Moin zusammen,
ich setzte bei mir im Heimnetzwerk eine OPNsense (25.7.6) hinter einer Fritzbox 7590 ein. Die Fritzbox im Heimnetzwerk ist für das Herstellen der Internetverbindung mit meinem Glasfaseranbieter zuständig.
Auf der OPNsense sind mehrere VLANs für das interne Netzwerk und eine WireGuard Instanz für mobile Geräte eingerichtet, welche tadellos funktioniert.
Nun hatte ich die Idee, dass ich eine zweite Fritzbox per WireGuard an die OPNsense anbinde um dem Netzwerk zugriff auf meinen Veeam Backup and Replication Server, der sich in einem der VLANs hinter der OPNsense befindet, zu gewähren.
Auf beiden Seiten habe ich die WireGuard Konfiguration anhand mehrerer Anleitungen
(https://www.107er.net/hitech/2024/05/wireguard-site-to-site-zwischen-fritzbox-und-opnsense/)
(https://www.bedv.ch/opnsense-wireguard-vpn-zu-fritzbox/)
soweit vorbereitet und die Public Keys etc gegenseitig eingetragen.
Für die Verbindung habe ich mir eine zweite WireGuard Instanz erstellt mit einem separaten Port, dieser Port ist auf der vorgeschalteten 7590 auch für die OPNsense frei gegeben.
In den Firewall Regeln habe ich den Port in der WAN Regel hinterlegt und die zweite WireGuard Instanz als Interface eingerichtet und in den Firewall Regeln erst mal den allgemeinen Zugriff auf * für IPv4 und IPv6 hinterlegt.
Leider wird die Verbindung zwischen der 5530 und der OPNsense gar nicht erst aufgebaut. Der Tunnel wird auf der Fritzbox-Seite nicht "grün" und auf der OPNsense ist das Interface im WireGuard Status zwar grün (ist ja auch logisch) aber der Peer bleibt rot.
Mir fehlt aktuell noch eine Idee, wo ich ansetzen könnte und darüber hinaus suche ich noch nach Diagnosemöglichkeiten um ein Problem mit Firewall Regeln ausschließen zu können.
Um die WireGuard-Integration auf der 5530 generell mal zu testen habe ich testweise die beiden Fritzboxen (7590 und 5530) miteinander per WireGuard verbunden, was problemlos möglich war und der Zugriff auf Ressourcen in dem jeweils anderen Netzwerk war möglich.
Danke für euren Input!
VG
Kevin
Die Tunnel Adresse muss leer gelassen werden (In instance) wenn Fritzbox zu OPNsense Wireguard gemacht wird. Es wird kein Transfernetz benutzt, sondern die zu routenden Netze werden direkt miteinander verbunden.
Wenn kein Handschake funktioniert, in "Interfaces -> Diagnostics -> Packet Capture" das WAN interface UDP Port 51820 oder welcher port für instance benutzt wurde mitschneiden. Schauen ob es auch antworten von der Fritzbox gibt. Ping durch den tunnel starten, wireguard macht nur handshake wenn es matching traffic gibt.
Danke für die schnelle Rückmeldung!
Ich hab die Tunnel-Adresse auf der OPNsense einmal raus genommen, leider dann noch keinen Erfolg gehabt. Dann habe ich einfach mal spontan versucht das ganze direkt per IP zu versuchen (ich hatte vorher von myfritz die Adressen genutzt) und siehe da, sofort ist ein Tunnel da. IPv6... einfach ein Traum...
Jetzt muss ich nur schauen, wie ich es schaffe die IPv4-Adressen dauerhaft aufzulösen.
Danke jedenfalls!
VG
Kevin
Wenn die myfritz Adresse A und AAAA record hat wird IPv4 bevorzugt (von wireguard). Da braucht es einen IPv6 only FQDN für.
Schön dass es klappt.