Messages

Hä,
ich habe nie gesagt, dass ich das in der Form so beim Kunden wirklich einsetzen werde, und auch geschrieben, dass ich sobald sowas beim Kunden einsetze werde, auf professionelle Hilfe zurückgreife. Zudem würde ich den Travelrouter auch nicht beim Kunden einsetzen. Eher Mikrotik etc. Hier ging es nur um einen internen kostengünstigen Feldversuch...

Ich habe mehrmals ausdrücklich geschrieben, dass die SPS mich gerade noch gar nicht interessiert und ich lediglich auf das Webinterface des Routers zugreifen will und das Problem zu 100% an den Einstellungen in der OPNSense liegen...

Darauf bist du nie eingegangen und hast immer wieder nach der nicht vorhanden SPS gefragt, um die es erst mal garnicht ging....

Egal. Es tut mir leid, dass ich deine Zeit in Anspruch genommen habe.

Ich habe alle Posts von mir gelöscht und lese mich einfach noch weiter ein. Eine Lösung wird hier nicht gefunden und deshalb hilft dieser Thread auch keinen anderem. Zudem scheint mein Systemaufbau ja nur gebastel gewesen zu sein und könnte andere in die Irre führen.

Deleted

Deleted

Deleted

Deleted

Deleted

Deleted

Oh man, es war wirklich alles richtig...
Die Verbindung wird erst aufgebaut, sobald ich überhaupt etwas im Netzwerkbereich 10.10.12.0 erreichen will...
Da muss man erst mal drauf kommen

Hallo,

ich versuche fast schon verzweifelt Wireguard in der OpnSense ans Laufen zu bekommen.
OpenSense wurde innerhalb von Proxmox als VM eingerichtet.
Ich habe bei Hetzner nur eine IP und deshalb habe ich folgende Regeln in Proxmox zu /etc/network/interfaces hinzugefügt:

Code Select Expand


auto lo
iface lo inet loopback

auto enp34s0
iface enp34s0 inet static
        address xxx.xxx.xxx.xxx/26
        gateway xxx.xxx.xxx.xxx
        post-up sysctl -w net.ipv4.ip_forward=1
        post-up iptables -t nat -A PREROUTING -i enp34s0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i enp34s0 -p udp -j DNAT --to 10.10.10.2

auto vmbr0
iface vmbr0 inet static
        address 10.10.10.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   iptables -t nat -A POSTROUTING -s '10.10.10.0/30' -o enp34s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/30' -o enp34s0 -j MASQUERADE
#OpnSense WAN - Proxmox LAN

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
#VM Net mit VLANS

auto vmbr2
iface vmbr2 inet manual
        ovs_type OVSBridge
#Service Bridge


OpenSense habe ich als Wan Interface ein vmbr0 Interface mit der IP 10.10.10.2 zugewiesen.
Das NAT scheint auch richtig zu funktionieren, da ich das OpnSense WebGui auch aus dem Internet erreichen kann.

Allerdings bekomme ich zu Wireguard (in OpnSense) einfach keine Verbindung zustande. Ich bin mir eigentlich sicher, alles richtig eingestellt zu haben. Betreibe die fast gleiche Kombination zu Hause, allerdings ohne das NATing auf Proxmox...

Wireguard soll auf dem Port 51820 (udp) hören. Wie kann ich herausfinden, ob das NATing (auf Proxmox) für udp richtig funktioniert und der Port 51820 direkt in die OPNSense weitergeleitet wird?

Ich habe folgende Firewall Regeln in OPNSense eingestellt:



WAN:

Code Select Expand


              Protocol     Source              Port    Destination       Port     Gateway    Schedule

Pass        IPv4 UPP          *                  *     WAN address       51820        *            *


WG1:

Code Select Expand


              Protocol     Source              Port    Destination       Port     Gateway    Schedule

Pass          IPv4*         WG1 net             *           *               *          *            *



Die Schlüssel etc. sollten soweit eigentlich auch passen. Mein Peer 10.1.0.12.2\32 ist auch meinem wg1 in der OpenSense zugeordnet.

Die TunnelAdress ist auf 10.10.10.0/24 eingestellt.

Hier noch meine Wireguard-Einstellung von meinem Client:

Code Select Expand


[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.10.12.2/32

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.10.12.0/24
Endpoint = xxx.xxx.xxx.xxx:51820


Vielen Dank schon mal im Voraus für's helfen.

das problem mit den routen besteht leider immer noch....

Wenn man OPNSense neu startet, dann fehlen die Routen wieder.
Erst wenn man händisch bei VPN->Wireguard auf aktivieren geht, werden diese wieder neu hineingeladen.
Wie kann man dies nach einem Neustart automatisieren?

Ich habe es nun hinbekommen.

Wichtig ist, dass man beim Clienteinstellungen des GL-AR750S im OPNSense als Allowed IP zusätzlich noch das Netz des GL-AR750S angibt (192.168.8.0/24). Dann werden die Routen automatisch in OPNSense generiert

Im Anhang ist ein Bild, wie ich mir es vorstelle.
Was muss ich da genau machen, dass es funktioniert ?
Es müsse ja ne Regel sein, die die Anfragen vom Computer 10.8.1.2 in das 192.168.8.1/24 Netz vom Router leitet?
Beim GL-AR750S kann man einstellen, dass Anfragen über den Wireguard-Zugang ins interne Netz weitergeleitet werden.

Hi,

ich würde gerne einen eigenen Wireguard Server betreiben, auf welchen sich verschieden Nodes anmelden können, und darüber eine side2side Lösung realisieren.

Als Nodes würde ich gerne auch die GL-AR750S (https://www.amazon.de/GL-iNet-GL-AR750S-Ext-Gigabit-pre-Installed-Included/dp/B07GBXMBQF) einsetzen, welche auf Baustellen als mobile Router für verschiedene SPS-Systeme eingesetzt werden sollen.

Bisher habe ich es hinbekommen, dass sich sowohl mein Computer als auch der GL-AR750S mit dem Wireguard Interface von OPNSense verbinden.

Die Tunneladresse vom WG1 Interface ist: 10.8.1.1/24
Die Clients haben gerade die Tunneladresse 10.8.1.2/32 + 10.8.1.3/32

Allerdings kann ich gerade noch keine direkte Verbindung zwischen den Clients aufbauen.
Das WG1 Interface mit 10.8.1.1 lässt sich allerdings pingen.
Zudem will ich mich auch vom Computer in das Subnetz des Routers (192.168.8.1/24) verbinden können. Ich denke, dass ich dafür noch eine NAT-Regel in OPNSense brauche. Was müsste ich denn als DNS bei den Clientverbindungen eintragen bzw. müsste ich dafür einen separaten DNS Server erstellen?


Wichtig ist, dass sich wirklich nur die Nodes und ihre eigenen Netze dahinter sehen können. mein LAN-Interface von OPNSense soll davon abgekapselt bleiben.

Ich danke euch schon einmal für eure Hilfe.

Ok, danke für die Hilfe.
Es lag an dem docker revers proxy. Mit dem traefik-docker-image funktioniert es nun.

Allerdings finde ich keine Lösung dafür, wie ich zertifizierte SSL Zertifikate ohne erhebliche Kosten für meine lokale Domains erstellen kann. Benutze ich letsencrypt, dann sind die Zertifikate ja für meine .de domain ausgestellt. Zudem muss ich ja die Zertifikate immer wieder erneuern. Dafür müsste ich ja dann auch den Port 80 zu meiner virtuellen Docker-Maschine aus dem Web freigeben. Aber genau das will ich ja gerade nicht...

Habe schon das halbe Internet leergesucht.

Ich will doch eigentlich nur erreichen, dass auch in meinem internen Netzwerk eine verschlüsselte Datenübertragung zu den Webservices möglich ist. Also ein reines Intranet mit verschlüsselter Datenübertragung.

Ich finde es irgendwie nicht ganz zu Ende gedacht, dass eine verschlüsselte Datenübertragung an eine CA gebunden ist oder man keine Möglichkeit hat, diesen selbst erstellten Zertifikaten unter allen Systemen dauerhaft (mit einfachen mitteln) zu vertrauen.

Praktisch passiert in meinen Augen gerade folgendes, sofern das notwendige Geld fehlt:

1.
Werden selbst signierte Zertifikate eingesetzt, dann werden Sicherheitswarnungen irgendwann ignoriert. Wie oft habe ich das schon gehört: Ja einfach das Sicherheitsrisiko bestätigen. Das führt dazu, dass dies auch bei einer potentiellen Gefahr ignoriert wird.

2.
Es wird einfach auf https verzichtet.

Vertrauenswürde Zertifikate gehen also nur mit einer public Domain (de, com, org,...) oder selbsignierte wo du diese zentral im Netzwerk verteilst (PKI oder auch Gruppenrichtlinien in einer MS-Domäne)

An deiner Stelle würde ich SplitDNS verwenden. So werden intern z.B. cloud.xyz.de auf die lokale IP aufgelöst, dort kannst du aber trotzdem ein LetsEncrypt Zertifikat hinterlegen, da der Name auf dem Zertifikat passt
Und das in Kombination mit dem HAProxy hast du auch nur eine Stelle wo die Zertifikate verwaltet werden

Wenn ich das richtig verstehe (kenne mich einfach zu wenig mit DNS etc. aus), dann brauche ich den HAProxy nur für die letsencrypt Zertifikate, damit ich diese bekomme und auffrische. Der Port 80 muss von meiner Fritzbox zum WAN-Port von OPNSense weitergeleitet werden, damit ich über http-01 die Zertifkate erhalte.

Die Zertifikate muss ich dann zu meinen Webapps in meiner virtuellen Maschine kopieren. Kann man dies mit OPNSense irgendwie automatisieren, zb. mit scp?

Mittels Ubound kann ich dann mittels Override die Anfragen, welche z.B. an webapp1.example.com gehen an die virtuelle Maschine umleiten?