OPNsense Forum
International Forums => German - Deutsch => Topic started by: Schubbie on August 12, 2020, 06:38:40 am
-
Moin,
ich habe zwischen meiner OPNsense und einer entfernten FritzBox ein Site2Site VPN.
Auf mein Netzwerk will ich per WireGuard zugreifen (so ganz rund scheint WireGuard auf OPNsense noch nicht zu laufen). Aus meinem Netzwerk kann ich auf die entfernten Geräte zugreifen.
Nun bekomme ich es aber nicht hin, dass wenn ich mich mit einem Gerät per WireGuard in mein Netzwerk (WireGuard auf OPNsense) anmelde, ich auch die Geräte des entfernten Netzwerks erreiche. Es funktionierte 2x kurz (auch 1x mit meinem WireGuard, der parallel noch auf der Synology als VM läuft, bis der in OPNsense stabil ist).
Also ich möchte z.B.:
Smartphone -> WireGuard -> Heimnetz (OPNsense) -> IPsec -> entferntes Netzwerk -> Client
Ich möchte also per WireGuard in mein Netzwerk und dann von dort aus durch den Site2Site-VPN zur FritzBox die Geräte dahinter erreichen, so dass ich mich mit dem Smartphone nur an meiner OPNsense anmelden muss, um beide Netzwerke zu erreichen.
Der IPsec läuft und ich kann von allen Clients in meinem Netzwerk die Clients des entfernten Netzwerks erreichen.
Da ich im WireGuard-Client die "allowed IPs" dementsprechend einstellen muss, ist mir bewusst.
Hat jemand eine Idee oder ist wowas generell nicht möglich?
Mit freundlichem Gruß
Andreas
-
Moin
kenne mich zwar nicht mit WireGuard aus, jedoch ist das was du vor hast sicherlich möglich. HAbe solch etwas ähnliches bereits via OpenVPN und IPSec gemacht.
Ist eben alles eine Einstellung deiner Routen bzw. Netzwerke.
Stimmen die Routen (vor und "zurück")?
Gibt es IP Adress Überschneidungen?
Damit dir jemand helfen kann, braucht er dazu sicherlich einen kleinen Netzwerkplan sowie die IPs der dazugehörigen Geräte und deine Konfigurationseinstellungen.
Grüße
-
ich gebe dir recht, wireguard hat auf der sense gerade ein problem (bin auch der meinung das es noch nicht als stabil bezeichnet wird). merine empfehlung, will man was produktiv einsetzen und nicht nur zum testen/spielen nimm am besten erstmal noch OpenVPN. gut währe ein netzwerk plan und bilder deiner konfiguration (wie immer)
PS: deshalb habe ich beides konfiguriert, geht das eine nicht nehme ich das andere.
-
Ich muss per Smartphone eigentlich immer nur mit meinem Netz ständig verbunden sein, damit ich unterwegs per Festnetz erreichbar bin. Bisher habe ich WireGuard auf der Synology als VM laufen, soll da aber runter.
Also dass ich von unterwegs aus auch in das andere Netz kommen möchte, ist nur Spielerei, wäre aber schön.
Bilder der Konfiguration ist hier ja immer schwierig aufgrund der recht begrenzten Uploadgröße.
Ich hätte nun gedacht, dass man einfach eine Regel von X auf Y setzen muss.
Unabhängig meiner Konfiguration muss ich ja nur wissen, was generell eingestellt sein muss, damit ich mit einer funktionierenden WireGuard VPN-Verbindung auf eine andere funktionierende IPsec Verbidung komme.
Ich habe schon testweise Regeln erstellt, mit denen ich von WAN, WireGuard und LAN jede Quelle zu jedem Ziel erlaubt haben, welche ich bei Erfolg dann eingegrenzt hätte.
Konfiguriert habe ich nach:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
und
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Mit freundlichem Gruß
Andreas
-
Ich hätte nun gedacht, dass man einfach eine Regel von X auf Y setzen muss.
Unabhängig meiner Konfiguration muss ich ja nur wissen, was generell eingestellt sein muss, damit ich mit einer funktionierenden WireGuard VPN-Verbindung auf eine andere funktionierende IPsec Verbidung komme.
Naja.. So einfach ist es nicht immer.
Was du machen willst, nennt man Routing... Vielleicht hilft es dir, noch ein paar Seiten in der großen Suchmaschine darüber zu lesen.
Um die Frage "generell" zu beantworten: Es muss das Routing stimmen. Dann noch die FW damit dies entsprechend zugelassen wird.
Was noch fehlt ist noch immer die WireGuard Config und was wo für (private) IPs anliegen.
Weiter Fragen: Funktioniert bei dir WireGuard? Kannst du eine Verbindung aufbauen und zumindest Geräte erreichen jene in deinem "Heimnetz (OPNsense)" angeschlossen sind?
-
Ich glaube, ich schmeiße das Ding gegen die Wand. Die Nächte, die ich mir damit um die Ohren geschlagen habe, kann ich längst nicht mehr an 2 Händen abzählen, angefangen bei der Konfiguration von PPPoE.
WireGuard lief nach langem hin und her. Nun hatte ich festgestellt, dass der Handshake mit einem Key erfolgte, der für meine WireGuard-Installation auf der Synology verwendet wird, jedoch wurde der Handshake in OPNsense angezeigt und das andere WireGuard auf der Synology hatte ich vorsorglich ausgeschaltet. Nun wollte ich das korrekte Schlüsselpaar eintippen und damit funktioniert es nicht... Es war der Interface Private Key. Der Tunnel hätte doch mit dem falschen Key gar nicht laufen dürfen? Ich habe ein Win10 Tablet über einen Hotspot mit SIM-Karte im Internet, um eine ungewollte Verbindung auszuschließen und konnte damit auf meine Synology zugreifen.
Ich hatte es bei einer kopierten Regel festgestellt, dass diese nach Abänderung nicht funktionierte. Ein Löschen und exaktes Anlegen wie zuvor funktionierte. Ich hatte zuvor die alten Keys von meiner Installation der Synology auch im WireGuard der OPNsense eingetippt. Vielleicht ähnliches Porblem und ich muss WireGuard nochmals neu anlegen (Erstelle ich ein Backup, sind da jedoch die richtigen Keys drin).
Meine privaten IPs:
192.168.12.0/24 (Hausautomatisierung)
192.168.153.0/24 (Netzwerk für PCs, Drucker, Smartphones, Server)
192.168.210.0/24 (VoIP)
192.168.28.0/24 (Gastnetzwerk offen)
192.168.192.0/24 (Gastnetzwerk geschützt)
OPNsense hat: 192.168.153.1
Das entfernte per VPN-IPsec erreichbare Netzwerk hat 192.168.53.0/24
Ich gehe nun erstmal 1/4 Stunde schlafen und muss dann mit den Kindern los...
-
und jetzt bitte noch den netzwerk plan, von beiden seiten (opensen und fritzbox)
ich kann gerade nicht folgen welche ip bereiche zu welchem netz gehören, da helfen mir bilder zu den geschriebenen erklärungen
-
Warum nutzt du noch die fritzbox als gegensteuern. Stell dir doch einfach an dem anderen Standort eine weitere Sense hin und mache für die beiden Standorte mit OpenVPN das site2site.
so hast du an beiden Standorten das volle potential der sense.
Natürlich musst du dich mit routing auseinander setzen.
Und bitte den Netzwerkplan nicht vergessen
Gesendet von iPad mit Tapatalk Pro
-
Moin, endlich wieder zu hause... Von unterwegs aus kann ich keine Bilder per Android senden. Ich habe nur das betroffene in den Netzwerkplan skizziert. Ich muss ins Bett ;-)
Am anderen Standort gibt es die FritzBox, welche als Telefonanlage und Router fungiert, eine Synology 415+ und 2x im Jahr einenen Rechner sowie ein Smartphone (was eine Rentnerin halt so braucht...). Da wäre eine OPNsense übertrieben und wenn ich sehe, was die bei 1&1 für Probleme im Zusammenhang mit meiner Telefonanlage bereitet, die ich auch noch nicht im Griff habe, dann würde ich mir die Arbeit an anderer Stelle gerne erparen und der Tunnel zwischen Sense und FirtzBox läuft einwandfrei. Zudem habe ich so einen geringen Energiebedarf.
Ich könnte mir auch an dem Standort für meine mobilen Geräte einen VPN (auf FritzBox oder Synology) erstellen, jedoch wäre es ja so komfortabler.
Entschuldigt die Skizze, aber ich bin echt müde...
-
ok, na dann viel glück, die anderen haben ja schon geschrieben was du machen musst.
-
Ja, ich soll suchen.
Ergebnis, es soll ohne weitere Konfiguration einer Route funktionieren - funktionierte ja auch schon bereits.
Es soll nicht nötig sein ein Gateway anzulegen und darauf eine Route zu setzen. IPsec lässt sich bei mir auch gar nicht als Gateway setzen, es wird mir nur WireGuard zum Erstellen einer neuen Schnittstelle angezeigt.
Ich werde wohl nochmals (und ggf. nochmals) alles, was damit zu tun hat, löschen und wieder anlegen müssen.
Das Gefühl bleibt, dass einige Änderungen zwar angezeigt aber selbst nach Neustart der OPNsense nicht übernommen werden.
-
Nachdem ich nun schon wieder eine Nacht rumprobiert habe mal eine Frage. Funktioniert bei irgendwem momentan WireGuard in aktueller Version?
So wie ich es sehe, gibt es eine Problem bei dem Schlüsseltausch. Gebe ich im Windows-Client einen falschen Schlüssel an, dann wird der Teilnehmer ohne Anzeige, wann der letzte Schlüssel ausgetauscht wurde, angezeigt. Sind die Schlüssel korrekt, wird das Fenster mit dem Teilnehmer komplett geleert. Da dieses reproduzierbar ist, ist davon auszugehen, dass die Kommunikation klappt, jedoch irgendetwas mit dem Schlüsselaustausch nicht stimmt.
Auch scheint es ein Bug zu sein, dass in WireGuard (unter OPNsense) bei WireGuard unter "List Configuration" meistens nur etwas angezeigt wird, wenn ich nur 1 oder keine Endpunkt konfiguriere, bzw. unter "Lokal" wähle.
Das war beim ersten Test letzte Woche anders. Zuvor wurden mir glaube ich auch unter "Handshakes" immer die möglichen Verbindungen angezeigt, nun bleiben die leer.
Ich habe WireGuard mehrfach reinstalliert, die OPNsense neu gestartet, letztes Backup mehrfach eingespielt und WireGuard neu konfiguriert und OPNsense neu mit Version 20.7.0 aufgesetzt und auf 20.07.1 geupdatet.
Wenn WireGuard in aktueller Version momentan gar nicht auf der OPNsense funktionieren sollte, kann ich natürlich lange probieren.
-
Hey, ich jhabe dir vor ein paar tagen hier geantwortet, und da habe ich auch geschrieben das wireguard zurzeit auf der sense ein paar Probleme hat. Müsste der 3. Eintrag von oben sein.
Hast du den überlesen?
Gesendet von iPad mit Tapatalk Pro
-
Moin,
nein, habe ich nicht überlesen. Aber ein paar Probleme heißt für mich nicht, dass es komplett funktionsunfähig ist, sondern vielleicht gelegentlich neu gestartet werden muss oder ähnliches.
Also funktioniert eine Verbindung bei dir momentan auch gar nicht?
Kannst du ähnliches bei Reduzierung der Peers in WireGuard feststellen? Deaktivieren reicht.
-
es kann sein, ich habe jetzt nicht recherchiert warum es nicht geht, habe ja deshalb noch meine OpenVPN verbindung. deshalb hat es bei mir keine prio. ich warte bis der bug behoben wird. OpenVPN geht ja.
-
Dann wird der Bug hoffentlich schnell behoben, damit ich weiter testen kann.
Ich kann halt das Verhalten der Clients vergleichen, da ich WireGuard auch in einer VM laufen habe und es dort funktioniert.
Leider kann man unter OPNsense nicht alle Befehle per SSH verwenden, wie man es in der VM kann.
Edit:
Zum generellen Problem zu WireGuard gibt es im englischen Forum einen Thread. Wenn dieses behoben ist, kann ich hoffentlich weiter machen.
https://forum.opnsense.org/index.php?topic=18497.0