Hallo Zusammen,
ich habe auf meinem OPNSense eine Wireguard-Instanz aufgesetzt und zwei peers angelegt (iPhone, Laptop). Ich versuche Alles so einzurichten, dass ich von Unterwegs auf lokale Dienste zugreifen kann, die über einen Reverse-Proxy (Caddy) nur intern erreichbar sind.
Der Handshake scheint zu funkionieren und ich sehe auch einen grünen Haken am Peer wenn ich über die Weboberfläche reinschaue. Wenn ich allerdings versuche einen Dienst über den Revproxy zuerreichen, dann baut sich dieser nicht auf.
Wenn ich in das Live-log von OPNSense reinschaue, dann sehe eine grüne Zeile, die scheinbar auf Port 443 funktioniert. Die Zeilen danach finde ich aber Merkwürdig. Zumal sehe ich, dass der Peer scheinbar versucht über den UDP-Port 443 auf den Reverse-Proxy zu gehen (siehe Screenshot)??
Hier meine Peer-Konfiguration:
[Interface]
PrivateKey = ***
Address = 10.10.0.11/32
DNS = 10.10.0.1
[Peer]
PublicKey = vbhuQBxaP0Sh+LoboRlIUyE72TQ3FaPzO1ybd4tywX8=
PresharedKey = ***
Endpoint = meinedomaine.com:57444
AllowedIPs = 0.0.0.0/0
Was die Firewall angeht, habe ich das Wireguard-Interface (VPNWG), dass ich vorher über Assignments erstellt habe, in eine Gruppe "TrustedClients" gesteckt. In der Gruppe ist auch das normale Client-Interface drin (Laptops, PC's, Handys). Für das Client-Netz habe ich eine recht ausführliche Firewall-Tabelle gemacht und würde diese gerne einfach auf das VPNWG-Netz anwenden wollen - da ich im Prinzip über das VPN die gleichen Dienste erreichen möchte.
Ja, es ist der Reverse-Proxy als Firewall-Regel enthalten (TCP80, TCP443).
Was ich mich Frage, ob das richtig ist, dass ich das VPNWG-Interface in die Gruppe gesteckt habe, oder ob ich nochmal alle Regeln für das VPN kopieren muss?
Meine Fragen:
- Muss ich irgendwas beachten, wenn der Reverse-Proxy in einem anderen VLAN als Wireguard läuft?
- Muss ich die Wiregard-Schnittstelle in ein VLAN stecken? Und müsste ich an meinem Switch noch was anpassen, oder reicht dafür die die Konfig in OPNSense?
- Brauche ich ggf. eine statische Route?
Was ich sonst noch eingetellt habe:
- Outbound-NAT (hybrider Modus): VPNWG -> NAT Address (Interface Address)
- Unter System->Gateways->Configuration habe ich für Wireguard ein Gateway eingetragen (IPV4, Prio: 255, IP-Adress: 10.8.0.1)
Danke und grüße,
Michael;
Quote from: mfreudenberg on Today at 12:52:14 PM- Unter System->Gateways->Configuration habe ich für Wireguard ein Gateway eingetragen (IPV4, Prio: 255, IP-Adress: 10.8.0.1)
Das ist falsch - mach den mal weg.
Gateway-Einträge sind nur für externe Router, die die OPNsense selbst benutzt. Also beim VPN dann, wenn du allen Traffic von der OPNsense weg zu einem dieser "VPN-Anbieter" leiten willst. Bei einem Roadwarrior-Szenario braucht es das nicht.
Danke für den Hinweis. Habs das Gateway mal rausgeschmissen. Allerdings habe ich nachwievor das Problem. Was mich stuzig macht ist, dass ich im Log die erste Zeile sehe (grün) VPNWG in, 10.8.0.x -> 192.168.5.2 (Caddy) TCP443. Und danach kommt die Zeile (grün) Clients out, 10.8.0.x -> 192.168.5.2 (Caddy) TCP443. So als ob da irgendwo eine Route fehlen würde?
Der Gateway war nur das erste, was mir auffiel.
Mach doch auf das WireGuard Interface mal eine "allow any any" Regel und guck, was passiert. Und dann schauen wir weiter.
Jetzt sind zumindest die Zeilen mit dem UDP-Port 443 auch grün, komme aber trotzdem nicht auf die Dienste drauf.
Die Regel ist: IPv4 * VPNWG net * * * * *
Was ist was? Wenn du mir die Felder nicht drüber schreibst ...
VPNWG net ist Source? Das wäre wichtig.
Haben die Server, auf denen die Dienste laufen, denn die OPNsense als Default-Gateway?
QuoteWas ist was? Wenn du mir die Felder nicht drüber schreibst ...
Sorry, dachte da alles ein Stern ist ergeben sich die Felder :-). Hier mit feldern:
Protocol Source Port Destination Port. Gateway Schedule Description
IPv4 * VPNWG net * * * * *
QuoteHaben die Server, auf denen die Dienste laufen, denn die OPNsense als Default-Gateway?
Ja, opnsense ist der Standardgateway überall.
Habe gerade mal nachgeschaut. Der Reverse-Proxy hatte mehrere Schnittstellen. Ich hatte die Schnittstelle, die ins alte WAN geht noch als default gesetzt. Nachdem ich die Schnittstelle, die im Client-Netz hängt auf default gesetzt hatte hat es geklappt!
Danke für den Tipp!