Transfernetz) die der Client benutzt.
Beispiel: Instance Tunnel Netz : 10.10.55.1/24 - Der Peer muss der Instance zugewiesen werden.
Peer: Allowed IP: 10.10.55.10/32 <- Das wird die IP für den WG Client.
Client Config WG client Beispiel
[Interface]
PrivateKey = WN4I4wxxxxTrJVmchxxx9RLBHM9H0K+JCxxx=
Address = 10.10.55.10/32
[Peer]
PublicKey = UPeYenaHUyQLbxxxExj30DrBBogjERxxxxjuNRRM=
AllowedIPs = 192.x.x.x/24 <- Zum Beispiel dein HomeNetz. Bei 0.0.0.0/0 schiebt es vom client alles über den Tunnel.
Endpoint = öffentlicheIP:Port von der Instance
Wenn das steht müssen natürlich die FW Rules auf "Firewall: Rules: WireGuard (Group)" gesetzt werden.
Find das Thema immer noch verwirrend :D gehts nur mir so?
QuoteIch habe doch nun schon mehrfach geschrieben, dass das NUR CLIENTSEITIG (das bedeutet in der Konfig auf dem Client Gerät ) möglich ist.
Oook, jetzt hab ich den Punkt glaub verstanden 8)
Was ich nun gar nicht verstehe, warum wir mein gesamter Internetzugang geblockt, wenn ich beim CLIENT, also am Handy als AllowedIPs die Nuller hinsetze?? Jemand sagte hier mal, dass dann der Traffic der FW durch VPN geroutet wird (welches bei mir noch nicht funktioniert). Wenn diese AllowedIPs doch nur die IPs bzw. Netze sind, die der Client benutzen soll/darf, was hat es mit dem sonstigen Traffic der FW und Netzinternen Clients zu tun??
Ich werd verrückt! :o
QuoteWenn das steht müssen natürlich die FW Rules auf "Firewall: Rules: WireGuard (Group)" gesetzt werden.
Da ich einen Interface Wireguard erstellt haben (in der Sensen-Anleitung Punkt 4a), sind die Regeln darin.
Aber ich schau erstmal, dass ich nen neuen DynDNS-provider bekomme.
Edit1:
Es fließen jetzt schon mal Daten, aber noch keine Internetverbindung.
Was muss denn jetzt bei AllowedIPs rein, wenn ich 1. meinen PiHole im Netz nutzen will und eben ins Internet will?
VPN-Netz/32, PiHole-Netz/32,WAN-Netz/32?
So habe ich es jetzt.
Edit2:
Ändere ich DNS beim Client zu 1.1.1.1, dann funktionierts. Also klappts mit dem PiHole nicht.
Log LiveView zeigt erlaubte Verbindungen vom VPN-Client zum PiHole
Kann da jemand noch helfen?
Sonst muss ich wohl zurück zur externen Lösung mit nem GliNet (Brume2) Kasten. Würde es aber gerne ablösen und VPN direkt in die FW integrieren.
Ich wiederhole mich: Freitag, 12. Juli, 17:00, User Group.
https://forum.opnsense.org/index.php?topic=18183.0
Das ist einfach mit Forum-Pingpong nicht zu debuggen. Hier funktioniert das alles. Schau rein, wir sind ein freundlicher Haufen und helfen.
ah, hab dich da nicht verstanden. Alles klar, ich schau mal bei Gelegenheit. Danke!