Ich grüße euch alle erneut! :)
Ich versuche gerade eine WireGuard Verbindung mit einer FRITZ!Box herzustellen.
LAN A:
- Primäre IP OPNsense 192.168.30.1/24
- zweite IP OPNsense 192.168.10.250/24
- Clients hinter OPNsense haben alle das zweite IP-Netz 192.168.10.0/24
LAN B:
- FRITZ!Box mit 192.168.40.254/24
- Clients dahinter mit DHCP
Grund für die doppelte IP der OPNsense:
- im Moment gibt es zwei WAN Leitungen
- die alte WAN-Leitung (192.168.10.254/24) soll bald ausgetauscht werden mit der OPNsense (192.168.30.1)
- deshalb hat die OPNsense eine zweite IP Adresse im LAN 192.168.10.250/24
- In Zukunft werden wir das 192.168.10.0/24 Netz weiterverwenden
Was bisher geschehen ist:
- ich konnte auf Anhieb eine "normale" WireGuard Verbindung aufbauen
- zwischen 192.168.30.1 (OPNsense) und 192.168.40.254 (FRITZ!Box)
- da ich keine Geräte zur Hand hatte, habe ich nicht getestet, ob ich Geräte hinter dem 192.168.30.0/24 Netz erreichen kann - als ich die 192.168.30.1 anpingen konnte, war ich mir sicher, der Tunnel steht wie gewohnt funktionierend - kann ich aber eventuell anschließend noch testen
Was zum Problem wurde:
- ich habe dann einen neuen Tunnel nach dem "initialen Funktionstest" anlegen wollen, bei dem die OPNsense dann das 192.168.10.0/24 Zielnetz zur Verfügung stellt, anstatt die 192.168.30.0/24 (für die Zukunft)
- ich habe wieder 1 zu 1 folgende Schritte unternommen https://www.bedv.ch/opnsense-wireguard-vpn-zu-fritzbox/
- nachträglich habe ich dann das Tunnelnetzwerk auf der OPNsense entfernt (da ich bei anderen funktionierenden WireGuard Site to Site zu FRITZ!Box Verbindungen gesehen/ausgelesen habe, ich habe nirgends eine Tunnel-IP auf der OPNsense eingetragen, da FRITZ!Box keine Tunnel-IPs verwendet)
Problem:
- ich kann von der OPNsense 192.168.10.250 Schnittstelle die FRITZ!Box sowie alle Geräte dahinter pingen, in diese Richtung ist alles Okay!
- von der FRITZ!Box kann ich nur die OPNsense selber anpingen und witzigerweise ein Gerät im 192.168.10.250/24 Netz, und zwar ein LANCOM Router!
- ich frage mich warum ich ausgerechnet den LANCOM Router pingen kann, aber keine anderen Geräte, die in diesem LAN sind
- ich freue mich dass ich die OPNsense anpingen kann (und auch über den erfolgreichen Ping auf LANCOM Router)
- und fand keine Regeln/etc. auf der OPNsense, die den LANCOM Router im Gegensatz zu den anderen Geräten im LAN 192.168.10.0/24 so besonders macht (da der LANCOM Router eine IP im Netz hat wie alle anderen Geräte auch und keine besondere Route/etc. zur OPNsense hat (bis auf eine Route ins 192.168.30.0/24 Netz - die er aber nicht verwendet da die Anfrage ja über NAT über die 192.168.10.250 geht?!))
Über Tipps/Ratschlage/Infos/Fragen freue ich mich natürlich sehr!
Liebe Grüße!
Gutfred!
P.S.: Beim durchlesen vor dem Absenden denke ich: Es muss an einer Firewall-Regel liegen - die habe ich genauso wie in der Anleitung beschrieben erstellt und auch logisch überprüft. Die sollten eigentlich passen:
- WG (Gruppe): IPv4* - im Moment alle Quellen/Ports und Ziele/Ports erlaubt
- WG Interface: Quelle WG Interface Netzwerk mit allen Ports zu allen Zielen/Ports erlaubt
(Ja, ich habe nachträglich das Tunnelnetzwerk entfernt in den WireGuard Settings...)
(ich habe auch Testweise eine Regel erstellt, dass auf Schnittstelle LAN alles erlaubt ist - ohne Erfolg)
- WAN: Eingehend auf WAN-Adresse UDP4 WireGuard Port erlaubt
Ich schaue Morgenfrüh nochmal nach den Firewall-Regeln, vielleicht habe ich gerade einen Balken im Auge!