Hallo zusammen,
vielleicht übersehe ich ja was, aber:
Wenn ich in Opnsense (26.1.2) einen Wireguard Peer anlege, kann ich im Feld "Allowed IPs" die IPs / Netze angeben, mit denen sich der Peer verbinden darf.
[ "peer generator": Allowed IPS -> "List of networks allowed to pass through the tunnel adapter." ]
Schaue ich mir danach den Peer (Edit) an, steht in "Allowed IPs" die dem Client zugewiesene IP im VPN. Das Feld mit der Auswahl der Netze, zu denen sich der Client verbinden darf, fehlt! Ist auch nicht in der gespeicherten Opnsense Konfiguration (XML) enthalten.
[ "Peers" -> "Edit": Allowed IPs: gleiche Beschreibung, dort steht aber der Inhalt vom ursprünglichen Feld "Address" : "List of addresses to use on the remote peer,..." ]
Ist das ein Bug - falls ja, finde ich den ziemlich schwerwiegend - oder geht man davon aus, dass entsprechende Einschränkungen in den Firewall-Regeln abgebildet werden?
Danke und viele Grüße Michael
Ok, nach etwas (bzw. noch mehr) Recherche bin ich auf diesen Thread gestoßen:
https://github.com/opnsense/core/issues/7359
Tatsächlich ist es so, dass wireguard nur die Quell-IPs / -Netze prüft. Wo der Verkehr dann hin geht, ist wireguard egal. Das muss die Firewall richten.
Die Einstellung "Allowed IPs" macht nur den Eintrag in der peer configuration für das Routing. Der Client kann da aber was anderes reinschreiben, z.B. 0.0.0.0/0, und damit das ganze Internet durch den Tunnel routen. (Wenn ich's ihm nicht anderweitig verbiete.)
Schade eigentlich.
Sorry für das Rauschen, aber vielleicht gibt's noch andere, die denken, man könne wireguard peers über die Config in bestimmte Netze einsperren.
Viele Grüße Michael
Die AllowedIPs setzen zum einen die Routen, zum anderen definieren sie, welche Absender-Adressen der Peer verwenden darf. Die Ziel-Adressen aus der Sicht des Peers musst du per Firewall-Regeln einschränken, wenn gewollt.