Hallo an die Runde,
ich habe einen Wireguard VPN Site to Site Tunnel zwischen 2 Opnsense Firewalls. Im Netzwerk auf Site A sitzt ein Host mit einer InfluxDB.
Die Opnsense auf Site A schaufelt Daten mittels Telegraf Plugin in de InfluxDB. Die Opnsense auf Site B erreicht die InfluxDB leider nicht, obwohl die FW Rule zwischen Opnsense und InfluxDB auf Allow any steht. Als Laie fehlen mir die Ideen, warum dies scheitert oder was man versuchen könnte, um die Kommunikation herzustellen. Muss vielleicht was in den Routing Tabellen eingestellt werden?
Bin für jeden Tipp dankbar :-)
Grüße
neuling10
Hallo,
Voraussetzung, dass die Kommunikation funktioniert, ist, dass der Ziel-Host die OPNsense als Default Gateway nutzt.
Das ist wahrscheinlich gegeben, aber man sollte sichergehen. Manche nehmen auch eine OPNsense nur als VPN Gateway, weil da die VPN einfach einzurichten ist, nutzen aber ein anderes Upstream Gateway und wundern sich dann, dass sie keinen Zugriff von Remote haben.
Dann kläre ab, ob du überhaupt etwas auf der Remote Seite erreichen kannst. Im simpelsten Fall kannst du die LAN-IP der Remote-OPNsense pingen.
Falls nicht, schau dir die Regeln am WG Interface auf der Remoteseite an.
Falls doch versuch es mit einem anderen Gerät. Du kannst dabei mit Packet Capture (Intefaces > Diagnostic) auf B den Traffic auf LAN mitschneiden und überprüfen, ob was rüberkommt.
Könnte auch sein, dass der Ziel-Host selbst Zugriffe von außerhalb seines Subnetzes blockiert. Das ist eigentlich die übliche Standardeinstellung der Betriebssysteme.
Hallo viragomann,
vielen Dank für die Hinweise :). Ich hab das nun nochmal alles gecheckt:
- Der Host mit der InfluxDB (Raspberry) ist von der Gegenseite erreichbar
- Laut Firewall Protokolldateien - Liveansicht wird kein interner Traffic geblockt, den Host (Raspberry) betreffend
- Am Wireguard Interface habe ich als Quelle und Ziel das jeweils gesamte Netz der anderen Site als FW-Rule freigegeben mit IPv4 Any und 192.168.178.1/16 bzw. 192.178.178.1/16
- Der Raspberry Host kann grundsätzlich Daten von der entfernten Site empfangen (getestet mit einem weiteren Container am Raspi, der von einem anderen Host im entfernten Netz Daten empfängt)
Ich habe in der Zwischenzeit ein altes, unbeantwortetes Posting gefunden, bei dem mit IPSec ähnliches versucht wurde (https://forum.opnsense.org/index.php?topic=28039.0 (https://forum.opnsense.org/index.php?topic=28039.0). Hier ist die Rede, das Telegraf Plugin würde die WAN-IP als Sourceadresse nehmen und nicht die LAN-IP. Leider fehlen mir jedoch die Ideen, wie man einerseits überprüfen kann, ob das tatsächlich so ist bzw. ob es für dieses Problem eine Lösung geben könnte...
Im Gegensatz zu policy based IPsec hast du bei WG doch ein dediziertes Tunnel-Interface. Hast du da kein Transfernetz drauf? Wenn doch, wird das wahrscheinlich die Source-Adresse für das Telegraf-Plugin sein: das lokale Interface, über das die Router durch den Tunnel geht.
Dieses Transfernetz muss dann natürlich ebenfalls in die AllowedIPs, am besten auf beiden Seiten.
Hallo Patrick, danke für die Hinweise, hab das alles nochmals gecheckt mit der Anleitung zu Wireguard Site To Site.
In den Peer Einstellungen unter Allowed IPs hatte ich auch das Transfernetz und das lokale Netz enthalten. Site To Site Wireguard läuft grundsätzlich auch schon seit einigen Monaten problemlos. In den LAN FW Rules habe ich zusätzlich nun auch das Wireguard Transfernetz freigegeben.
Ratlos macht mich der nach wie vor leider immer noch nicht funktionierende Telegraf Plugin Datentransfer :/
Da wo das Telegraf Plugin läuft, ein tcpdump auf das Wireguard-Interface, gucken, ob die Pakete in den Tunnel reingestopft werden. Am anderen Ende tcpdump auf das WG-Interface, ob sie da auch wieder raus kommen, dann gucken, ob sie beim Zielsystem landen, dann dasselbe für die Antworten.
So debugged man sowas. Alles andere ist Kaffeesatzleserei. Guck dir an, was auf dem "Draht" wo hin geht.
Hallo, dankeschön, die gute Nachricht: Daten kommen an, Ziel erreicht :-)
Ein Neustart der Opnsense und des Telegraf Plugins brachte die Datenübertragung zum Laufen.
Nachdem ich Schritt für Schritt die Firewall wieder "dicht" gemacht habe, blieb genau eine notwendige Regel am Wireguard Interface auf Site A übrig:
TCP/UDP von Source Wireguard Transfernetz auf Site B auf Target InfluxDB Host auf Site A
Zwecks "Lernen und Verstehen" doch noch eine Frage:
Ganz verstehe ich die Sache noch nicht. Die zweite Regel am Wireguard Interface ist laut Opnsense Site to Site Anleitung die Allow lokales Netz Site B (192.178.1.1/16) auf lokales Netz Site A (192.168.1.1/16). In dieser Regel ist ja ohnehin auch schon die Opnsense auf Site B mit 192.178.1.1 enthalten. Warum ist dann zusätzlich auch noch die Allow Regel für das Transfernetz Site B auf den InfluxDB Host Site A notwendig? Alles andere läuft ja auch ohne dieser Regel problemlos über VPN und das Site to Site Transfernetz (Host zu Host oder Host zu Opnsense GUI)
Die Telegraf Daten kommen ja nicht aus deinem LAN sondern von der Firewall selbst. Und die nimmt als Source-Adresse die desjenigen Interfaces, zu dem die Daten raus geschickt werden, also wahrscheinlich wg0 - das Wireguard Transfernetz.