Messages

Abschlussmeldung.
Es läuft jetzt alles.

Der letzte Fehler hat sich im Routing versteckt.
Das ist ein Screenshot von Standort2. Nachdem ich die Gelb markierten Zeilen gelöscht habe lief es. 

jumphost im jeweiligen lokalen netz?

Ich habe mir noch eine virtuelle Testumgebung aufgesetzt und dort funktioniert es ohne Probleme. Muss also ein Setting sein welches ich gerade nicht finde.

[fast]

Hallo zusammen und erstmal Danke für die Hilfe.
Ich bin ein riesen Stück weiter gekommen und es läuft auch fast alles.
Betonung liegt auf fast...

Das Interface an Standort 1 sieht jetzt so aus:


Ich habe ein paar Einstellungen getestet und neben 172.19.0.1/24 oder einer Tunnel IP würde alles laufen. Aber ich habe es jetzt wie vorgeschlagen so belassen.

Die peers sehen so aus (ohne Tunnel IP):


Die Firewall ist aktuell so eingestellt:


Hier noch die FritzBox:

Code Select Expand

[Interface]
PrivateKey = SECRET=
ListenPort = 50364
Address = 172.30.0.1/24
DNS = 172.30.0.1
DNS = fritz.box

[Peer]
PublicKey = SECRET=
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.29.0.0/24
Endpoint = opnsense123.de:51821
PersistentKeepalive = 25
[Peer]
PublicKey = SECRET=
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.19.0.0/24
Endpoint = opnsense123.de:51821
PersistentKeepalive = 25

Ich kann in den Netzen jetzt fast alle Geräte erreichen.

Standort 1 erreicht Standort 2 und 3
Standort 2 erreicht Standort 1 und 3
....

Das einzige was nicht funktioniert ist ... ich erreiche weder die FritzBox noch die OPNsense Box, also von Standort 1 nicht die 172.29.0.1 oder die 172.30.0.1

Ich habe mal ein tracert erstellt:

Code Select Expand


C:\Users\User>tracert 172.29.0.6

Routenverfolgung zu 172.29.0.6 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    24 ms    16 ms    16 ms  172.29.0.6

Ablaufverfolgung beendet.

C:\Users\User>tracert 172.30.0.6

Routenverfolgung zu pihole.url.de [172.30.0.6]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2    23 ms    26 ms    19 ms  pihole.url.de [172.30.0.6]
  3    36 ms    35 ms    31 ms  pihole.url.de [172.30.0.6]

Ablaufverfolgung beendet.

C:\Users\User>tracert 172.30.0.1

Routenverfolgung zu fritzbox.url.de [172.30.0.1]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3  ^C
C:\Users\User>ping 172.30.0.1

Ping wird ausgeführt für 172.30.0.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 172.30.0.1:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\Users\User>ping 172.29.0.1

Ping wird ausgeführt für 172.29.0.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 172.29.0.1:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\Users\User>


Wenn jetzt jemand noch einen Tipp hat, wie ich die IPs 172.29.0.1 und 172.30.0.1 erreichen könnte wäre ich sehr dankbar.

Die Settings sind in dem neuen Release jetzt auch nach legacy geschoben worden (müsste ich also auch irgendwann angehen). Bei der FritzBox ist auch nur IKE möglich und kein v2. Ansonsten ist es nur Spielerei und ich könnte auf eine Technologie (IPSec) verzichten.

Sorry aber das ist doch schon etwas her und war auch nicht wirklich meine Stärke. Ich bräuchte wirklich etwas Hilfe, was ich umstellen sollte, oder was ich noch konfigurieren müsste. Ich stehe hier wirklich auf dem Schlauch. Nur mit dem Wort disjunkt komme ich leider nicht weiter.

OK das ist ja tendenziell kein Thema, je Standort einen weiteren Tunnel anzulegen.

Ich habe ja aktuell nur Standort 3 nach Standort 2 eingerichtet und schon hier bekomme ich es nicht hin das hier die Verbindung korrekt funktionert.

Hast du hier eine Idee? Oder eine Anpassung die ich vornehmen kann? 

Hallo zusammen,
ich hoffe hier kann mir jemand helfen. Ich versuche gerade von funktionierenden IPSec Verbindungen (Site2Site) auf WireGuard umzustellen und bekomme es einfach nicht zum laufen. Orientiert habe ich mich an diesem Post aus dem Forum: https://forum.opnsense.org/index.php?topic=33087.msg160912#msg160912

Der Vollständigkeit hier ein Bild wie der Endausbau aussehen soll. Aktuell ist alles mit IPSec realisiert.
Ein funktionierendes WireGuard Roadwarriror Netz gibt es an Standort 2. Die IPSec Verbindung habe ich an beiden Standorten zum testen deaktiviert.

Code Select Expand


                         +---------------+                       
                         |  Standort 3   |                       
                         |  172.30.0.0/24|                       
                         |  FritzBox     |                       
                         +---------------+                       
                       /                  \                     
                      /                    \                     
                     /                      \                   
                    /                        \                   
                   /                          \                 
                  /                            \                 
                 /                              v               
+---------------v                               +---------------+
| Standort 1    | <-----------------------------| Standort 2    |
| 172.19.0.0/24 |                               | 172.29.0.0/24 |
| OPNsense      |                               | OPNsense      |
+---------------+                               +---------------+
                                                                       


Hier geht es erstmal um Standort 3 nach Standort 2

An Standort 2 sieht die Konfiguration so aus:

Instance


Peer Config


Auf der FritzBox an Standort 3 habe ich mir folgende config ausgeben lassen. FritzOS ist die 7.57.

Code Select Expand


[Interface]
PrivateKey = PRIVAT
ListenPort = 58037
Address = 172.30.0.1/24,dyndns.de
DNS = 172.30.0.1
DNS = fritz.box

[Peer]
PublicKey = PUBLIC_KEY_OPNSESNE
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.29.0.0/24
Endpoint = opnsense.de:51821
PersistentKeepalive = 25



Grundsätzlich scheint das auch alles zu funktionieren:





Bei den Firewall Einstellungen auf der OPNsense habe ich einiges versucht:


Die Verbindung baut sich auf aber ich kann keinen Ping an die Fritzbox Senden also an die 172.30.0.1.
Ebenso wenig hat Standort 1 nach Standort 2 geklappt aber evtl haben wir hier das gleiche Problem.
Auf der OPNsense an Standort 2 findet er bei einem Trace Route auch keine Route:

Code Select Expand

traceroute to 172.30.0.1 (172.30.0.1), 64 hops max, 48 byte packets traceroute: sendto: Host is down traceroute

Ich hoffe jemand hier hat noch eine Idee.

Beste Grüße