"
Hallo zusammen,
ich bin neu in der OPNsense-Welt und auch ganz frisch hier im Forum. 😊
Ich hoffe, ihr könnt mir bei meinem aktuellen Problem weiterhelfen – ich komme trotz tagelanger Versuche einfach nicht weiter.
Ziel:
Ich möchte auf meiner OPNsense einen WireGuard-Tunnel zu meinem VPS aufbauen, der auch IPv6-Traffic aus dem LAN über den Tunnel ins Internet leitet. Der Hintergrund ist, dass ich einen Starlink-Zugang mit CGNAT nutze und mein LAN dadurch keine eingehenden Verbindungen aus dem Internet direkt empfangen kann.
Setup:
OPNsense Version: 25.1.4_1-amd64 (FreeBSD 14.2)
WireGuard Plugin: Offizielles OPNsense-Plugin
WAN-Zugang: Starlink im Bypass-Modus
LAN-Netz: 10.0.0.0/24 mit OPNsense als Gateway (10.0.0.1)
Mein PC: Linux Mint 22.1, LAN-IP 10.0.0.242
VPS: Ubuntu 22.04 LTS (IPv4 & IPv6 vorhanden), WireGuard läuft dort
Tunnel läuft im "reverse" Setup, d. h. OPNsense baut Verbindung zum VPS auf
Der Tunnel funktioniert scheinbar:
wg show zeigt auf beiden Seiten "Handshake vor wenigen Sekunden"
Ping über WireGuard-IPv6-Adressen (z. B. fd00::1 <-> fd00::2) klappt in beide Richtungen
Was nicht funktioniert:
→ Kein Internetzugang über den Tunnel vom LAN-Client
z. B. bei curl -6 ifconfig.io kommt immer meine Starlink-IP zurück – nicht die VPS-IP.
Was ich versucht habe:
✅ WireGuard-Adresse in OPNsense: fd00::1/64
✅ VPS-Adresse: fd00::2/64
✅ "AllowedIPs" auf OPNsense-Seite: ::/0, fd00::/64
✅ Route-to-Regeln in der Firewall für LAN → wg0
✅ NAT-Regeln (Outbound) angepasst
✅ IPv6 erlaubt in Firewall
✅ VPS erlaubt Forwarding (sysctl)
Was mir auffiel:
Wenn ich tcpdump auf dem VPS auf wg0 laufen lasse, kommt kein Paket von meinem LAN-PC an, obwohl curl ausgeführt wird
IPv6-Traceroute geht direkt über Starlink, nicht über Tunnel
"curl -6" zeigt immer die Starlink-v6-IP, nicht die VPS-v6-IP
Fragen:
Muss ich bei OPNsense bei der Schnittstelle wg0 noch explizit IPv6-Routen setzen?
Muss ich den LAN-Clients noch zusätzliche statische Routen oder DNS geben?
Kann es sein, dass die Firewall-Regel (LAN → wg0) nicht ausreicht?
Wie kann ich sicherstellen, dass wirklich der gesamte IPv6-Traffic über wg0 geht?
Ich bin für jede Hilfe oder Idee offen!
Vielen Dank schon mal – auch für eure Geduld mit einem Neuling. 🙏
Liebe Grüße
Momo
ich bin neu in der OPNsense-Welt und auch ganz frisch hier im Forum. 😊
Ich hoffe, ihr könnt mir bei meinem aktuellen Problem weiterhelfen – ich komme trotz tagelanger Versuche einfach nicht weiter.
Ziel:
Ich möchte auf meiner OPNsense einen WireGuard-Tunnel zu meinem VPS aufbauen, der auch IPv6-Traffic aus dem LAN über den Tunnel ins Internet leitet. Der Hintergrund ist, dass ich einen Starlink-Zugang mit CGNAT nutze und mein LAN dadurch keine eingehenden Verbindungen aus dem Internet direkt empfangen kann.
Setup:
OPNsense Version: 25.1.4_1-amd64 (FreeBSD 14.2)
WireGuard Plugin: Offizielles OPNsense-Plugin
WAN-Zugang: Starlink im Bypass-Modus
LAN-Netz: 10.0.0.0/24 mit OPNsense als Gateway (10.0.0.1)
Mein PC: Linux Mint 22.1, LAN-IP 10.0.0.242
VPS: Ubuntu 22.04 LTS (IPv4 & IPv6 vorhanden), WireGuard läuft dort
Tunnel läuft im "reverse" Setup, d. h. OPNsense baut Verbindung zum VPS auf
Der Tunnel funktioniert scheinbar:
wg show zeigt auf beiden Seiten "Handshake vor wenigen Sekunden"
Ping über WireGuard-IPv6-Adressen (z. B. fd00::1 <-> fd00::2) klappt in beide Richtungen
Was nicht funktioniert:
→ Kein Internetzugang über den Tunnel vom LAN-Client
z. B. bei curl -6 ifconfig.io kommt immer meine Starlink-IP zurück – nicht die VPS-IP.
Was ich versucht habe:
✅ WireGuard-Adresse in OPNsense: fd00::1/64
✅ VPS-Adresse: fd00::2/64
✅ "AllowedIPs" auf OPNsense-Seite: ::/0, fd00::/64
✅ Route-to-Regeln in der Firewall für LAN → wg0
✅ NAT-Regeln (Outbound) angepasst
✅ IPv6 erlaubt in Firewall
✅ VPS erlaubt Forwarding (sysctl)
Was mir auffiel:
Wenn ich tcpdump auf dem VPS auf wg0 laufen lasse, kommt kein Paket von meinem LAN-PC an, obwohl curl ausgeführt wird
IPv6-Traceroute geht direkt über Starlink, nicht über Tunnel
"curl -6" zeigt immer die Starlink-v6-IP, nicht die VPS-v6-IP
Fragen:
Muss ich bei OPNsense bei der Schnittstelle wg0 noch explizit IPv6-Routen setzen?
Muss ich den LAN-Clients noch zusätzliche statische Routen oder DNS geben?
Kann es sein, dass die Firewall-Regel (LAN → wg0) nicht ausreicht?
Wie kann ich sicherstellen, dass wirklich der gesamte IPv6-Traffic über wg0 geht?
Ich bin für jede Hilfe oder Idee offen!
Vielen Dank schon mal – auch für eure Geduld mit einem Neuling. 🙏
Liebe Grüße
Momo
