OPNsense Forum
International Forums => German - Deutsch => Topic started by: mordrad on May 08, 2021, 06:53:45 pm
-
Hallo zusammen,
ich bin so langsam am verzweifeln. Ich bin seit kurzem bei der Deutschen Glasfaser und neu bei Opnsense.
Ich versuche nun schon eine ganze Zeit mein VPN wieder einzurichten. Zuvor, beim alten ISP, hatte ich Wireguard auf meinem Homeserver laufen.
Ich habe verstanden, dass bei der DG nur IPV6 öffentlich erreichbar ist. Hatte das ganze auch anhand der Dokumentation eingerichtet. Allerdings war es mir dann nicht mehr möglich auf das Internet oder meine Internen Adressen zuzugreifen. Die WG Verbindung war allerdings sichtbar und handshakes wurden ausgetauscht.
Folgendes wäre mein Plan:
Telekom Mobilfunk (IPV6) -> Dyndns (WG IP) -> Opnsense -> Interne Geräte per IPV4 erreichen und auf das Internet zugreifen.
Funktioniert das so überhaupt, oder habe ich hier einen Denkfehler?
Muss das Tunnelnetzwerk auch auf IPV6 laufen?
-
Das funktioniert. Die Protokolle im Tunnel sind bei WireGuard grundsätzlich unabhängig vom Protokoll außerhalb des Tunnels. Du kannst also IPv6-Endpoint-Adressen verwenden und als Tunnelinterface-Adressen bzw. Allowed IPs IPv4-Adressen (oder IPv4 + IPv6).
Wenn Du deine Config postest (wg, Firewall, Outbound-NAT, Interfaces) kann dir bestimmt weitergeholfen werden.
Grüße
Maurice
-
Hallo Maurice,
erstmal danke für die Rückmeldung und die Bestätigung, dass ich nicht komplett neben der Spur bin.
Ich habe mich bei den Regeln versucht an der Dokumentation lang zu hangeln. Dann versuche ich mal alles sinnvoll aufzulisten.
WG:
Local
Listen Port 51820
DNS Server 192.168.2.1
Tunnel Address 10.10.10.1/24
Peer
Allowed IPs 10.10.10.2/32
interface: wg0
private key: (hidden)
listening port: 51820
peer: (hidden)
endpoint: [ipv6]:51820
allowed ips: 10.10.10.2/32
Interfaces:
WAN
LAN1
LAN2
LanBruecke (LAN1, LAN2) -> DHCP4
WG0
Firewall:
Outbound NAT:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static
WAN WG0 net * * * WAN address * NO
WAN:
Protocol Source Port Destination Port
IPv6 UDP * * WAN address 51820
LANBRUECKE:
Protocol Source Port Destination Port
IPv4* WireGuard net * * *
WireGuard:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * WireGuard net * * * *
Soo, ich glaube das war erstmal alles. Wenn ich das richtig sehe, würde die Verbindung dann aber auch nur klappen wenn im Quellnetz IPV6 verfügbar ist, richtig?
-
WG:
Local
Listen Port 51820
DNS Server 192.168.2.1
Tunnel Address 10.10.10.1/24
DNS-Server leer lassen. Die Option ist nur dafür gedacht, falls OPNsense selbst einen externen DNS-Server (durch den Tunnel) verwenden soll.
LANBRUECKE:
Protocol Source Port Destination Port
IPv4* WireGuard net * * *
Ist das eine "In"- oder "Out"-Regel? So oder so, hat eher keine Funktion.
Wenn ich das richtig sehe, würde die Verbindung dann aber auch nur klappen wenn im Quellnetz IPV6 verfügbar ist, richtig?
Falls mit "Quellnetz" die Internetanbindung des externen Geräts gemeint ist und dieses die Verbindung aufbauen soll: Richtig. Das gilt aber für alle eingehenden Verbindungen, nicht nur WireGuard. Mit CGNAT sind grundsätzlich keine eingehenden IPv4-Verbindungen möglich.
-
WG:
Local
Listen Port 51820
DNS Server 192.168.2.1
Tunnel Address 10.10.10.1/24
DNS-Server leer lassen. Die Option ist nur dafür gedacht, falls OPNsense selbst einen externen DNS-Server (durch den Tunnel) verwenden soll.
Ok, dass scheint es schon gewesen zu sein. Verbindung klappt jetzt fast wie gewünscht. Wenn ich es jetzt noch hinbekomme, dass die Namensauflösung der Hosts auch funktioniert dann ist fast alles gut.
Dann bleibt nur noch der Punkt mit den IPV4 Quellnetzen.
-
Ok, dass scheint es schon gewesen zu sein. Verbindung klappt jetzt fast wie gewünscht. Wenn ich es jetzt noch hinbekomme, dass die Namensauflösung der Hosts auch funktioniert dann ist fast alles gut.
So Namensauflösung klappt jetzt auch. Im Client war der DNS noch nicht angegeben. Das läuft jetzt also auch.
Dann brauche ich nur noch für das IPV4 Problem eine Lösung.
-
Dann brauche ich nur noch für das IPV4 Problem eine Lösung.
Du meinst, falls der Client nur IPv4-Internet hat? Das geht nur mittels einer externen Instanz, die über IPv4 erreichbar ist. Also z. B. WireGuard irgendwo in der Cloud laufen lassen oder eine öffentliche IPv4-Adresse hertunneln. Ist aber auf jeden Fall mit Kosten und / oder Gebastel verbunden.
Solange der Client über Mobilfunk verbunden ist sollte das aber kein Thema sein, da dort zumindest in Deutschland IPv6 weitestgehend läuft (Telekom und Vodafone auf jeden Fall, o2 soweit ich weiß mittlerweile auch).
-
Ja genau, wenn der Client mal nur eine IPv4 hat. Zum Beispiel im WLAN bei Freunden oder im Hotel. Da ist ja auch nicht immer gesagt, dass DS vorhanden ist.
Welche Lösung wäre denn am "einfachsten"? Wenns 1-2 € im Monat kostet, ist dass auch ok.
-
Hi. Ich habe das ganze über einen VPS gelöst. War für mich die beste Lösung. Kostet zwar 2,50€ im Monat, löst für mich aber so manches Problem mit Diensten hinter der OPNSense.
Auf dem VPS habe ich den WG Server installiert. Die OPNSense verbindet sich mit diesem.
So habe ich keine Probleme mit meinen WG Clients. Der VPS hat eine fixe IPv4 und ein IPv6 Subnet.
-
Hey, das klingt doch vernünftig. Hast du evtl ein paar mehr Informationen für mich?
Ist das dann quasi: Smartphone -> WG auf VPS -> WG Zuhause
Oder wie muss ich mir das vorstellen?