Messages

Bei dem WG-Port rödelt er aber immer weiter und ein Porttest von der Sense selbst, sagt auch "Connection refused" mit WAN-IP als Ziel und WG-Port

WG nutzt UDP und das kann man schlecht testen. Da deine Regel ok ist (bis auf das Protokoll), liegt es an etwas anderem. Du kannst ja das logging für diese Regel aktivieren und dich vergewissern, dass eine Verbindung stattfindet.

Dieser liegt bei 1500 Bytes MTU minus 8 Bytes PPPoE - 4 Bytes VLAN, also effektiv nur noch 1488 Bytes MTU bei PPPoE mit VLAN, wie es z.B. bei der Telekom üblich ist.

Die Telekom nutzt eine IP MTU von 1492.

Ethernet maximum frame size

The IP MTU and Ethernet maximum frame size are configured separately. In Ethernet switch configuration, MTU may refer to Ethernet maximum frame size. In Ethernet-based routers, MTU normally refers to the IP MTU.

Frame format

802.1Q adds a 32-bit field between the source MAC address and the EtherType fields of the original frame. Under 802.1Q, the maximum frame size is extended from 1,518 bytes to 1,522 bytes.

Das VLAN-Tagging hat also keinen Einfluss auf die IP MTU, um die es hier wohl geht. Es erhöht nur die "maximum frame size".

Ist das denn egal welche interface id ich nehme?

Ja, solange sie nicht zu groß ist oder doppelt verwendet wird.

IPv4 einstellen

Das wäre unklug. So gut wie alle Websites sind über IPv4 erreichbar, aber selbst einige der wichtigsten Sites sind nicht über IPv6 erreichbar.

dass ich mein LAN in weitere virtuelle LANs unterteile.

Absolut. Es wäre auch von Anfang an angebracht gewesen, da zumindest theoretisch "jemand" einfach die IP-Adresse einer Maschine hätte ändern können.

Show a screenshot of your WAN and Gatway config.

Warum statische Routen in der Fritzbox, warum Ziel: Diese Firewall. Aus letzterem mache WAN-Address.

Allow IP: <my vlan subnet>

This has to be 0.0.0.0/0

**Most Likely Cause**: Bug in OPNsense's WireGuard implementation regarding how forwarded traffic to specific networks is handled.

I don't think so and am suggesting to look elsewhere.

I forgot to mention that I use dynamic DNS for the WAN IPs.

I don't see why that would change anything, yet.
Edit: Ok, I see it. Maybe try OpenVPN instead.
Edit2: Or make the connection from the other side.

Me too.

What is the reason you are asking?

@Bob.Dig muss nicht. Bei einer P2P-Verbindung ist es tatsächlich wurst. Wenn ich einen Stern habe, kann ich z.B. in der Zentrale überall /32 eintragen und in den Niederlassungen /24 - dann können die auch miteinander sprechen.

Danke, wieder was "gelernt".

Allowed IPs für den Peer sollten für das Tunnelnetz immer /32 sein oder genauer gesagt, eben nur der jeweilige Peer selbst.

Wenn wir nun einzelne öffentliche IP-Adressen hinzufügen

Warum sollte man das machen... Und ein Netzwerkplan würde nicht schaden.