Messages

[OPNsense 24.1.8-amd64]

I have a problem with Wireguard: with one of the latest updates (OPNsense 24.1.8-amd64) has actually stopped working: it pings on any machine in the network, but nothing else works, it seems that everything hangs at the wireguard "card" level, neither you browse the Internet nor you can connect to any resource, what you get is always and only a time-out; do not even work traceroute and tracepath, even on the address of the router and even on the address of the Wireguard instance.
the most curious thing is that as an Android client everything works correctly, from PC (Debia 12 or Debian 12 based) nothing works.

trying to figure out what happens, I found this rule in the firewall with a "no redirect" of the NAT Port-forward on the LAN, wanting to change the rule refers me to "advanced setting" of the firewall, questions:
1) Who created this rule?
2) how to modify it? the documentation is not at all clear
3) Can it be necessary to create a firewall rule for port-forwarding the (or) instance (instances) Wireguard? used in "Road Warrior", the documentation is very poor
4) why does Android work and not on the PC (Linux)?

excuse my English ;)
waiting for ideas
greetings

that I do not understand and for which I cannot find the solution

I have configured two WireGurad interfaces and the "peer" needed for each, make the connection, I can ping/traceroute both on external and internal LAN IPs (2 "hops" on the LAN as you would expect, the necessary on external addresses/ domains; tracepath does not get to conclusion and on the LAN stops at the first "hop"), but as soon as I try to access anything (both external Domains/ IP, both internal IP to the LAN), it blocks everything and remains (Would loop) to wait you do not know what, examples:
1) wanting to access the WEB interface of the printer that is in LAN or the WEB interface of OPNsense, accesses, the browser - I tried both Google Chrome and Mozilla Firefox - sends an unrecognized certificate notice, I accept the risk and hangs up waiting for you do not know what;
2) wanting to access through SFTP/SSHFS to a shared resource, it regularly accepts the command, but it remains in an endless waiting (and, from terminal, it is not even possible to interrupt the command);
3) the same thing happens if I attempt SSH access.
from the logs that I was able to set and consult no "strange" activity results
... but the strangest/curious thing of all is that from any Android everything works regularly, while from PC (all GNU/Linnux Debian systems or derivatives).

what can it be? or, alternatively, where can I try to look to figure out what's going on? and most importantly, how could I try to fix it?
you have to consider that until the previous version of OPNSense (23.7), everything worked regularly, the solution is to return to that version?

OPNsense version
OPNsense 24.1.1-amd64
FreeBSD 13.2-RELEASE-p9
OpenSSL 3.0.13

waiting for ideas or solutions
greetings

[os-wireguard-go]

... o è OPNsense bizzoso? ...

situazione:
router/firewall aggiornato qualche giorno fa dalla 23 a
OPNsense 24.1.1-amd64
FreeBSD 13.2-RELEASE-p9
OpenSSL 3.0.13

fino a all'aggiornamento i peer Wireguard si collegavano normalmente (macchine Linux Debian 12 / Mint LMDE 6) e sfogliavano la rete normalmente, finito l'aggiornamento si collegano, si può fare ping/traceroute (tracepath) su tutta la LAN, ma tutto finisce lì, qualunque altra cosa si voglia fare ci "pensa", parecchio, e poi si ottiene un time-out.
la cosa più strana è che se faccio le stesse operazioni da un tablet/smartphone Android funziona tutto regolarmente.

c'è anche un'altra stranezza:
il plugins os-wireguard-go non è presente nel repository (missing), ma risulta installato, che fine ha fatto?

[Debian 11]

after some updates (no idea which is the offender) of Debian 11/Mint LMDE 5 machines and the router (OPNsense, currently at 23.1.5_4-amd64), there is no possibility to browse then LAN or the WEB after connected via Wireguard.

from terminal everything seems to work (ping and tracepath on various domains and LAN addresses, ssh on LAN machines, sshfs connects requested resource regularly, then timesout when trying to do a simple ls - I haven't tried nfs nor sftp , the shares are temporary -), but as soon as I try to access whatever it doesn't do anything anymore and the result is always a timeout ...
the most curious thing is that if I do the same operations from an Android tablet everything works perfectly, I have a (personal) FritzOS 7.50 router (to another LAN) and even with this everything seems to work; so the problem would seem to be between OPNsense and Linux, Linux in particular because if everything works from Android, but the suspect remains OPNsense, because until the latest updates everything worked ...
what could be the problem? version problem?

further details:
Android Wireguard version 1.0.20230412 (from Google Play)
OPNsense Wireguard version (FreeBSD 13.1) 1.13_5
Wireguard Linux version 1.0.2.20210223-1
Linux kernel 5.10.0-21
Network Manager 1.20
resolvectl on link Wireguard Current Scopes: none

sorry for my bad english (Google Traslate  ;) )

[non si accede più in VPN]

5 giorni fa ho aggiornato via GUI alla 23.1.1_2-amd64 (è su un mini PC recente; FreeBSD 13.1.-RELEASE-p6, OpenSSl 1.1.1t7Feb2023), quello che succede è che
1) da PC (Debian 11 e/o LMDE 5) non si accede più in VPN Wireguard, mentre
2) si accede normalmente (con lo stesso conf Wireguard) da Android (11)
:o

browser PC Firefox 102.8.0esr / Chrome 110.0.5481.177, Android 110.1.0
idee?

non ho ancora affrontato il problema e quindi non ho approfondito, ma avete controllato se esista da qualche parte un reindirizzamento alla pagina del captive, che alla prima richiesta di accesso ad Internet obblighi il browser ad accedere alla pagine su porta 8000? senza doverla specificare

[wiguard-go]

the problem is perhaps in Wireguard, which has a decidedly bizarre behavior ...
I reinstalled the ex-new OPNsense and now everything works, except Wireguard: last night he did not do the handshake, without being able to understand why, the client (Android) reported outgoing traffic and no incoming, but on OPNsense there was no traffic .
this morning I made an update (to 22.1.10) and now I have the wiguard-go service stopped and whatever I do does not start; I tried to uninstall and reinstall, with the same result (probably uninstalling does not delete everything and leaves things, so I will have to intervene from the shell to delete "by hand" everything concerning Wireguard)

sorry my english (google translate)

... continuo con la saga ...

... stasera sono tornato all'ufficio, mi sono collegato (ethernet) e ... si viaggia normalmente!!! ... :o :o :o ...

in compenso non si accede alla GUI con nessuno degli indirizzi disponibili (LAN, OPT1, OPT2, WAN), ma se mi collego in VPN (Wireguard, dopo essermi collegato ad un'altra rete, in questo caso una tethering dal telefonino, ma accedevo anche dalla rete di casa) non soltanto continuo a navigare, ma accedo anche alla GUI con qualunque degli indirizzi della (WAN, LAN, OPT1, OPT2) .. :o :o :o ...

... idee su cosa potrebbe essere successo? a naso un problema di NAT/Firewall, ma quale? in pratica il Firewall è configurato per far passare tutto, così dicasi per il NAT ...

... non so dove pubblicare ...
... con parecchia pazienza sono riuscito a preparare un router/firewall/gateway, basato su un miniPC con 4 porte RJ45, per la rete di un ufficio di amici; lo ho preparato a casa, attaccato al mio router, quando tutto ha funzionato come doveva lo ho portato in ufficio, lo ho attaccato al modem-router che hanno, mi sono collegato con il PC alla LAN e nulla funzionava o, per meglio dire, funzionava tutto, salvo che il fatto che dal PC non uscivo in Internet, se facevo un ping dalla GUI di OPNsense (Interfaces->Diagnostics->Ping) rispondeva normalmente, se lo facevo dal PC rispondeva che non trovava nulla ... :o ...
da casa all'ufficio sono cambiati l'IP della WAN (sotto DHCP), quindi il Gateway (il router di casa -> il router dell'ufficio) e il DNS server (idem per il Gateway) .. cos'altro può essere successo?

la cosa ancor più strana è che tornato a casa mi sono collegato in VPN (Wireguard) e funziona veramente tutto, sono collegato in questo momento e vedo il traffico (non poco) ...  :o :o :o ...

idee?

Maybe for WireGuard it's just a DNS issue (don't set DNS servers in WireGuard config).

in the Wireguard configuration I don't have any DNS.

one thing, however, I must say: with the previous version (22.1.8? I don't remember) Wiregurad worked normally, without even the need to create rules for the Firewall, I have no idea what has changed.
I must add that at boot (or reloading the services) this message appears on the console:
Running wireguard-go is not required because this kernel has first class support for WireGuard; For information on installing the kernel module, please visit: https://www.wireguard.com/install

because? how can it be solved?

regards
luigi

[All (recommended)]

GUI access:
although Listen interfaces is set to "All (recommended)", only the IP of the LAN interface is accessed.
the same goes for SSH access.

the GUI reboot works if and especially when it wants: after giving it, think about it, go back to the "dashboard" and, with ease, start again, obviously whatever you do you will need to log in.

... and now the most serious problem: Wireguard.
however you set it does not do the handshake even with hammer blows, but not only, if you set the NAT and firewall rules following the instructions in the guide, in particular that relating to Road Warrior clients (https://docs.opnsense.org/manual/how-tos/wireguard-client.html) you completely stop accessing the LAN and therefore also the Internet, you need to access the console and disable the Wireguard interface from here.

if anyone has the opportunity to report these problems to the developers is welcome, then if there are those who have solutions, especially as far as Wireguard is concerned, they are even more welcome.

thanks for your attention
(sorry my bad english)

[All (recommended)]

accesso alla GUI:
malgrado Listen interfaces sia settato a "All (recommended)" si accede soltanto dall'IP dell'interfaccia LAN.
lo stesso dicasi per l'accesso SSH.

il reboot da GUI funziona se e soprattutto quando vuole: dopo averlo dato ci pensa un po', ritorna alla "dashboard" e, con comodo riparte, ovviamente qualunque cosa si faccia richiederà il login.

... ed ora il problema più serio: Wireguard
comunque lo si setti non fa l'handshake neppure a martellate, ma non solo, se si setta il NAT e le regole del firewall seguendo le indicazioni della guida, in particolare quella relativa ai clients Road Warrior (https://docs.opnsense.org/manual/how-tos/wireguard-client.html) si smette del tutto di accedere alla LAN e quindi anche ad Internet, è necessario accedere da console e disabilitare l'interfaccia Wireguard.

se qualcuno ha la possibilità di segnalare questi problemi agli sviluppatori è benvenuto (l'inglese non è il mio forte e, comunque non saprei a chi segnalare), se poi c'è chi ha soluzioni, soprattutto per quanto Wireguard, è ancor più benvenuto.

grazie per l'attenzione

[allowed ips]

su un macchina (un miniPC) ho installato OPNsense, che si trova dietro un router Fritz!Box (ho una connessione FFTH, il router è attaccato via WAN ad un ONT); la macchina OPNsense finirà in un paese africano dove ho una connessione simile, cioè dovrà essere dietro un router (Nokia) attaccato ad una FTTH.
sul OPNsense ho configurato una Wireguard ("server") e due client, uno per un tablet Android, l'altro per un notebook Linux (Ubuntu); i client sono praticamente identici salvo lo allowed ips, stessa rete, cambia soltanto l'IP (*) e la Publickey, ovviamente ognuno i propri.
sui client il file di configurazione è praticamente identico, salvo l'IP e la Privatekey nella sezione [Interface] , le sezioni [Peer] (interfaccia Wireguarda OPNsense) sono identiche.

quello che succede è:
1) il tablet si collega e naviga normalmente, permettendomi anche di vedere la rete a monte del OPNsense
2) il notebook sembra collegarsi (vedere List Configuration nello screenshot allegato, è il peer vUu9e...; non fate caso alla lingua, finisce in paese francofono), ma
        a) neppure fa il ping verso l'interfaccia Wireguard di OPNsense, figurarsi navigare, anche se sembra ci sia traffico
        b) ogni volta che si collega cambia porta (evidenziata in rosso nello screenshots) rispetto a quella definita nella configurazione (evidenziata in verde)

perché? idee? soluzioni?

(*) per quanto in molte guide Wireguard si dica di mettere come allowed ips 0.0.0.0/0 per permettere la massima flessibilità e, soprattutto, la possibilità di accedere alla LAN dietro Wireguard, almeno con OPNsense non funziona, anzi, blocca del tutto la navigazione.

resto in attesa di idee, almeno, grazie  :)

luigi

non capisco il senso di voler accedere ad una macchina delle rete interna dalla rete pubblica utilizzando l'IP "pubblico" (in realtà Synology e QNAP - che offre lo stesso servizio - utilizzano una specie di IP dinamico: registrano sui loro server la tua macchina e il tuo IP pubblico, il link che ti danno non è altro che il riferimento alla coppia IP pubblico+nome macchina, su cui vengono aperte delle porte), dalla rete privata dovresti accedere semplicemente con l'IP della macchina (o con il nome host, se hai questa possibilità - dipende dal router e/o dal tuo file hosts, se lo hai).

... o forse non ho capito bene quello che vuoi fare ...  ;)

hai risolto?

io ho avuto qualche difficoltà con il firewall a configurare una wireguard per accesso alla rete, ma configurato questo e scelta con cura la porta (eviterei la default 51820) funziona tutto, velocissimo.
per il tuo problema devi pensare che WG è sostanzialmente una p2p, quindi i concetti di "server" e "client" sono piuttosto relativi, tutti e due i punti di accesso possono essere (sono?) "server" e "client", dipende esclusivamente da come si configura il firewall.

saluti