OPNsense Forum

International Forums => German - Deutsch => Topic started by: wirehire on February 22, 2021, 10:45:54 am

Title: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 10:45:54 am
Hallo Ich habe auf 2 opnsense ein server / roadwarrior erstellt. die verbindung funtioniert, ping usw .

Probiere ich jetzt auf einen Gerä was dahinter ist per rdp zuzugreifen, geht das nur wenn ich in Floating ein all setzte. Ich sehe aber ohne die Reegel keine Blocks, sodas sich nicht weiß , welche Schnittstelle das Problem ist. Per tcpdump sehe ich das die Pakete beantwortet werden. Hat jemand einen Tipp wie ich am besten vorangehen kann um das Problem zu lösen?

Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 10:53:51 am
Warum NAT auf dem WireGuard Interface?

Bei mir funktioniert das alles prima. Legst Du die Regeln auf der WireGuard-Gruppe an oder hast Du ein Interface zugewiesen? Wenn Du die Regeln dort anlegst, kann es zu Reply-To-Problemen kommen. Versuch es sonst mal im Gruppen-Interface.
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 11:05:25 am
Danke für deine Antwort.

NAT dachte ich , damit er ausgehend über die WG Schnittstelle sendet (IP) , da ja nur eine IP erlaubt ist im Endpoint.

Ich hatte es zuerst im gruppen die Regeln gesetzt und danach eine Schnittstelle hinzugefügt.

Mittlerweile habe ich bei beiden gesetzt.

soll ich die Schnittstelle löschen?
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 11:13:48 am
Habe es jetzt die regeln nur im Gruppen Interface angelegt.

Muss ich dann den Endpoint anders einstellen, damit kein NAT von Nöten ist?
Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 11:18:28 am
Habe eben nochmal nachgeschaut. Bei mir läuft das aktuell sogar mit Regeln auf dem zugewiesenen Interface.

Ohne die Floating Regel siehst Du keinen Block? Was hat es mit der Block Regel in Floating auf sich?


Für ausgehendes NAT musst Du die existierende Regel auf dem WAN Interface die richtigen Quell-Adressen hinzufügen.
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 11:33:36 am
Danke für nachschauen.

Beim Floating meinte ich, setzte ich da ein ipv4* any dann kann ich mich verbinden. Deaktiviere ich es geht es nicht, sehe da aber auch nichts was blockt, sondern im log steht pass und im dump sehe ich auch antworten .

Kannst du mir den letzten Satz etwas genauer darstellen? Also NAT Regel löschen und auf dem WAN die WG Netze hinzufügen?

bei den autmoatischen rules müssten die wg netze doch hinzugefügt werden oder?, sehe gerade das sie das nicht sind, eventuell durch meine nat rule. lösche ich mal direkt und schaue ob sie dann erstellt werden.
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 01:08:32 pm
 Mit dem Nat habe ich rückgängig gemacht, weil die masquierung gebraucht wird, zwecks endpunkt.

 Nur mit den Regeln stimmt noch etwas nicht.

Kannst du mir deine mal zeigen?

 Wenn ich ipv* auf wg any erlaube und pinge sehe ich das es passed wird , es kommt aber keine Antwort. Im dump sehe ich aber, dass an die WG schnittstelle ein reply kommt.

 Oder klappt eventuell dann nicht das rückwärtige NAT , das er es zurück schreibt für den client?

setzte ich die floating rule ipv* any geht es aber und ich sehe die gleichen Pakete.

Habe mal zwei Bilder angehangen, setzt ich die float icmp regel geht der ping, deaktiviere ich geht er nicht mehr. tcdump zeigt ihn. und in den Bilder sehe ich kein Unterschied.
Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 02:41:20 pm
Ich verstehe nicht, wozu Du die NAT Regel brauchst. Wegen was für einem Endpunkt?

Erstell doch vielleicht mal einen Netzplan. Dann verstehen wir vielleicht eher was Du vorhast:
https://forum.opnsense.org/index.php?topic=7216.0
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 03:58:25 pm

 Die NAT Regel hatte ich , das er alles was von bestimmten lan ips kommt , auf die Wireguard Endpoint (peer) übersetzt, weil er sonst ja mit seine 192 IP pakete senden würde.

Und wahrscheinlich hast du damit mir die Augen geöffnet und ich müsste ein statische route auf der anderen Seite erstellen.

Hier erstmal der Aufbau:

Code: [Select]
      WAN / Internet
            :
       192.168.178.1     ------------------------    LAN 192.168.178.0/24
            :
      .-----+-----.
      |  Gateway  |                                          |
           
      '-----+-----'
            |
       192.168.178.47
            |
      .-----+------.   WG Interface
      |  OPNsense  +---------------
      '-----+------'   172.16.1.8          (172.16.0.0/28 und 172.16.1.0/28 erlaubt)
           


  Client soll über die Sense 192.168.178.47 ins lan Netz (172.16.1.0) hinter einer anderen Opnsense per  wireguard.

  Opnsense hat eine Verbindung zur anderen OPnsense per wg, mit der IP 172.16.1.8 und darf in die Netze 172.16.0.0 und 172.16.1.0)


 Ich hoffe das macht es etwas verständlicher.
Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 04:37:38 pm
Ok, also WireGuard Site-to-Site. Klang eher nach Roadwarrior.

Sind die OPNsense auf ihrer jeweiligen Seite der default-gw für das Netz? Wenn nicht, brauchen die Clients oder zumindest deren default-gw eine statische Route ins andere Netz.
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 04:55:56 pm
route gesetzt, nat regeln raus. von der anderen Seite kann ich den LAn PC anpingen.

Vom LAN PC bekomme ich immer noch nur ein PING hin, wenn bei Floating icmp allow erstelle. Obwohl ich die Pakte in den Schnittstellen sehe.

WG Regeln sind ipv4* all. Das sollte doch dann gehen oder?
Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 04:57:59 pm
route gesetzt,

sollte es nicht "Routen gesetzt" heißen? Brauchst Du die nicht auf beiden Seiten?
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 05:27:55 pm
die erste route setzt ja das wg selber , durch die Angabe der Netze.

Ich verstehe nicht warum nur bei einer floating rule ,der ping in die einer richtung geht, obwohl ohne floating rule, es mir in der FW LoG als Pass angezeigt wird und auch in beiden wg Schnittstellen ankommt (tcpdump) und der reply ja da ist.

Kann das ein BUG sein?
Title: Re: wireguard rdp nur mit floating regel
Post by: Gauss23 on February 22, 2021, 05:29:35 pm
Da bin ich leider raus. Keine Ahnung was die Floating Rule da zusätzlich erlaubt. Ich gehe immer noch von asymmetrischen Routing aus.
Dein Netzwerkplan zeigt leider nur die eine Seite.
Title: Re: wireguard rdp nur mit floating regel
Post by: wirehire on February 22, 2021, 08:35:05 pm
Ich dnake dir erstmal für deine Hilfe. Das routing funktioniert, sonst würde es generell nicht gehen. floating regeln , sind ja auch nur auf die Firewall bezogen und nicht auf das routing.
Habe es jetzt per pfsense genau so umgesetzt und da geht es sofort. Ich muss mir das noch einmal genau auf der opensense anschauen, da ich diese lieber benutzen möchte.