OPNsense Forum
International Forums => German - Deutsch => Topic started by: Lixe on October 15, 2019, 10:54:16 pm
-
Hallo,
ich versuche gerade einen Wireguard VPN aufzusetzten. Die Verbindung klappt auch laut "List Config" und es werden wohl auch Daten übertragen. Allerdings kann ich weder auf die Firewall zugreifen, noch auf das Internet. Handshakes bleiben bei 0.
Ich habe das Interface wg0 zugeordnet mit dynamischer IP. Firewallregeln habe ich ebenfalls erstellt.
Hier mal ein paar Screenshots
(https://i.ibb.co/w61LCft/Bildschirmfoto-2019-10-15-um-22-36-24.png) (https://ibb.co/bdn3Lkt)
(https://i.ibb.co/b3XTwCZ/Bildschirmfoto-2019-10-15-um-22-37-45.png) (https://ibb.co/RScfrsm)
(https://i.ibb.co/2tv7SSb/Bildschirmfoto-2019-10-15-um-22-38-32.png) (https://ibb.co/J7vRqqh)
Opnsense -> List Config
peer: coxDErP4i...
endpoint: 185....:59421
allowed ips: 10.100.100.4/32
transfer: 14.45 KiB received, 8.98 KiB sent
Handshakes:
wg0 coxDE... 0
Clientkonfig:
[Interface]
PrivateKey = UB0LIU....
Address = 10.100.100.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = 6x1dGb53....
AllowedIPs = 0.0.0.0/0
Endpoint = meinDNS:51820
PersistentKeepalive = 25
-
Also wenn die Handshakes auf 0 sind wird nichts übertragen.
Hast du auf WAN den Port erlaubt? Siehst du da Traffic ankommen?
-
Ich glaube, da stimmt was mit den IPs nicht. Mach mal bei "Edit Endpoint" "10.100.100.4/32" rein und in der Clientconfig dann auch "10.100.100.4/32", statt "10.100.100.2/24".
Außerdem muss in der Firewall unter "WAN" Port "51820/UDP" auf "diese Firewall" erlaubt werden.
-
Danke für die Antworten.
WAN UDP Freigabe besteht, ich sehe unter List Config auch dass der Peer verbunden ist
(https://i.ibb.co/FzTs4V4/Bildschirmfoto-2019-10-17-um-21-46-50.png) (https://ibb.co/KWvNxwx)
peer: coxDErP4i..
endpoint: 185.*.*.*:49493
allowed ips: 10.100.100.4/32
transfer: 740 B received, 460 B sent
Ich bekomme trotzdem keinen Traffic über den Tunnel. Sonst noch jemand ne Idee?
-
Packet capture auf dem WG interface und hier posten bitte. Wenn bei sent und receive was steht kanns nicht mehr viel sein
-
Hallo
ich habe einen nahezu identischen Sachverhalt/Problem mit meiner Wireguard Konfiguration. Wie von mimugmail gepostet habe ich das VPN (WG) interface gesnifft.
Folgender Output:
7:22:23.004713 IP 100.64.0.11.22244 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:23.108644 IP 100.64.0.11.24473 > 8.8.8.8.53: UDP, length 44
VPN
wg0
17:22:24.447853 IP 100.64.0.11.26073 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:24.995814 IP 100.64.0.11.17859 > 8.8.8.8.53: UDP, length 39
VPN
wg0
17:22:25.008506 IP 100.64.0.11.22244 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:26.456994 IP 100.64.0.11.26073 > 8.8.8.8.53: UDP, length 36
********
Die DNS Anfrage des Client kommt anscheinend an aber dann geht es aber nicht weiter bzw. zurück
Im Firewall Log sehe ich auch Einträge:
Oct 18 17:46:22
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,27359,0,DF,17,udp,58,100.64.0.11,8.8.8.8,21858,53,38
Oct 18 17:46:22
filterlog: 120,,,0,wg0,match,pass,in,4,0x0,,64,27359,0,DF,17,udp,58,100.64.0.11,8.8.8.8,21858,53,38
Oct 18 17:46:21
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,27231,0,DF,17,udp,63,100.64.0.11,8.8.8.8,17552,53,43
Oct 18 17:46:21
filterlog: 120,,,0,wg0,match,pass,in,4,0x0,,64,27231,0,DF,17,udp,63,100.64.0.11,8.8.8.8,17552,53,43
Oct 18 17:46:20
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,26979,0,DF,17,udp,58,100.64.0.11,8.8.8.8,10938,53,38
****
Habt Ihr einen Tipp? Welche Konfiguration definiert den Rückweg? Auf dem VPN (WG) interface sehe ich nur eingehenden aber keine ausgehenden Netzwerkverkehr.
-
Screenshot von outbound Nat bitte
-
(http://)
-
anbei der Screenshot
-
Kannst du statt WireGuard Netzwerk das Tunnel Netz manuell rein nehmen?
-
anbei der Screenshot der Änderung
-
Wie kann ich denn so ein Packet Capture einstellen? Geht das übers Webinterface oder über SSH? Hab das noch nie gemacht :)
-
Ja über das Web-Interface
Schnittstellen -> Diagnose -> Paketaufzeichnung
Dort wählst Du die entsprechen Schnittstelle - meine Schnittstelle habe ich VPN genannt und startest die Aufzeichnung. Danach kannst Du dir das im Webinterface anschauen
-
Hast du irgendwelche PBR Regeln?
-
Was sind PBR Regeln?
Gesendet von meinem SM-N950F mit Tapatalk
-
Firewallregeln mit einem Gateway ausgewählt. Poste einfach mal nen Screenshot vom LAN tab der Firewallregeln :)
-
anbei die LAN Regeln
-
Ich konnte das Problem lösen, habe die Firewall von Grund auf neu aufgesetzt.
Allerdings habe ich nun das Problem, dass der Tunnel nur für wenige Minuten (etwa halbe Stunde) geht, anschließend ist wieder kein Traffic mehr möglich, auch die Handshakes bleiben aus.
Starte ich Wireguard neu über das Webinterface, funktioniert es wieder für ne halbe Stunde oder so.
Jemand dazu ne Idee?
-
Keepalive auf 5 in WireGuard setzen
-
Danke für deine Antwort. Leider erbrachte dies keine Besserung. Was ebenfalls so ist: nachdem für einige Minuten keine Verbindung mehr besteht, ist eine Neuverbindung nicht mehr möglich. Nach einem Neustart von Wireguard, funktioniert es wieder.
-
Das kommt nur wenn eine Seite dynamische IP s hat und bei einem von beiden der keepalive nicht, oder zu hoch ist