OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest23716 on October 17, 2020, 07:05:15 pm
-
Hallo,
Ziel:
Mit Wireguard-Client im Internet surfen
Was bisher läuft:
Ich habe nach dieser Anleitung Wireguard unter OPNsense installiert:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Der Tunnel wird aufgebaut und ich kann mit meinem Client (Smartphone) meine Server zu Hause erreichen, was schon mal sehr schön ist.
Problem:
Ich kann nicht mit dem Client im Internet surfen.
Wahrscheinlich wurde die Frage hier schon beantwortet, aber meine Suche ergab leider keinen Erfolg. Für einen Tipp oder einen weiter führenden Link wäre ich dankbar.
Vielen Dank schon mal
-
Was hast du bei Allowed IPs im Client definiert?
Du brauchst auf der OPNsense noch eine NAT Regel ausgehend (outbound) damit deine WireGuard Pakete vom Client die WAN IP als Absendeadresse bekommen.
-
Vielen Dank für die Antwort.
Allowed IPs: 0.0.0.0/0, ::/0
Ja, das habe ich bei meiner Suche auch scnon gelesen.
Die wg0 Schnittstelle einrichten und dann über:
Firewall > NAT > Outbound > Hybrid outbound NAT rule generation
eine Regel einrichten, wie u.a. hier beschrieben:
https://www.ovpn.com/de/guides/wireguard/opnsense
(s.u.)
nur leider bringt das keinen Erfolg ...
-
Die Anleitung stimmt aber nicht. Source ist ja nicht das LAN Netz. Sondern das Netz was du für WireGuard angelegt hast.
Meines Erachtens brauchst du eine Outbound Nat Regel auf dem Interface WAN mit Destination invert auf einen Alias, der alle lokalen Netze enthält.
-
Das hört sich gut an :-) vielen Dank
Ich bin hier allerdings nicht vom Fach.
Ich meine damit, könntest Du die Schritte noch mal idiotensicher formulieren?
Dafür wäre ich dankbar
-
... also ich brauche eine outbound-Regel mit:
Interface: WAN
Source Adress: Wireguard net
Destination invert: Haken setzen
Destination Adress:
... das mit dem Alias ist mir nicht ganz klar.
-
Vielen Dank nochmals, aber die Antworten haben mir nicht weiter geholfen.
-
Kein Haken bei invert und Destination any.
@Gauss: Da Interface WAN wird es nie einen match auf lokale Netze geben
-
Kein Haken bei invert und Destination any.
@Gauss: Da Interface WAN wird es nie einen match auf lokale Netze geben
Stimmt sorry, vorhin am Telefon zwischen Tür und Angel geantwortet.
Auch wenn es unnötig war, funktioniert hätte es trotzdem. Not local als destination wäre ja dann quasi immer gewesen, da es keine local Netze als Ziel gegeben hätte. Trotzdem unsauber und Danke für die Korrektur.
@scriptorius: hast du es hinbekommen?
-
Danke für die Hilfe und Geduld.
Ehrlich gesagt noch nicht so ganz.
Interface: WAN
Source Adress: Wireguard net (oder das konkrete "Wireguard-Netz" = 10.66.66.0/24?)
Destination invert: keinen HakenOsetzen
Destination Adress: (Alias mit den VLANs: 192.168.10.0/24, usw.?)
-
Nein bei destination einfach any, also so lassen, müsste der Standardwert sein.
-
Entschuldige. Eben nochmal die Anleitung angeschaut.
Ich habe das Thema total falsch verstanden. Ich dachte Du willst mit einem mobilen Client per WireGuard auf Deine OPNsense verbinden und dann über die IP der OPNsense surfen.
Du willst aber deine OPNsense als Client bei einem WireGuard-VPN-Betreiber nutzen und Deine sense soll den gesamten Verkehr darüber leiten. Stimmt das?
In dem Falle stimmt die Anleitung (von OVPN) natürlich.
Ich bin etwas irritiert, weil Dein Eingangspost nicht zu der Anleitung von OVPN passt. Das sind ja 2 unterschiedliche Themen.
-
Hallo,
entschuldige, ich arbeite mich gerade in die Themen Opnsense und Wireguard ein.
Deshalb ist für mich vieles nicht selbstverständlich.
Nein, das hast Du richtig verstanden :
Ich möchte mit einem Client zu Hause über meine Opnsense mit Hilfe von Wireguard surfen.
Und mir sind die Einstellungen nicht klar.
Deshalb wäre ich dankbar, wenn man mir eine eindeutige Antwort geben könnte
(also eine, die idiotensicher ist :-)
-
Währe es nicht besser sich erstmal mit den Grundlagen der sense auseinander zu setzen und später die Themen machen die anspruchsvoller sind? Ich habe auch mal klein angefangen und kann immerfort nicht alles.
Gesendet von iPad mit Tapatalk Pro
-
Du willst von intern anonym ins Internet und die OPN soll per WireGuard sich zu einem Dienstleister verbinden? Dann such dir den Dienstleister aus und schau dir die Anleitungen zu Mullvad undvAzire an.
-
Ein wenig kenne ich mich schon aus.
Ich hatte mal Wireguad separat auf einem kleinen Debian Server laufen.
Das hat sehr gut geklappt.
Ich frage mich gerade, warum die Antwort so schwierig zu sein scheint. :-)
Wireguard gilt doch als einfach zu installierendes VPN ...
Was mein Anliegen ist, wird eigen schon im ersten Schreiben deutlich ;-)
-
Das der Bauer nicht schwimmen kann muss nicht an der Badehose liegen.
Alle, inklusive dir, raten hier nur.
Also bitte Screenshots von
OPN: local instance, endpoint, outbound nat, assigned ifs, Gateways
Client: wg config
-
O, jetzt wird es respektlos und beleidigend.
Ich komme von pfsense, weil die Community von OPNsense als freundlich gilt - bist Du die eine Ausnahme?
Ich frage mal bei administrator.de
Vielleicht können die mir weiter helfen ;-)
Aber danke für Deine Zeit.
Ich habe gelernt, dass ich betonen muss, dass meine Installation zu Hause steht.
-
Wow da ist ja jemand zart besaitet.
Auch wenn Du das vermutlich nicht mehr liest:
Deine Angaben waren eben sehr widersprüchlich. Daher hat mimugmail das einzig richtige getan und Dich nach den Fakten gefragt, was ich vielleicht von Anfang an hätte tun sollen.
Was mein Anliegen ist, wird eigen schon im ersten Schreiben deutlich ;-)
Steht in Widerspruch zu:
Ziel:
Mit Wireguard-Client im Internet surfen
Was bisher läuft:
Ich habe nach dieser Anleitung Wireguard unter OPNsense installiert:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Der Tunnel wird aufgebaut und ich kann mit meinem Client (Smartphone) meine Server zu Hause erreichen, was schon mal sehr schön ist.
Problem:
Ich kann nicht mit dem Client im Internet surfen.
Wahrscheinlich wurde die Frage hier schon beantwortet, aber meine Suche ergab leider keinen Erfolg. Für einen Tipp oder einen weiter führenden Link wäre ich dankbar.
Vielen Dank schon mal
Das fett gedruckte liest sich leider so, als ob Du Dich von außen mit einem Endgerät zu Deiner OPNsense verbindest und Deine Server zu Hause erreichen kannst. Nur eben das Surfen ging nicht. Daher mein Hinweis auf fehlende NAT Regel auf dem WAN Interface, damit eben auch Pakete aus dem WireGuard VPN über die sense ins Internet geführt werden.
Und dann postest Du:
Hallo,
entschuldige, ich arbeite mich gerade in die Themen Opnsense und Wireguard ein.
Deshalb ist für mich vieles nicht selbstverständlich.
Nein, das hast Du richtig verstanden :
Ich möchte mit einem Client zu Hause über meine Opnsense mit Hilfe von Wireguard surfen.
Und mir sind die Einstellungen nicht klar.
Deshalb wäre ich dankbar, wenn man mir eine eindeutige Antwort geben könnte
(also eine, die idiotensicher ist :-)
Also nix mit Client von außen, sondern ein Client, der schon in Deinem Netz ist und dieser soll eine WireGuard Verbindung von einem anderen Dienstleister nutzen. Was hat das mit dem Ausgangsposting zu tun? Du vermischst hier Themen und rennst dann heulend weg, weil wir nach Fakten fragen?
Viel Erfolg bei administrator.de. Vielleicht schilderst Du denen Dein Problem mal strukturiert.
-
Kommentare zur Person haben in einem solchen öffentlichen Forum meiner Meinung nach nichts zu suchen.
Die kann man seinem persönlichen Tagebuch anvertrauen (wenn man da ein dringendes Bedürfnis verspürt) ;-)
Um denen einen Denkanstoß zu geben, die evtl. vor dem gleichen Problem stehen, wie ich stand, möchte ich meine Lösung als Denkanstoß hier geben:
Es musst tatsächlich zu den oben bereits zitierten Lösung von "Krenn":
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
... eine NAT > Outbound Regel erstellt werden und
einen Eintrag in Services > Unbound > Access Lists
um über die VPN_Verbindung mit einem Client um Internet zu surfen.
[Wireguard und OPNsense
Wireguard Plugin installieren
System > firmware > Plugin
> os-wireguard installieren
Wireguard Local konfigurieren
Dashboard neu laden, damit der Wireguard Eintrag unter VPN angezeigt wird
VPN > Wireguard > Local
> +
> Name: OPNsense
> Listen Port: 51820
> DNS Server: 192.168.1.1 # Adresse der Firewall
> Tunnel Address: 10.11.0.1/24, fd42:42:42::1/64
> save
> unter: bearbeiten ist zu sehen, dass der private und öffentliche Schlüssel generiert wurde
Wireguard Client (z.B.: Smartphone) konfigurieren
> Wireguard-App installieren
> +
> Neu Erstellen
> Name: xiaomi
> Adressen: 10.11.0.2/24, fd42:42:42::2/64
> DNS-Server 10.11.0.1
> MTU: 1420 # bei ipv6 mindestens 1280
> gedrehter Pfeil: privater und öffentlicher Schlüssel werden generiert
> Teilnehmer hinzufügen
> öffentlicher Schlüssel: > öffentlicher Schlüssel vom Server (unter: Local) <
> Endpunkt: dyndns:51820
> Erlaubte IPs: 0.0.0.0/0, ::/0
Firewallregel WAN
Firewall > Rules > WAN
> +
> Action: Pass
> TCP/IP Version: IPv4+IPv6
> Protocol: UDP
> Source: any
> Destination: WAN adress
> Destination port range: (other) > 51820 > from + to
> Description: Allow Wiregard Traffic
> save > Apply
Wireguard Endpoint konfigurieren
> VPN > Wireguard > Endpoints
> Name: xiaomi
> Public Key: > öffentlicher Schlüssel vom Client (Smartphone) <
> Allowed IPs: 10.11.0.2/32, fd42:42:42::2/128
> save
ACHTUNG:
unter: VPN > Wireguard > Local
> bearbeiten
> Peers: xiaomi (s.o.) # angelegten Endpoint hier anwählen
> save
Wireguard enablen
> VPN > Wireguard > General
> enable: Haken setzen
> save
Firewallregel Wireguard
> vorher WAN-Regel „bearbeiten“ ohne etwas zu ändern > save > Apply
# dann erscheint unter Firewall > Rules > Wireguard
IPv4
Firewall > Rules > Wireguard
> +
> Action: Pass
> Interface: WireGuard
> TCP/IP Version: IPv4
> Protocol: any
> Source: Wireguard net # oder: Single host or network > 10.11.0.0/24
> Destination: any
> Destination any
> Description: Allow Wiregard Traffic
> save > Apply
IPv6 # Regel kann kopiert werden und nur auf IPv6 ändern
Firewall > Rules > Wireguard
> +
> Action: Pass
> Interface: WireGuard
> TCP/IP Version: IPv6
> Protocol: any
> Source: Wireguard net
> Destination: any
> Destination any
> Description: Allow Wiregard Traffic
> save > Apply
siehe:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Firewallregel: Outbound NAT
IPv4
Firewall > NAT > Outbound
• Hybrid outbound NAT rule generation
> save > Apply
• Add
> Interface: WAN
> TCP/IP Version: IPv4
> Protocol: any
> source address: Wireguard net
> alles andere: any
> save > Apply
IPv6 # Regel kann kopiert werden und nur auf IPv6 ändern
Firewall > NAT > Outbound
• Hybrid outbound NAT rule generation
> save > Apply
• Add
> Interface: WAN
> TCP/IP Version: IPv6
> Protocol: any
> source address: Wireguard net
> alles andere: any
> save > Apply
Access Liste konfigurieren
IPv4
Services > Unbound DNS > Access Lists
> + Add
> Access Lis Name: Wireguard
> Action: Allow
> Networks: 10.11.0.0/24
> Description: Allow Wireguard DNS IPv4
IPv6
Services > Unbound DNS > Access Lists
> + Add
> Access List Name: Wireguard
> Action: Allow
> Networks: fd42:42:42::0/64
> Description: Allow Wireguard DNS IPv6
... das sind jetzt nur Stichpunkte, man muss sicherlich im Thema sein, um diese zu verstehen.
Wer sich allerdings länger mit dem Thema Wireguard beschäftigt und sich die ausführlich Anleitung bei "Krenn" ansieht, wird hier schnell die Anregungen verstehen und diese auf sein "Setting" anpassen können.