Messages

Super, dass Du es so schnell hinkriegen konntest!

DNS bin ich nicht ganz so tief drin.

Aber wenn ich dein Problem jetzt richtig verstehe, werden die Geräte im LAN der OPN2 als DNS Server vermutlich direkt die OPN2 haben.
Und diesem müssen dann die PC-Namen der anderen Seite bekannt gemacht werden.
Wenn du es manuell pflegen kannst, kannst du im DNS das einfach hinterlegen. Bei Unbound unter Unbound DNS - Overrides den Host anlegen.
Dnsmasq nutze ich (noch) nicht, da gibt es aber den Menüpunkt Hosts.

Moin,
das sieht alles im Ansatz schon gut aus denke ich!

Aber halte dich doch mal an die Anleitung und richte auch Regeln auf opn2 ein. Der Windows Client wird eine Regel haben, die ihm den Internetzugriff erlaubt und kann darüber den Tunnel aufbauen.
Nach meinem Verständnis arbeiten 2 OPNsenses direkt hier etwas anders.

https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

So wie es jetzt eingerichtet ist, wäre opn1 Responder vom Tunnel und opn2 Initiator. Ich würde auf opn2 noch Keep Alive 25 setzen damit von dort der Tunnel immer offen gehalten wird. Wenn opn2 hinter NAT ist, ist Keep Alive auch zwingend notwendig. Falls du bei opn2 kein NAT hast, kannst du über Keep Alive noch nachdenken ob du es willst, aber zum Testen wäre es sicher auch nicht verkehrt.


Falls du so nicht weiter kommst, findest du im Zweifelsfall in den Firewall-Logs ggfs. noch etwas, falls irgendwo was geblockt wird.


Viel Erfolg!

Edit: Knebb war schneller und würde ich auch so machen. Falls du Roadwarrior und Site-To-Site willst, würde ich auf opn1 zwei Wireguard Instanzen anlegen.

Nokia G-010G-R hat Deutsche Glasfaser mit dem Anschluss zusammen geliefert und verwende ich weiter bei Vodafone.

Ich hatte auch etwas Schwierigkeiten den Anschluss einzurichten.
Ich kriege nicht mehr zusammen, was ich alles probiert hatte. Es hat lange gedauert, bis ich festgestellt hatte, dass meine USB-Netzwerkkarte kein VLAN kann.
Anfangs hatte ich auch noch den Anschluss auf DS-Lite und habe darüber auch keine Verbindung hinbekommen.

Ich habe dann von Vodafone noch den Anschluss auf Dual-Stack umstellen lassen.
Ich habe Vodafone gesagt, dass ich das brauche für Online-Dienste und VPN und wurde zum nächsten Werktag kostenlos umgestellt und die opnsense konnte sich problemlos einwählen.

Is everythink ok with carp? No demotion?
You can find log entrys in System > Log Files > General.

Did you leave the peer in the virtual IPs on default / empty?
I have problems like you, when i set a unicast adress there.


Why are you confused about the pfsync interfaces?
They have nothing to do with carp. You need it for the config and state sync, not for carp.

Moin,

ich persönlich fände es etwas aufwändig für so einen Einsatzzweck eine komplette OPNsense administrieren zu müssen.
Ich habe es daher für einen ähnlichen Fall anders herum gebaut, den Wireguard Server der FritzBox genutzt und auf einem Server von mir dann als Wireguard Client eingerichtet. DynDNS ging über MyFritz.
(Später wurde aber nochmal umgebaut auf Site-to-Site zwischen OpnSense und FritzBox, da noch mehr zwischen den Standorten passieren sollte)


Aber ich denke du hast vermutlich auch deine Gründe für den gewählten Aufbau und funktionieren müsste das auch gut.


Wireguard hast du alles richtig?
Wenn ich richtig weiß: Wenn Standort A nur Responder sein soll, lässt du da Endpoint Adress weg und Standort B muss Keep Alive 25, damit der Tunnel auch immer offen bleibt. 

Zu den Regeln:
Port 51820 ist nur der Zielport.

Du brauchst dann an Standort A nur eine Regel wie:
Action
Pass
Interface
WAN
Direction
In
TCP/IP Version
IPv4
Protocol
UDP
Source
*
Destination
<WAN IP Standort A>
Destination port
51820
Description
Allow Wireguard from Site B to Site A



Standort B braucht keine Regel in der FritzBox.

Moin,

Home Assistant ist komplett richtig eingestellt bzgl. Routing und Standardgateway?

Default Deny und solche Fehler hatte ich schon bei asynchronem Routing.


Ansonsten kannst du das Regelwerk bzw. Reihenfolge der Regeln nochmal überprüfen.
Hier ist es gut beschrieben:
https://docs.opnsense.org/manual/firewall.html#processing-order

Ich habe oft Regeln, die mehrere Interfaces auf derselben opnsense betreffen unter Floating, das wird zuerst abgearbeitet und da finde ich es direkt.
Best-Practice sieht aber vielleicht anders aus oder ist auch Geschmackssache.

Wenn du testest, bitte auch daran denken, dass unter Umständen Regeländerungen nicht sofort greifen. Du kannst die States sonst zurücksetzen unter Firewall / Diagnostic / States

Viel Erfolg!

The internal network identifier (optXX) must be the same on your devices!

Hi cklahn,

Zweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?

Ja.

Übersehe ich eine Einstellung bei IPsec?

Ich kenne nur die legacy Tunnel Einstellungen (und habe mittlerweile auch alle Tunnel auf Wireguard umgestellt )
Da gibt es den Punkt "Connection Method" in Phase 1, wo du eine Seite auf "Start immediate" stellen könntest und die andere Seite auf "Respond only".

Eine mögliche Alternative wäre vielleicht noch die Einrichtung eines DynDNS-Dienstes auf der Kundenseite.

Gruß

Ok.
Meine Umstellung ist am Montag. Ich werde berichten.

Sorry, mir fehlt leider auch noch etwas Erfahrung mit ipv6.

Hilft dir vielleicht ein Traceroute um Unterschiede festzustellen?


Gibt es eventuell noch andere Geräte im Netzwerk, die über ipv6 irgendwas verteilen wollen? Ich hatte auch sporadisch keine ipv6 Verbindungen als ich noch die FritzBox vor der opnsense hatte, ich weiß aber nicht mehr, was ich genau gemacht habe und irgendwann habe ich es auch umgebaut.

Hi,
ich habe nächste Woche genau dieselbe Umstellung (Vodafone FTTH über DG Leitung)

Ich wäre daher über weitere Erfahrungen von dir sehr dankbar! Insbesondere ob es bei CGNAT bleibt würde mich interessieren.

Nutzt du auch Telefonie oder nur Internet?


Ich vermute du (bzw. wir) werden ein VLAN ID mitgeben müssen.

Unter Interfaces - Other Types - VLAN kannst du ein Device für das VLAN erstellen. Laut Schnittstellenbeschreibung von Vodafone VLAN 7 oder 132.
Danach kannst du unter Interfaces - Assignment deinem WAN Interface das neue Device zuweisen.

Ist hier vielleicht vorher schon ein Fehler in deiner Konfiguration oder vergibt dein Provider dir überhaupt öffentliche ipv6 Adressen oder ein Subnetz?
fe80 sind ja nur link-local Adressen in ipv6.

edit: gerade auf dem zweiten Bild gesehen, dass ja eine Adresse 2a00: zugewiesen wird.

Geht vom Gateway aus ipv6 korrekt? https://docs.opnsense.org/manual/ipv6.html#basic-setup-and-troubleshooting
Wenn das geht, Interfaces - LAN auf Track Interface unter ipv6?

Wenn du Firewall und Paketfilter deaktivieren musst, damit es funktioniert, müsstest du andersrum im Log ja sehen können, was geblockt wird.

Hi,

kann den Fehler bestätigen, bin auch betroffen.

Es wird aber schon daran gearbeitet https://github.com/opnsense/plugins/issues/4392

Gruß

Hallo,
ich habe damit keine Erfahrung, aber über System > Firmware > Packages kannst du dir sqlite3 als Datenbank nachinstallieren.

Reicht das vielleicht schon für deine Bedürfnisse aus?

Gruß

Hallo,
ich würde fast schon vermuten es ist ein sehr einfacher Fehler oder der Fehler ist vielleicht anderswo zu suchen.

Falls du jetzt sehr viel eingestellt hast und schon probiert hast, vielleicht noch einmal ganz von vorn zu starten und die opnsense einmal auf Werkseinstellung zu setzen?

In der Werkseinstellung ist dann erlaubt, dass LAN überall hin darf.

Und dann ein Thema nach dem anderen.

Ich verstehe es jetzt so, dass du aus dem LAN in die DMZ zugreifen willst und es soll vom Tunnel was an die DMZ und ins LAN weitergeleitet werden.
Ich würde erstmal starten mit Zugriff LAN > DMZ. Wenn das läuft dann das nächste Thema.

Wenn die Netzwerke korrekt in der opnsense eingerichtet sind, die opnsense als Gateway beim Client eingetragen ist (und keine Regeln das verbieten) wird automatisch geroutet und du musst keine zusätzlichen Routen eingeben.

Wenn du da schon Probleme hast, erstmal darauf konzentrieren und weiter suchen. Stimmt mit dem Netzwerk alles? Kannst du die DMZ IP der opnsense erreichen? Wird vielleicht doch was geblockt? (Live-Log prüfen)
Traceroute kann auch manchmal helfen. Kannst du über die opnsense deine Geräte erreichen? Entweder über SSH auf die opnsense oder sonst findest du unter Interfaces > Diagnostics auch eine GUI für Ping oder Traceroute.

Ich wünsch dir viel Erfolg!