Messages

Die IP Adresse oder der FQDN der Gegenstelle natürlich. Die Tunnel-Netze sind doch Phase 2 ...

Ja, die Oberfläche ist das verwirrende daran und die Bezeichnung ,,Adresses" bei diesen Feldern.
Jetzt ist zumindest bei mir der Knoten geplatzt...
Danke für die Screenshots

Ich scheitere derzeit schon an dem Punkt bei Phase 1 was bei Local und Remote rein muss. Das jeweilige Netzwerk oder der DNS Name?


NACHTRAG: Habs herausgefunden, der DNS Name, bzw. die "extrerne IP".

Ich werde morgen auch Screenshots einstellen inkl. meiner (etwas neutral) Konfiguration.
Es geht eigentlich doch ganz einfach wenn man es gecheckt hat. Anscheinend bin ich da voll auf der Leitung gesessen. Muss auch gestehen, die Anleitungen bei OPNsense sind auf den ersten Blick mit ihren Beispieladressen und dazu noch ohne Screenshot verwirrend.

Ich habe eins zu eins die gleiche Frage und leider keine logische Anleitung gefunden.
Händisch das umzusetzten hat kein Ergebnis gebracht.
Vielleicht gibt es hier einen Profi der das gut erklären kann.
(Hoffe das ich mich hier anhängen kann....)

Hallo Zusammen,

irgendwie stehe ich auf der Leitung gerade. Seit einiger Zeit versuche ich eine neun installierte OPNsense bei Hetzner mit unserer internen OPNsense per Wireguard Site2Site zu verbinden.

Derzeit ist bei uns im internen Netzwerk eine OPNsense mit ca 40 Wireguard Verbindungen aktiv und die funktioniert auch. Eingerichtet sind nahezu sämtliche Wireguard Verbindungen als Site2Site.
Die OPNsense steht hinter einem Lancom Router (172.17.0.254), auf dem sind Portweiterleitungen welche benötigt werden eingerichtet. Diese OPNsense hat nur eine (1) Netzwerkkarte (LAN - 172.17.219.12). Firewall ist daruf nicht aktiviert.
Wir kommen aus dem internen Netzwerk (172.17.0.0/16) auf alle Wiregueard Verbindungen (alles einzelne Netzerke - 192.168.xxx.xxx)

Eingerichtet sind die Wireguard Verbindungen so:
Bei der Instanz wird kein eigenens Tunnelnetzwerk verwendet, sonder eine IP aus dem anderen Netzwerk. Beispiel Instanz "Tunnel Address: 192.168.55.0/24". Die Gegenseite hat in dem Fall das Netz 192.168.55.xxx/24.
Beim Peer ist da dann das Netzwerk eingetragen, "Allowed IPs: 192.168.55.0/24".
Wie gesagt, funktioniert alles ohne Probleme auf diese Art.

Nun soll diese interen Opnsense nicht mehr die Verbindungen der externen Netzwerke erledigen. Daher soll nun eine neue OPNsense bei Hetzner als Cloud Server dies übernehmen. Jedoch soll die interne noch bleiben nur um unser internes Netzwerk zu verbinden und das wir darüber alle anderen Netze erreichen können. Es sollen dann alle Wireguard Verbindungen von der internen auf die externe umziehen. Lokale Wireguard Clients auf den PCs gehen nicht weil es bei uns Netzwerkgeräte gibt welche auch über das Netzwerk funktionieren müssen und es hierfür keine Möglichkeit eines Clients gibt.

Nun habe ich bei Hetzner einen Cloudserver angelegt, darauf OPNsense installiert.
Dieser hat eine Public IP. Zudem ist bei Hetzner noch ein Netzwerk eingerichtet worden (network-1 10.0.0.0/8), darin das Subnet 10.0.0.0/16. In diesem Subnet ist die OPNsense mit der IP 10.0.0.2. Eine Route wurde angelegt: "0.0.0.0/0 - GW: 10.0.0.2"

Ich habe nun schon anhand verschiedener Tutorials versucht die Wireguard Verbindung zwischen diesen beiden OPNsense einzurichten. Es wird jedoch keine Verbindung aufgebaut.
Es wurden alle möglichen Konstellationen der Firewallregeln ausprobiert. Selbst neu installieren und wieder von Null anfangen hat kein Ergebnis gebracht.
Meine Vermutung das irgendwie ein Firewallregel da was blockiert.

Wobei ich noch auf dem Schlauch stehe ist: Wie vergibt Hetzner da die Subnetmask? Warum hat die OPNsense die Adresse: 10.0.0.2/32
Eine oft erhaltene Fehlermeldung im Wireguard LOG ist diese:
/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route -q -n add -'inet' '10.0.0.0/8' -interface 'wg38'' returned exit code '1', the output was ''

Beide Seiten haben eine feste externe IP. Zusätzlich DNS Eintrag gesetzt.

Anbei eine Grafik des Netzwerkes:

Ich habe es nun gelöst bekommen, war eigentlich einfach....

Anstelle die Verbindung über den Menüpunkt "Connections" zu erstellen habe ich nun es über den Legacy Menüpunkt gemacht. Funktioniert nun damit. Ich hatte bereits mehrmals alles neu installiert (OPNsense) und zig-Mal umkonfiguriert und überprüft gehabt.

Anscheinend gibt es da Unterschieden. So sehr kenne ich mich nicht mit OPNsense und den Derivaten aus.

Trotzdem vielen Dank für die Unterstützung.

Hier ein Diagram wie das Netzwerk aufgebaut ist:

Vielen Dank. Denke auch das es gehen muss. Der Lancom vRouter macht es ja auch...

Ich habe die Vermutung das ich in der OPNsense irgendwas vergessen habe was das Routing betrifft.
Derzeit ist ein Ping-Pong beim Routen.
Gibt es irgendwo ein Tutorial oder welche Konfigurationsschritte sind vorzunehmen?
Mit der OPNsense habe ich leider noch nicht wirklich erfahrung.

Hallo,

ich habe versucht etwas zu finden, jedoch irgendwie gescheitert.

Wir haben ein bestehendes Netz welches nicht abgeändert werden kann.
Es ist ein Lancom 1800EF als Router/GW (IP 172.16.0.254)
Zusätzlich ein virtueller Lancom vRouter der nur die VPN Verbindungen macht (IPsec IKEv1 und IKEv2) (IP 172.16.0.252)

Im Lancom 1800EF ist ein Routing eingerichtet für die IP Adressen der VPN Verbindungen welche dann an den vRouter geleitet werden (alle aus dem Bereich 192.168.xxx.xxx)

Der vRouter hat nur eine Schnittstelle. Der Lancom1800EF 2 (intern und Provider Modem)

Nun möchte ich den vRouter gegen OPNsense austauschen. Jedoch schaffe ich es nicht das eine VPN Verbindung hergestellt wird weil irgend etwas sich beim Routing verschluckt.

Es erfolgt ein Routing von der IP 192.168.22.254 (Beispiel) von dem Lancom 1800EF (172.16.0.254) zum vRouter (172.16.0.252), dieser baut die VPN Verbindung auf und es funktioniert.
Bei Verwendung der OPNsense erfolgt ein Routing von dem Lancom 1800EF zur OPNsense, dann zum Lancom1800EF und das spiel geht von vorne los.

Irgendwie habe ich da einen Denkfehler oder sitzte auf der Leitung oder übersehe eine Einstellung in der OPNsense.

Benötigt die OPNsense unbedingt 2 Netzwerkschnittstellen oder reicht eine auch aus.
Die IPsec Verbindungen sind eingerichtet mit den richtigen Daten.
Was muss bezüglich Firewall (kann die auch deaktiviert werden?) oder Routing/NAT/whatever noch in der OPNsense eingerichtet werden.