Messages

Hi,

I'm hunting for a strange phenomenon, but perhaps even my concept could be better....
In short:
There is a home network, with a usual homerouter. All clients use this router as uplink to the internet.
There are two instances of OPNsense. One offsite (Hetzner), the other one in the local area network. Both are linked together by wireguard.
The local OPNsense has two Gateways. First = local Router (upstream), second = offsite OPNsense (far Gateway)
On the local OPNsense there is this LAN rule: All from source "service", offsite Gateway.
At the service machine, there ist the local OPNsense = default GW.

Now the behavior looks like this:
initial traffic from service (for example "ping") is directed to the remote OPNsense
traffic from outside is answered via router:

like ping from service to domain.org: ---> far gateway
ping from domain.org to service: --> answered via router

For me there seem no rules, that might explain this behavior.

I'm missing something!  :D






 

I'm happy. :-) Great!
Thank you!

Dear zerwes,

thank you for pointing out this detail of DNS handling by wireguard!
We did use DN. I switched to IP now... and will test.

Hi people,

we have the task, that we have an OPNsense VM with wireguard set up.
The OPNsense connects to an wireguard Endpoint (at Internet) through another virtual Router, that builds up the connection through a mesh network.

Now, after reboot of both machines, the virtual router needs "some" time to establish an internet connection. 
OPNsense starts, has no Internet link and wireguard-go stops and never tries again.

We tried to delay the boot of OPNsense, but this is just an insufficient workaround.
Is Monit the way of doing this? Did we miss something?

Regards
Christian

Hallo,

Code Select Expand

Interface : LAN : MSS auf 1300 und noch Mal testen
@mimugmail: Danke, das teste ich kommende Woche einmal aus.

Wir haben es jetzt mal getestet. An einem entfernten Standort wurden die Geräte vom Controller erst gefunden nach dem Anpassen der MTU. Jetzt MSS auf 1300 und es hat direkt geklappt. Toll!
Vielen Dank und liebe Grüße...

Hallo Ihr drei, danke Euch für die Rückmeldungen...

Code Select Expand

Interface : LAN : MSS auf 1300 und noch Mal testen
@mimugmail: Danke, das teste ich kommende Woche einmal aus.

Code Select Expand

moin, leider fehlt mir gerade der background, warum willst du die mtu anpassen, was ist dein problem?
@micneu: Wir haben verschiedene Effekte, wobei die Rückmeldung der Netzwerkgeräte beim Controller wohl die für uns offensichtlichste ist. Die UniFi APs haben dabei eher keine Probleme, aber die Switche alle. Das führt dann dazu, dass der Controller meint, die Switche wären offline.

Code Select Expand

Ich habe einen Telekom VDSL100 Anschluss und habe bei den Interfaces nichts an der MTU und MSS angepasst. Ich habe nur in den Wireguard Configs MTU=1380 angegeben, damit habe ich nach einigen Tests die besste Performance erreicht.
@Roger2k: Danke für den Hinweis. Die wireguard-Verbindung bauen wir über einen Kabelanschluss zu einer Art zentralem Gateway auf. Hier gibt es dann noch einen Mix zwischen Standorten, die noch via openVPN angebunden sind und wireguard-zu-wireguard Verbindungen.

Da eine Verkleinerung der MTU auf den Clients einen direkten Effekt hatte, würde ich jetzt auf MSS hoffen.

Hallo...

Ich hatte ja schon mal wegen der MTU bei wireguard gefragt, nun wollte ich meine Recherche aber erst abrunden, bevor es ans Justieren geht. Wenigstens der Unifi Dienst hat Schwierigkeiten mit der MTU von wireguard, so dass ich auf allen Endgeräten eine kleinere MTU lokal einstellen müsste.
Meine Kenntnisse zu diesem Thema gehen gegen Null, so dass ich z.B. rätsele, wie openVPN mit einer default MTU von 1500 klarkommen kann und irgendwann ist dann da ein Zahlendurcheinander in meinem Kopf. Nun hatte ich auch in einem anderen Thread hier gelesen, dass ein Anwender mit einer Anpassung von MTU/MSS Besserung erreichte. (Was das Zahlendurcheinander nicht besser macht)

Mein Wunsch wäre es, keine lokalen Anpassungen auf den einzelnen Geräten vorzunehmen, sondern z.B. an den Schrauben der wireguard Verbindung zu drehen. Einfach die MTU aufbohren wird wohl eher andere fiese Effekte haben oder eher noch das Problem verschlimmern.

Vielleicht hat jemand eine Idee, oder Gedanken dazu?

Liebe Grüße
Christian

p.s. Ich freue mich auch immer über vermeintlich überflüssige Details (Hintergründe)...

Ich hab im englischen Thread von dir geantwortet ..

Danke Dir.

Hi mimugmail,

thank you. I'll try turning UDP fragmentation on at client side.
The hint with saving some rules is what I was looking for. :-)

Hi,

I start the image from different device than "the ssd" (USB Stick for example). Login as installer and choose the ssd as destination.

Best regards

Hi,

I can't believe, that I'm the first one with this issue, so it's probably rather a problem between my keyboard and my chair...

After I installed WireGuard, there ist no ruleset (Firewall --> rules) for wireguard Interface. When I manually add a new Interface "WireGuard", there will be two rulesets "WireGuard". After removing of just added wireguard interface, everything seems okay, so there ist only one ruleset left.

Is that the intended workflow? :-)

And...

We have some udp traffic from collectd through wireguard tunnel. Unfortunately about 50% of those packets will not pass the tunnel, because wireguard mtu ist 1392 and those packets are > 1392.

Code Select Expand

IP 10.10.0.1.51518 > 172.16.200.6.2003: UDP, bad length 1393 > 1392

Has anybody an idea for best practice? I think of UDP fragmentation, adjust collectd packet size (possible?) or wireguard mtu changes.

Best regards...

Hallo...

wegen Deiner ersten Frage bin ich etwa auch hier.

Bisher hatten wir auf OpenVPN gesetzt, sind aber bei ersten wireguard-Teststrecken dabei, weil der Durchsatz beträchtlich besser ist. Bei OpenVPN hatte immer alles out of the box funktioniert. Bei wireguard haben wir noch mit ein paar Schwierigkeiten / spannende Phänomene.

Zu unseren Erfahrungen bezüglich der Regeln für openVPN und wireguard:
Mit openVPN wie ich es erwarten würde. Bei wireguard gab es keine Möglichkeit Regeln zu setzen und so griff z.B. ungewollt die default deny rule. Aber da hatte ich zuletzt immer manuell die wireguard Schnittstelle einem neuen Interface zugewiesen. Danach hatte ich dann 2x WireGuard unter Regeln, um dann das gerade manuell hinzugefügte Interface wieder zu löschen. Anschließend war es nur ein WireGuard Regelsatz und ich kann dort meine Regeln hinzufügen.

Also hierzu wollte ich gerade meine Frage stellen, wie ich diese Methode noch verbessern kann. :-)