Messages

Ich glaube , ich habe die Lösung gefunden.

Zunächst habe ich auf dem Notebook Wireguard-client deinstalliert und neu installiert. Anschließen habe ich das das WLAn als "Privates Netzwerk" eingerichtet. 

Hinweis wurde aus der website
https://www.andysblog.de/wireguard-server-unter-windows-einrichten
entnommen. Da steht:

"Eine Einschränkung scheint es zu geben: Die Clients können zwar auf den WireGuard-Server zugreifen (z.B. ping, rdp, usw.) aber umgekehrt vom Server auf die Clients klappt dies nicht. Die Netzwerkkategorie auf dem VPN-Client ist dabei richtig konfiguriert (Privates Netzwerk) und die gewünschten Dienste sind in der Firewall zugelassen."

Zusätzlich wurde in der Windows-Firewall als "Eingehende Regel" wiregauard.exe zugelassen.

Ja Windows ist halt nicht Linux.

Der code von Wireguard-client wurde Schritt für Schritt angepasst. Es klappt nun mit o.a. Code, selbst ohne die internen Subnetze als AllowedIPS anzugeben.

Selbst nach einem Reboot des Notebooks, läuft alles wie gewünscht.
Vielen Dank für die Unterstützung.
hdkirschbaum

Code Select Expand


[Interface]
PrivateKey = xxxxxxx
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = xxxxxxxxx
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = xxxxxxxxxx


Guten Morgen oder besser schlechter Morgen,

nach der Freude, daß gestern der Zugriff auf alle sunetze vom Notebook geklappt hat, heute morgen die große Enttäuschung. Nach dem Booten des Notebooks und Aktivieren von wireguard konnte kein subnetz erreicht werden.
Ichvermute, das liegt nicht an OPNsense sondern an windows.
Ich versuche heraus zu kriegen, woran dieses Verhalten liegt.

Vielleicht hat jemand noch einen Tipp....auch wenn es vielleicht an Windows liegt.
Schade !!!!
Gruß
hdkirschbau

Vielen Dank für die vielen Tipps.
Ich glaube der Tipps von @lewald und @chemlud waren die Lösung. Ich habe  alle möglichen Allowed IPS eingetragen, ebenso den Tunnel selbst. Zusätzlich wurde DNS erweitert mit 8.8.8.8.
Siehe Code

Somit scheint das Problem gelöst zu sein. Zur allgemeinen Information, Client.conf für mein Smartphone klappte die Verbindung ohne die o.a. Erweiterungen, auch die Verbindung auf das 2. Subnetzt. Es scheint wohl eine Eigenart von Windows auf meinem Notebook zu sein.

Nochmals vielen Dank für Eure Hilfe!!!!
Gruß
hdkirschbaum

Code Select Expand

[Interface]
PrivateKey =
Address = 10.10.0.2/32
DNS = 192.168.1.1, 8.8.8.8

[Peer]
PublicKey =
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

Hier der Code auf dem Notebook:

[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1

[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

[Meine Firewall Regeln]

Vielen Dank für die schnellen Antworten.
Hier meine Meine Firewall Regeln

Interface Wireguard:
IPv4 TCP/UDP   *   *   *   *   *   *      Allow WireGuard devices access to anywhere      
IPv4 UDP   WireGuard net   *   192.168.1.1   5310   *   *      ADGuard DNS

Interface LAN2 (hier NAS)
Protocol   Source   Port   Destination   Port   Gateway   Schedule      Description       
Automatically generated rules   
        IPv4 TCP/UDP   *   *   *   *   *   *      wiregard access to NAS      
        IPv4 TCP/UDP   NAS net   *   *   587 (SUBMISSION)   *   *      Allow SMTP ohne Surfshark      
        IPv4 ICMP   NAS net   *   This Firewall   *   *   *      NASnrt_To_Firewall_Ping      
        IPv4 TCP/UDP   192.168.2.100   *   This Firewall   6556   *   *      Checkmk allow      
        IPv4 *   NAS net   *   *   *   *   *      Allow alltraffic      
        IPv6 *   NAS net   *   *   *   *   *      Default allow LAN IPv6 to any rule

NAT For Ward
Interface   Proto   Address   Ports   Address   Ports   IP   Ports   Description      
LAN   TCP   *   *   LAN address   22, 80, 443   *   *   Anti-Lockout Rule   
         LAN   UDP   LAN net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS      
         WireGuard   UDP   WireGuard net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS      
         WAN   TCP   *   *   WAN address   22 (SSH)   192.168.2.100   22 (SSH)   NAT SSH to Miniserver

Zusätzlich muß ich erwähnen, daß ich über einen VPN-Server "Surfshark" ins Internet gehe.
In OPNsense ist ein "Surfshark - client" eingerichtet; Port 51280.
Unabhängig ob ich den Traffic über "surfshark" leite oder nicht (client auf OPNsense disabled) kann ich nicht von Extern auf das 2. subnetz zugreifen.

Gruß
hdkirschbaum

Peer:
allowed adress:10.10.0.2/32

Client 10.10.0.2
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
bei windows ist kein  Haken bei "Blockiere Verkehr außerhalb des Tunnels"

wird der Haken gesetzt, dann
AllowedIPS =  0.0.0.0/0, ::/0

Nach langem Probieren wende ich mich an Euch. Auf meiner OPNsense habe ich einen Wireguard -Server .
installiert.
Wiregard -Netz / Tunnel ist :10.10.0.0/24

Die OPNsense ist hinter der Fritzbox und folgende Interfaces:

WAN: 192.168.179.11
Lan 1 : 192.168.1.1
LAN 2 : 192.168.2.1
Wireguard-Server: 10.10.0.1

Die Instanz und die Peers wurden nach Anleitung eingerichtet und der Tunnel von Extern steht.

Ich kann ohne Probleme von Extern -  hier dargestellt als Notebook (10.10.0.2) - auf das Netzwerk hinter dem Interface LAN1 zugreifen, z.B. Aufruf des Apache auf Raspberry.

Was nicht klappt ist der Zugriff über den Tunnel auf das Netz hinter LAN2. Im Heimnetzwerk kann ich problemlos von Netz 192.168.1.0/24 auf 192.168.2.0/24 und umgekehrt zugreifen.

Warum klappt der Zugriff auf LAN1 und nicht auf LAN2. Bei einem log auf interface sieht man, es kommt nichts an, es wird nichts blockiert. Ich vermute es liegt irgendwie an forwarding oder NAT.

Ich bin sicher, für Euch Experten wird es leicht sein, mir eine Lösung / Tipp zu geben.

Jetzt schon einmal vielen Dank

hdkirschbaum

Code Select Expand

                                                                                                                           
                                                                                                                         
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           
  Wireguard   .------------.                                                                                               
  Client      + Notebook   |                                                                                               
  10.10.0.2   '-----:------'                                                                                               
                    :                                                                                                       
     ────────────────────────────────────                                                                                   
                    :                                                                                                       
      Tunnel10.10.0.0/24      Internet                                                                                     
                    :                                                                                                       
                    :                                                                                                       
     ───────────────────────────────────                                                                                   
                    :                                                                                                       
                    :                                                                                                  -   
              .-----+-----.                                                                                                 
192.168.178.1| Fritzbox  |                                                                                                 
              '-----+-----'                                                                                                 
                    |                                                                                                       
                WAN |192.168.178.11                                                                                         
                    |                                          Mailserver                                           -       
              .-----+------.                 .------------.    Nextcloud                                                   
Wireguard     |  OPNsense  +------LAN-2------+ Miniserver |    MySQL                                                       
Server        '-----+------'   192.168.2.1   '------------'                                                                 
10.10.0.1           |                                                                                                       
              LAN 1 | 192.168.1.1                                                                                           
                    |                                                                                                       
              .-------------                                                                                               
              | LAN-Switch |                                                                                               
              '-----+------'                                                                                               
                    |                                                                                                       
          |---------+--------|                                                                                             
          |                  |                                                                                             
          |                  |                                                                                             
    .------------.   .------------.                                                                                         
    + Client     |   +  Client    |                                                                                         
    '-----:------'   '-----:------'                                                                                         
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           


Vielen Dank für die schnelle Antwort. Die Tips von micneu und Patric  M. Hausen habe ich umgesetzt.
Ip der TV-Box ermittelt und in der LAN-Regel  als source eingesetzt, Gateway mit Default.
Klappt, kann trotz VPN über surfshark  fernsehen mit 1und1.tv.

So ganz rund ist die Sache jedoch noch nicht.
Bei der Verwendung der apps (1und1.tv) auf Smartphon und Tablet (beide Clients im LAN-Netz) erhalte ich weiter die Fehlermeldung :
Sie befinden sich gerade nicht im 1&1Heimnetzwerk.

Was zu erwarten war.
Wie finde ich eine Regel für das Smartphon oder Tablet, source und destination sind mir unbekannt.
Ist surfshark lokal auf dem Smartphon installiert kann die app 1und1.tv an VPN vorbeigeleitet werden. Es müßte auch für die opnsense eine einfache Lösung möglich sein.

Hallo,
ich habe in opnsense surfshark nach Anweisung installiert, VPN-Tunnel läuft. Ich habe nur ein Problem, wenn ich 1und1.tv (TV-Streaming) aufrufe, bekomme ich die Meldung:

Sie befinden sich gerade nicht im 1&1Heimnetzwerk.Der Stream kann daher aus rechtlichen Gründen leider nicht angezeigt werden.


Deaktiviere ich die Lan-regel

Protokoll => source => Port => destination => port => gateway
ip4 => LANnet =>* => * => * => SURFSHARKVPN_VPNV4

kann ich wieder auf 1und1.TV zugreifen, ohne Fehlermeldung, was zu erwarten war

Deshalb versuchte ich eine Regel vor o.a. Regel zu erstellen, die den traffic ohne VPN direkt zu 1und1.tv leitet.
Habe folgende Regel erstellt, die aber nicht funktioniert:

Protokoll => source => Port => destination => port => gateway
ip4 => LANnet  => * => 91.123.100.151 => * => *

Was muß ich in opnsense einstellen, um ein Splitting zu 1und1.tv zu erreichen.

Schon mal ein Danke für eine Unterstützung.

Wie würdest Du es da machen?

In Linux  per Crontab

# start hostapd  6:00
0 8 * * *  /etc/init.d/hostapd start
# stop hostapd  23:59
59 23 * * *   /etc/init.d/hostapd stop

Vielen Dank für die schnelle Antwort und die Empfehlung.
Opnsense läuft bei mir auf "terra black"  mit  athero-wireless. Für meinen kleinen Homebereich reicht die performance bisher aus und zunächst wil ich nicht in einen accesspoint investieren.

Deshalb nochmals meine Bitte, wie kann ich Wireless hostap in Freebsd per Cron steuern. In Opnensens fehlt ja diese Möglichkeit.

Ich möchte gerne wirelss über Nacht abschalten.

Für wireless ist der Prozess hostap zuständig. Dieser Prozess müßte eigentlich mit cron gestartet und gestoppt werden können.
Ich kenne mich leider  mit Freebsd  nicht aus. In opensens wird diese Möglichkeit unter Cron nicht angegeben.
In Linux wäre dies kein Problem. Gibt es ein script ???

Gruß
hdkirschbaum

[178]

Vielen Dank für die schnellen Antworten.
Im Netzwerkstruktur war ein Tipp-Fehler.

Die OPNsense hat als WAN-Schnittstelle 192.168.178.10 und nicht 192.168.179.10.

Werde den Hinweis  berücksichtigen und die ips im  Fritz-Netzwerk umbenennen.

Die Empfehlung für das Port forwarding werde ich zunächst mal einpflegen. Mal schauen, ob es damit klappt.

Vielleicht werde  dann doch vielleicht auf eine VPN-Lösung umsteigen.

[myfritz.net]

Guten Morgen

Ich bin Neuling mit OPNsense und habe zunächst die Firewall auf eine Terra Black Dwarf G2 installiet. Schritt für Schritt bin ich dabei OPNsense für meine Bedürfnisse zu konfigurieren und einzurichten.

Bisher war mein Netzwerk direkt an einer Fritzbox 7362 angebunden. Mit dydns myfritz.net konnte ich von Außen über das Internet auf Webseiten der angeschlossenen Raspberrys zugreifen.



      Internet
            :
            :
            :
      .-----+-----.
      |  Fritzbox  | 
      '-----+-----'
            |           
            |
      WAN  192.168.178/24
            |       
            |
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.178.24)
|   
|   --------PC (192.168.178.41)
|      
|   -------   Raspberry – Owncloud    (192.168.178.57)
|                               Extern   https;//ip.xxxxxxx.myfritz.net
|                                        
|      
|   -------   Raspberry-openHAB2   (192.168.178.22)
                Extern    https;//ip.xxxxxxx.myfritz.net:8080
 
In meiner neuen Netzstruktur ist zwischen der Fritzbox und dem Homenetz die  Firewall OPNsenseund ein Switch geschaltet.

     

      Internet
            :
            :
            :
      .-----+-----.
      |  Fritzbox  | 
      '-----+-----'
            |           |
            |
      WAN  192.168.178/24
            |
      .------------. 192.168.179.10
      | OPNsense | 
      '-----+------' 192.168.1.1
            |   
        192.168.1.0/24
         |
         |
      .------------.
      |   Switch   | 
      '-----+------'
            |              
            |
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.1.100)
|   
|   --------PC (192.168.1.101)
|      
|   -------   Raspberry – Owncloud    (192.168.1.102)
|                    extern ??????? https;//ip.xxxxxxx.myfritz.net
|                                        
|      
|   -------   Raspberry-openHAB2   (192.168.1.103)
           Extern?????    https;//ip.xxxxxxx.myfritz.net:8080
 


Ich möchte  nun auch wie bisher von Extern über das Internet auf die Raspberry-Anwendungen Owncloud und openHAB2 zugreifen.
In der Freigabe der Fritzbox ist OPNsense als Exposed Host deklariert, um Pakete direkt durchzuleiten.

Was muß ich in OPNsense einrichten, daß man mit dyndns myfritz.net auf die Raspberries zugreifen kann. Geht das überhaubt, oder muß man VPN verwenden?

Ich bin sicher, daß diese Frage oder ähnliches Problem schon mal im Forum behandelt worden ist, habe trotz Suche bisher nichts gefunden. Wenn dem so ist, schickt mir bitte den entsprechenden Link.

Wüde mich freuen, wenn ich einen Tipp bekommen kann.

Vielen Dank im voraus

hdkirschbaum