Messages

Hallo Leute,
zunächst noch einmal herzlichen Dank an alle, die geschrieben haben.
Das Topic kann als (zumindest was OPNsense angeht) gelöst geschlossen werden.
Eine übers Wochenende testweise eingerichtete Sophos XG210 mit OpenVPN Client
führt zum gleichen Ergebnis, also ist irgendwas im LAN faul. Das 10.20.0.0/16
Netzwerk ist in einem Abscnitt zwischen 10.20.1.0/16 und 10.20.7,0/16 über eigene
Glasfaser verbunden, ich denke mal, das da irgendwo Medienkonverter oder ein
Switch drin verbaut sind. Obwohl Windows Clients über Ethernet alle Knoten
im gesamten Netz erreichen, können das VPN Clients über eine Firewall nicht -
sehr seltsam, hat aber hier natürlich nix zu suchen :-)

Der Server auf dem die Pings nicht funktionieren, 10.20.1.28, hängt doch nicht am LAN Interface.
Ein Capture von jenem, an dem der Server angeschlossen ist, wäre relevant und gefragt gewesen.

Im WG Capture siehst du jedenfalls, dass keine Antworten rausgehen.

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

Das benötigt keine Routen, keine Firewall Regeln und funktioniert u.U. auch mit falsch gesetzten Subnetzen. Lässt also fast alle möglichen Fehler zu.

Danke für Deine Hilfe, aber der Server 10.20.1.28/16 IST im gleichen LAN wie der Rechner 10.20.7.94/16 und die OPNsense 10.20.7.27/16, alle im 10.20.0.0/16 Netzwerk. Ein falsch gesetztes Subnetz ist wohl auch eher nicht die Ursache, eine Änderung der IP der Firewall auf 10.20.1.27/16 ändert an dem Problem mit dem Wireguard Client nichts

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

Okay, dann würde ich mir erwarten, dass alle Pakete für 10.20.0.0/16 auch darüber geroutet werden.

Wenn du dir sicher bist, dass es nicht die Firewall am Server selbst ist, die den Zugriff blockiert, mach mal ein Packet Capture (Interfaces > Diagnostic) am Server-Interface, um zu sehen, ob die Pakete Richtung Server korrekt raus gehen und ob dieser auch eine Antwort schickt.

hier die paketmitschnitte von lan und wg interface

genau so ist es konfiguriert:

in der WG Instanz lautet die Tunnel Adresse 10.10.10.1/24

in der Client Konfig lauten die Allowed IPs 10.10.10.0/24,10.20.0.0/16

Regel Wireguard Interface

Regel WAN

Regel LAN

Hallo,

aber keinen der Knoten im Bereich 10.20.1.x

die Firewall-Regeln am Wireguard Interface erlauben das?

Beachte auch, das keine Netzwerk-Überschneidung mit dem lokalen Subnetz des Clients vorliegt.

Der WG VPN Client ist im lokalen Netz 192.168.50.00/24 hinter einer Fritzbox/Deutsche Glasfaser

Die Firewall Regeln sind exakt so, wie in
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
erklärt

gut - ich habe anscheinend tatsächlich keine Ahnung, sorry. Die Allowed IPs sind, wenn ich
das richtig verstehe, die Adressbereiche, die der WG VPN Client von aussen über die OPNsense
erreichen soll, richtig ? Das LAN der Firewall ist das Netzwerk 10.20.0.0/16, mit Adressen in den Bereichen
10.20.1.0/16, 10.20.7.0/16.

hallo, danke für deine rückmeldung.
nein, die client config sieht so aus:

[Interface]
PrivateKey = ...........................
Address = 10.10.10.4/32
MTU = 1420


[Peer]
PublicKey = .................................
Endpoint = ...:51820
AllowedIPs = 10.10.10.0/24,10.20.0.0/16
PersistentKeepalive = 25

hello everybody :-)
i am new with opnsense, though not completely fresh with networks ...
but it seems i am too stupid here anyhow, so i ask for your kind help

i have a network 10.20.x.x with mask 255.255.0.0, and from a pc with the ip 10.20.7.94 i can reach all other nodes, e.g. 10.20.7.27 or 10.20.1.28 etc
setting up wireguard instance and one peer step by step following the opnsense documentation, i can connect via vpn and reach the firewall 10.20.7.27 and the pc 10.20.7.94 - but not the node 10.20.1.28 or any other node that are not in the 10.20.7.x range. of course i realize that there is a problem with masking somewhere, but i am unable to find it.

the LAN interface in OPNsense has the IPv4 address 10.20.7.27 / 16 , the WAN Interface is IPv4 with DHCP (connected to a Fritzbox with a fixed IP-address via DSL ) and with all searching i am unable to find a subnet mask problem or config that prevents the access to the whole network (10.20.x.x) and only let me reach the subnet, that has the opnsense firewall in it (10.20.7.x)

i very appreciate any help to solve this and point me to my fault in the configuration.

Hallo liebe Mitmenschen :-)
Als Neueinsteiger in OPNsense mit leidlich Netzwerkerfahrung muss ich hier mal um Hilfe bitten, denn wahrscheinlich
bin irgendwo zu blöd ...
Ich habe ein Netzwerk 10.20.x.x mit der Maske 255.255.0.0, und kann von einem PC im LAN mit der 10.20.7.94/16 auch alle Knoten erreichen, wie z.B. 10.20.7.27 und 10.20.1.28.
Ich habe, Schritt für Schritt der OPNSense Dokumentation folgend, eine Wireguard VPN Instanz und einen Peer erzeugt, die angegebenen Routen eingetragen, und kann von einem nicht im LAN befindlichen PC mit dem aktuellen Wireguard Client die Rechner 10.20.7.94 und die Firewall mit der 10.20.7.27 erreichen, aber keinen der Knoten im Bereich 10.20.1.x wie z.B. die 10.20.1.28.
Das LAN Interface in der OPNsense ist mit IPv4 address 10.20.7.27 / 16 konfiguriert, das WAN Interface als IPv4 auf DHCP (hängt hinter einer Fritzbox, die eine feste IP-Adresse über DSL hat) und trotz allem herumsuchens finde ich nicht, wo mir eine falsche Netzmaske den Zugriff auf des gesamte Netz (10.20.x.x) verwehrt und mich nur auf den Bereich, in dem auch die Firewall ist (10.20.7.x) lässt.
Kann mir jemand einen Tipp geben, was ich hier falsch mache ?