Messages

Ich habe folgende jetzt mit tcpdump laufen lassen

re1 - wan
wg0 - Handy Client
wg1 - OPN1 zu OPN2

Port 51820 - Handyclient
Port 51821 - OPN1 zu OPN2

re1
Da wird mir beim Verbindungsaufbau über den Handyclient auch mit dem Filter Port 51821 etwas angezeigt. Aber nichts bei Port 51820

wg0
Sobald ich den Client auf dem Handy aktiviere bekomme ich Einträge angezeigt

wg1
Da passiert nichts. Auch nicht, wenn ich Wireguard neu starte.

Wenn ich das laufen lasse kommt folgendes

tcpdump -n -i re1 port 51821
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

Wenn ich die Verbindung über meinen Handycleint aufbaue kommt unter anderem folgendes:

tcpdump -n -i re1 port 51820
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on re1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
14:59:51.530368 IP 00.234.51.228.51820 > 00.203.185.137.42517: UDP, length 148
14:59:54.441819 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 148
14:59:54.442221 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 92
14:59:54.485865 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
14:59:54.485891 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 32
14:59:54.491922 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
usw.

Stand Blödsinn

Ich habe jetzt die fehlende Endpoint Adresse hinzugefügt. Es ist eine feste IP. Und die Tunnelnetze sowohl mit /32 wie auch /24 probiert. Leider kein Erfolg.

Edit:
Ich kann aber z.b. noch immer eine Verbindung mit dem Wireguard Client auf meinen Handy zur OPN1 aufbauen. Das klappt.

@Patrick M. Hausen
Was für ein Eintrag müsste beim tcpdump kommen damit ich weiß, ob da was passiert?

OPN2 - Instance, Peer und Firewall

You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Ich habe jetzt bei beiden OPN die Instanzen und Peers gelöscht und neu konfiguriert. Leider ohne Erfolg. Es wird keine Verbindung aufgebaut. Leider verstehe ich nicht, woran es jetzt liegt. Vor allem da es ja schon geklappt hat. Hat vielleicht noch jemand einen Tipp für mich?

OPN1 - Instance, Peer und Firewall
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Mit der Any Regel funktioniert es. Dann komme ich z.B. von der OPN2 auf die Config der OPN1. Die kann ich auch anpingen. Ich komme aber z.b. nicht per Remote auf einen PC im gleichen IP Bereich wie die OPN1.

Auf der OPN1 habe ich auch noch zwei VLAN. Auf die würde ich auch gerne über einen PC zugreifen, der sich an der OPN2 befindet. Hierfür habe ich jetzt die beiden IP Bereiche auch in den Peers unter Allowed IPs eingetragen. Leider komme ich dann auch nicht per Remote auf die VLAN PCs.

Muss ich dafür noch was anderes konfigurieren? Ich habe auch bei den beiden VLAN erstmal jeweils eine Any Regel angelegt.

Edit:
Wenn ich die beiden Wireguard neu starte bekomme ich aktuell leider keine Verbindung mehr zwischen ihnen aufgebaut. Ich hatte eigentlich nur das oben geschriebene geändert.
Auf dem OPN1 bekomme ich im Wireguard Log folgende Meldungen:
2025-07-15T14:56:46   Notice   wireguard   wireguard instance WGFD (wg1) started   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (execute task : dpinger_configure_do(,[]))   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (,[])   
2025-07-15T14:56:45   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: entering configure using opt5   
2025-07-15T14:56:45   Notice   wireguard   wireguard instance WGFD (wg1) stopped

Kann es damit zusammen hängen?

Müsste nicht im Firewall Log ein Eintrag kommen wenn ich Wireguard neu starte? Da taucht nämlich nichts auf.

Die allow any regeln dann aber bei den wireguard Interfaces oder bei wan?

Das habe ich jetzt soweit auch konfiguriert. Bei beiden steht bei Wireguard -> Status sowohl instance als auch peer auf Online.

Jetzt habe ich allerdings das Problem, dass ich z.b. nicht von der OPN2 auf eine IP der OPN1 zugreifen kann. Z.b funktioniert kein Ping.

Ich denke mal das liegt dann jetzt an den Firewall Regeln oder? Wenn unter Status steht, dass beides auf beiden OPN Online sind, sollte die Verbindung doch stehen oder?

Bei der OPN2 in den Firewall Logs ist es grün, bei der OPN1 ist der Eintrag allerdings rot markiert.

Wenn ich die. Verbindung über den Handy Client aufbaue kann ich auf Sachen der opn1 zugreifen. Diese Firewall regeln habe ich für die opn2 genauso angelegt

Das mit dem Gateway hatte ich aus dem von mir verlinktem Tutorial.

D.h. ich konfiguriere es bei den beiden OPNs eigentlich gleich, bis auf die Keys und bei der OPN2 die WAN IP von der OPN1?

OPN2

Firewall Regel 2
You cannot view this attachment.

Gateway und Interface
You cannot view this attachment.
You cannot view this attachment.

OPN2

Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.

Hi, hier die Konfiguration der beiden Seiten:

OPN1
Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.
You cannot view this attachment.

Hallo Patrick,
war mir nicht sicher das die Verbindung automatisch aufgebaut wird. Dachte, dass muss man manuell machen.

Ich habe auf beiden Seiten eine Instanz und einen Peer eingerichtet.

Wenn ich bei beiden OPN den Wireguard Dienst neu starte bekomme ich bei der OPN2 in den Wireguard Log Files folgenden Eintrag:

/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route add -host -'inet' '8.8.8.8' '10.100.100.100'' returned exit code '1', the output was 'add host 8.8.8.8: gateway 10.100.100.100 fib 0: Invalid argument'

Bei der steht auch unter Status, dass Daten gesendet wurde.

Bei der OPN1 steht in den Logfiles nichts und unter Status steht, dass der Peer Offline ist.

Hallo Zusammen,
ich habe bei meiner OPN (OPN1) den Wireguard Server installiert und kann z.B. mit einem Wireguard Client bei mir auf dem Handy eine Verbindung zu dem Server aufbauen. Das funktioniert auch soweit.
Nun möchte ich gerne von einem anderen Standort mittels einer weiteren OPN (OPN2) eine Wireguard VPN Verbindung zu der ersten OPN aufbauen. Dabei hapert es aktuell etwas. Ich habe dabei folgendes Tutorial gefunden:
Tutorial

Dabei würde ich ja nur die OPN2 konfigurieren. Nur was mach ich bei der OPN1 einstellen? Und was ich mich dann noch frage, wie starte ich die Verbindung? Wird die automatisch dann aufgebaut?

Für Hilfe danke im voraus.