Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: grefabu on October 10, 2025, 04:34:43 PM

Title: [SOLVED] wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: grefabu on October 10, 2025, 04:34:43 PM
Moin,

ich versuche zwischen zwei virtualisierten OPNsense eine Wireguard Verbindung zu erstellen:

envA
WAN 192.168.211.206

envB
WAN 192.168.211.159


Die Verbindung setze ich nach https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html auf.

Ich denke, das ich die Instanz und die Peers richtig konfiguriert habe.
Was ich momentan nicht feststellen kann ist, dass auf den FWs kein eingehender UDP Verkehr auf dem port 51820 entsteht. Ich habe die Freigaberegel im log, ein nmap von einem anderen Gerät wird auch geloggt.

Ich habe schon ganz verschiedene Setups versucht, mit zugewiesenen Interface als auch ohne.
Und diverse andere Sachen und Freigaben.

Die jeweiligen peers zeigen natürlich auf die WAN IP der Gegenseite, aber wie geloggt, scheint da kein Verkehr anzukommen?
Die VMs sind mit der aktuellsten 25.7.5 versehen.

Grüße

Gregor
Title: Re: wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: viragomann on October 10, 2025, 04:54:21 PM
Ist das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.
Title: Re: wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: Patrick M. Hausen on October 10, 2025, 05:11:59 PM
Und ggf. "Force gateway" ausschalten.
Title: Re: wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: grefabu on October 13, 2025, 09:41:05 AM
Moin,

Quote from: viragomann on October 10, 2025, 04:54:21 PMIst das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.

Ja, für dieverse Tests betreibe ich das lokal, ich teste hier verschiedene Setups.
"Block private networks" ist ausgeschaltet.

Quote from: Patrick M. Hausen on October 10, 2025, 05:11:59 PMUnd ggf. "Force gateway" ausschalten.
Die Stelle Option finde ich nicht, ist die ebenfalls direkt am WAN Interface?
Title: Re: wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: Patrick M. Hausen on October 13, 2025, 09:58:33 AM
Firewall > Settings > Advanced > Disable force gateway
Title: Re: [SOLVED] wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: grefabu on October 15, 2025, 10:30:05 AM
Nachdem ich für den Peer den Parameter keepalive gesetzt habe, einfach mal auf 3 Sekunden, wird der Tunnel aufgebaut.

Jetzt sehe ich im Firewall Live Log auch eingehenden Verkehr auf Port 51820,...

Warum ich den Parameter setzen muss erschließt sich mir noch nicht, in den Tutorials wurde das nicht gemacht.
Title: Re: [SOLVED] wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: Patrick M. Hausen on October 15, 2025, 10:41:00 AM
So lange kein System irgendwelchen Traffic durch den Tunnel schickt, baut WG da nichts auf. Das WG Protokoll ist stateless - es gibt im Grunde keine aktive Verbindung. Jedes Paket wird einzeln angeguckt:

- matcht das mit einer Policy?
- hab ich dafür einen Peer?
- hab ich dafür einen public Key?

Falls alles ja --> einpacken, verschlüsseln, zum Peer schicken.

Ob das ankommt, der Peer was damit anfangen kann, etc. wird alles nicht überprüft.

Keepalive erzwingt nur, dass Pakete geschickt werden.
Title: Re: [SOLVED] wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820
Post by: grefabu on October 15, 2025, 01:37:49 PM
Mea culpa.

Und vielen Dank für die Richtigstellung.
Ich habe tatsächlich nur auf den Status geschaut, ohne einen Ping oder ähnliches Laufen zu lassen,...
Text only | Text with Images