Messages

Hallo!

Ich hatte das selbe Problem. Als ich dann die SIP-Verbindungen von UDP auf TCP umgestellt habe lief wieder alles.
Auf die Idee das dies plötzich am IDS liegen könnte bin ich nicht gekommen, zumal ich auch extra nochmal FW rules eingerichtet hatte die explizit UDP Verbindungen zur FB erlaubt hatten .....

Yes, in and out everything allowed.

BTW, access to 10.1.1.0/24 works fine ...

So,
if I understand right:

peer: 1
  endpoint: 10.98.0.12:51820
  allowed ips: 10.98.0.12/32
   persistent keepalive: every 25 seconds

peer: 2
  endpoint: 10.98.0.11:51820
  allowed ips: 10.98.0.11/32
  persistent keepalive: every 25 seconds


should work (10.98.0.0/24 is only used for WG peers).

So far so good. Now I have a new effect:

10.98.0.11 can ping 10.11.1.1 (Endpoint of VPN), but not access it's Webpage.
If peer 2 is the only peer, and allowed ips: 10.0.0.0/8 is used this works.
Any hints?

Somehow I still don't get it.

My complete network is 10.0.0.0/8 - consisting of the local LAN, some VLANs, some other VPN connections (via IPsec).

Which config is needed so each Wireguard client is allowed to reach any IP of this 10.0.0.0/8 network?

Maybe I have a missunderstanding on my side.

I understand "allowed IPs" are the IPs the client is allowed to access on the remote side.
Is this wrong?

Regards
CDS

Hi there,

after having a working Wireguard config with one Endpoint so far I started to add more to the same "local" point.

I can't get this working - if add more than one endpoint the config gets screwed.
The config for each endpoint is - beside IP and keys - identical.
When I add the 2nd endpoint, "allowed IPs" of the 1st one is shown as NONE - in config page this is correctly set.
Adding a 3rd endpoint results in even 2 showing in the config at all.

Any ideas?

interface: wg1
  public key: XXXXXXXXXXXXX=
  private key: (hidden)
  listening port: 51820

peer: 1
  endpoint: 10.98.0.12:51820
  allowed ips: 10.0.0.0/8
  transfer: 0 B received, 7.23 KiB sent
  persistent keepalive: every 25 seconds

peer: 2
  endpoint: 10.98.0.11:51820
  allowed ips: (none)
  transfer: 0 B received, 6.07 KiB sent
  persistent keepalive: every 25 seconds

OK,
habe es selber gefunden. Wenn man in der Konfig keinen Peer auswählt ist blöd .....

Hallo zusammen!

Ich bekomme Wireguard (rover) nicht ans laufen.
Ich sehe das die Client Pakete auf dem WAN ankommen, durch die Firewall gehen, nur dann passiert nichts mehr.
Irgendwie finde ich auch wenige Möglichkeiten Wireguard selber zu loggen.

Hat da jemand Tips für mich?

Naja,
die Auswahl der korrekten Phase1 - nebst zugehörigem PSK - funktioniert ja wohl auch auf Basis der öffentlichen Client IP. Warum der Rest dann nicht ist mir nicht einsichtig.

Hallo Again...

so, ich konnte das Problem jetzt isolieren.
Offensichtlich hat der IPSec Server ein Problem damit wenn zwei Phase1 Konfigs den selben Peer Identifier verwenden (ich hatte aus Bequemlichkeit bei beiden 0.0.0.0 eingetragen), obwohl der Peer ja schon eindeutig durch die Source-Address identifiziert wurde. Bei der ZyWall hat das funktioniert hat.

Gruß
Carsten

Hallo!
Ich bin auf keiner Seite hinter NAT, entspechend ist NAT-T auch nicht aktiviert.
Exakt diese Konfig lief mit der Zyxel USG...

OK,
habe ganz scharf geschaut, und das was mir verdächtig vorkommt ist folgende Meldung, nur was sagt mir das?

3[NET] ignoring IKE_SA setup from 77.4.65.219, per-IP half-open IKE_SA limit of 5 reached

Das würde genau die Verbindung betreffen die nicht geht ....

Leider nicht ohne weiteres - dann müsste ich ja die Konfig auf den Remotes auch ändern.
Die sind leider recht weit weg, so das ich Bedenken habe mich auszusperren ....

Hallo!

Ja, es ist immer der letzte Tunnel der funktioniert.
"Tunnel Isolation" ändert daran leider nichts.

Gruß
Carsten

Hallo zusammen!
Ich bin gerade in den letzten Zügen meiner Umstellung von einer Zywall USG auf OPNsense.

In meiner Config sind zwei IPSEC VPNs, bei denen ich ein sehr komisches Verhalten habe: Das Routing funktioniert immer nur zu EINEM von beiden, die Verbindung wird aber bei beiden als aktiv angezeigt.

Kurzer Umriss der Konfig:

Lokales Netz: 10.0.0.0/8

Remote 1: 10.10.0.0/16
Remote 2: 10.11.0.0/16

Wenn nur eine der beiden Phase 1 aktiviert ist, dann funktioniert die Verbindung und das Routing einwandfrei.
Sobald aber beide aktiv sind, funktioniert nur eine der beiden, wobei bei der nicht-funktionalen im Status zwar eine aktive Verbindung, aber bei den Details keine weiteren Infos angezeigt werden.
Die Konfiguration hat auf der USG wunderbar funktioniert
Irgendwelche Tips?

Carsten