Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Cpt_Wonderful on November 28, 2025, 10:26:46 AM

Title: Wireguard - Externe Verbindung über VPN
Post by: Cpt_Wonderful on November 28, 2025, 10:26:46 AM
Hallo zusammen,

ich nutze die OPNsense Appliance als VPN Endpunkt und möchte meinen Clients ein Wireguard VPN zur Verfügung stellen, welches den Internetvekehr aber über ProtonVPN routet. Dafür habe ich die folgenden Einstellungen erledigt:

Gateways
(https://i.postimg.cc/qRcYwvGd/FW-1.png)

NAT
(https://i.postimg.cc/bvc35jrY/FW-2.png)

FW-Rules - MainWireguard
(https://i.postimg.cc/mZ53qGpC/FW-3.png)

FW-Rules - Wireguard (Group) -> Anscheinend werden die rules aus der Gruppe angewendet?!
(https://i.postimg.cc/zGSgJmpm/FW-4.png)

Wireguard
(https://i.postimg.cc/3NFyCVN8/FW-5.png)

Das VPN funktioniert, aber bei einem IP-Check wird mir die Provider IP angezeigt?
Was mache ich falsch / was habe ich vergessen? Gerne stelle ich weitere Infos zur Verfügung.
Title: Re: Wireguard - Externe Verbindung über VPN
Post by: viragomann on November 28, 2025, 12:03:26 PM
Hallo,

Quote from: Cpt_Wonderful on Today at 10:26:46 AMFW-Rules - Wireguard (Group) -> Anscheinend werden die rules aus der Gruppe angewendet?!
Ja, Gruppen-Regeln haben Vorrang gegenüber Interface-Regeln.
Und die letzte da erlaubt jeglichen Traffic der Clients auf das Standardgateway, also WAN.

Du benötigst eigentlich überhaupt keine Regeln auf der Grupppe.
Aber es sollte auch reichen, einefach die letzte Regel zu entfernen. Alle anderen betreffen nur ausgehenden Traffic, wofür die auch immer sind.

Doch wenn die Wireguard Clients auch lokale Ziele erreichen können sollen, musst du noch die Policy-Routing Regel auf externe Ziel beschränken.
Title: Re: Wireguard - Externe Verbindung über VPN
Post by: Cpt_Wonderful on November 28, 2025, 12:28:16 PM
Danke dir für die Ausführung. Wenn ich die Gruppenregeln entferne, funktioniert der Tunnel nicht mehr.
Die Letzte Regel hatte ich für den Handshake drin (IN) - Unnötig?
Und was mach eich bzgl. des Problems dass die VPN Clients nicht das ProtonVPN als 'exit-node' nutzen?
Title: Re: Wireguard - Externe Verbindung über VPN
Post by: viragomann on November 28, 2025, 12:45:23 PM
Quote from: Cpt_Wonderful on Today at 12:28:16 PMWenn ich die Gruppenregeln entferne, funktioniert der Tunnel nicht mehr.
Auch keine Verbindung vom Client ins Internet?

Quote from: Cpt_Wonderful on Today at 12:28:16 PMDie Letzte Regel hatte ich für den Handshake drin (IN) - Unnötig?
Ich habe von Wireguard keine Ahnung. Ich denke aber nicht, dass eine solche Regel nötig ist. Die betrifft eigentlich Verbindungen innerhalb des Tunnels und sollte mit dem Aufbau nichts zu tun haben.

Quote from: Cpt_Wonderful on Today at 12:28:16 PMUnd was mach eich bzgl. des Problems dass die VPN Clients nicht das ProtonVPN als 'exit-node' nutzen?
Die letzte Gruppen-Regel entfernen.

Okay, etwas detaillierter:
Wie geschrieben, musst du die Policy-Routing Regel auf ausgehende Verbindungen beschränken. Sonst erreicht der Client keine lokalen Ziel, was vermutlich auch erwünscht ist.
Für diesen Zweck ist es ratsam, einen Alias für RFC 1918 Netze (private Netzwerkbereiche ) anzulegen. Ich nenne ihn RFC1918 und füge
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
hinzu.

Diesen musst du dann in der Policy-Routing Regel als Ziel zusammen mit einem Haken bei "Invert" verwenden. Damit trifft diese Regel nur noch auch Ziel außerhalb der privaten Netze zu.

Du kannst zu Testen mal hinter dieser Regel eine Allow-any Regel stellen. Dann sollte eigentlich alles funktionieren.
Text only | Text with Images