Hallo an Alle,
Ich habe schon sehr viel recherchiert und gelesen, finde aber trotzdem keine funktionierende Lösung.
Zusätzlich möchte ich zunächst auch sagen, dass ich funktionierende Wireguard Server auf der OPNsense laufen habe,
mit denen sich ein externer Client verbindet.
allerdings hängt die OPNsense bei dieser Konstellation direkt an einem Modem.
Leider kann ich jetzt auf die Fritzbox nicht verzichten.
In der Konstellation mit der FritzBox bekomme ich mit einem Wireguard Client leider keine Verbindung zustande.
Nun erst einmal zum Aufbau:
Internet ==> Fritz!Box (192.168.178.1) ==> OPNsense WAN am LAN-Anschluss der Fritzbox (192.168.178.254) als exposed Host
OPNsense LAN (192.168.0.1/24)
WireGuard Instance: 192.168.100.1 UDP 56110
Statische Route in der FritzBox zur OPNsense 192.168.0.0 zu 192.168.178.254 (Gateway)
Statische Route in der FritzBox zur Wireguard Instance 192.168.100.0 zu 192.168.178.254 (Gateway)
WAN Regel
=========
in
Protokoll: IPv4 UDP
Quelle: *
Port: *
Ziel: Diese Firewall
Port: 56110
Leider kommt keine Verbindung zustande.
Was habe ich nicht bedacht?
Vielen Dank für Eure Hilfe.
Warum statische Routen in der Fritzbox, warum Ziel: Diese Firewall. Aus letzterem mache WAN-Address.
Hallo Bob.Dig,
vielen Dank für Deine Antwort.
Warum statische Route in der FritzBox:
Die FritzBox kennt das Netz der OPNsense ja nicht.
Wenn jetzt eine Anfrage in das Netz der OPNsense kommt (Wireguard Client kommt über die FritzBox "rein"), muss die Fritzbox ein Gateway haben über das die Adresse geroutet wird.
Ziel: Diese Firewall:
Ich bin davon ausgegangen, Dass "Diese Firewall" die WAN-Adresse der OPNsense ist. Das funktioniert auch, wenn die OPNsense direkt mit dem Internet verbunden ist (an ein Modem angeschlossen ist).
Ich werde deinen Vorschlag aber in kürze testen und sofort das Ergebnis mitteilen.
Ich vermute, dass das Problem am "routen durch die FritzBox" liegt. Stichwort "Port Forwarding"
Sollte ich falsch liegen, bin ich für jede Korrektur dankbar.
Die Route braucht es nicht, die Netze sieht ja nur die OPNsense, für die FB ist alles verschlüsselt.
Setz doch mal Logging auf der WAN Rule aktiv und schau ob es einen Hit gibt im Livelogging. Wenn ja liegt es vmtl an der WG Config
Hallo zusammen,
Hallo zusammen,
Ich habe in der WAN Regel als Ziel WAN-Adresse eingetragen und das Livelog eingeschaltet.
Dann habe ich eine Verbindung vom Client aus aktiviert.
Im Livelog erscheint die WAN_regel für Wireguard grün.
Die Quelle ist das externe IP des Client Netzwerks
Das Ziel ist die WAN IP der OPNsense (192.168.178.254) mit dem entsprechenden UDP-Port der Wireguard Instanz.
Ich würde daraus schließen, das die Regel korrekt ist und der Datenverkehr "reinkommt".
Trotzdem gelingt keine Verbindung.
Interfaces : Diagnostics : Packet Capture, Interface WAN und Port dein Port, dann start und verbinden. Auf der OPNsense im Menü das Blatt ganz rechts und schauen ob auch Pakete zurückgeschickt werden (oder Screenshot)
Hallo mimugmail,
Vielen Dank für die schnelle Antwort.
ich habe genau nach Deiner Anleitung eine Paketaufzeichnung erstellt.
Für mich sieht das so aus, als würden die Pakete nur in eine Richtung laufen (nur von der OPNsense empfangen, aber nicht gesendet)
Leider fehlt mir für die genaue Analyse aber noch die Erfahrung.
Vielleicht fällt Dir oder euch noch mehr dazu ein.