Messages

Ich habe in der OPNsense bei WAN, LAN und WG1 habe ich den Port 51820 für IN alles freigegeben.

Leider hat das nicht geholfen.

Ich habe jetzt den Client auf meinem Handy installiert. Da leider das gleiche. Die Verbindung wird aufgebaut, ich kann im VPN Netz aber nichts aufrufen.

Hallo Zusammen,
ich habe bei mir auf der OPNsense WireguardVPN installiert und konfiguriert. Auf deinem Windwos PC habe ich jetzt den Client installiert und auch konfiguriert. Laut Log im Client wird eine Verbindung aufgebaut. In Status der OPNsense steht die Verbindung auf auf grün.

Leider habe ich aber das Problem, dass ich über den Windwos PC nicht auf der Netzwerk der OPNsense zgreifen kann. Wenn ich z.B. die OPNsense anpinge oder im Browser die Config öffnen will, klappt das nicht. Genauso auch nicht anders herum.

Meine Config sieht jetzt so aus:
OPNsense
Instance (WG1)
Public Key und private Key generiert
Listen port: 51820
Tunnel Address: 10.123.123.1/24
Peers: externer PC

Peer
Public Key vom Windows PC
Allowed IPs: 10.132.132.11/32
Endpoint address: feste ip Windows pc
Endpoint Port: 51820
Instance: WG1
Keepalive interval: 25

Windows PC
Interface
PrvateKey
Address = 10.123.123.11/32
DNS: 10.123.123.1

Peer
PublicKey: von der OPNsense
AllowedIPs: 10.123.123.0/24
Endpoint: feste ip OPNsense:51820

Log vom Windwos PC
2025-11-24 16:18:01.303913: [TUN] [WBR] Retrying handshake with peer 1 (feste ip OPNsense:51820) because we stopped hearing back after 15 seconds
2025-11-24 16:18:01.303913: [TUN] [WBR] Sending handshake initiation to peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:01.330953: [TUN] [WBR] Receiving handshake response from peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:01.330953: [TUN] [WBR] Keypair 2 created for peer 1
2025-11-24 16:18:01.330953: [TUN] [WBR] Sending keepalive packet to peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:01.351185: [TUN] [WBR] Receiving keepalive packet from peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:17.220642: [TUN] [WBR] Retrying handshake with peer 1 (feste ip OPNsense:51820) because we stopped hearing back after 15 seconds
2025-11-24 16:18:17.220642: [TUN] [WBR] Sending handshake initiation to peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:17.246537: [TUN] [WBR] Receiving handshake response from peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:17.246537: [TUN] [WBR] Keypair 1 destroyed for peer 1
2025-11-24 16:18:17.246537: [TUN] [WBR] Keypair 3 created for peer 1
2025-11-24 16:18:17.246537: [TUN] [WBR] Sending keepalive packet to peer 1 (feste ip OPNsense:51820)
2025-11-24 16:18:17.267705: [TUN] [WBR] Receiving keepalive packet from peer 1 (feste ip OPNsense:51820)

Hat jemand vielleicht eine Idee, woran das liegen kann, dass ich im anderen Netz nichts erreiche?

Danke im voraus.

Ich habe folgende jetzt mit tcpdump laufen lassen

re1 - wan
wg0 - Handy Client
wg1 - OPN1 zu OPN2

Port 51820 - Handyclient
Port 51821 - OPN1 zu OPN2

re1
Da wird mir beim Verbindungsaufbau über den Handyclient auch mit dem Filter Port 51821 etwas angezeigt. Aber nichts bei Port 51820

wg0
Sobald ich den Client auf dem Handy aktiviere bekomme ich Einträge angezeigt

wg1
Da passiert nichts. Auch nicht, wenn ich Wireguard neu starte.

Wenn ich das laufen lasse kommt folgendes

tcpdump -n -i re1 port 51821
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

Wenn ich die Verbindung über meinen Handycleint aufbaue kommt unter anderem folgendes:

tcpdump -n -i re1 port 51820
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on re1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
14:59:51.530368 IP 00.234.51.228.51820 > 00.203.185.137.42517: UDP, length 148
14:59:54.441819 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 148
14:59:54.442221 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 92
14:59:54.485865 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
14:59:54.485891 IP 00.234.51.228.51820 > 00.203.185.137.56162: UDP, length 32
14:59:54.491922 IP 00.203.185.137.56162 > 00.234.51.228.51820: UDP, length 96
usw.

Stand Blödsinn

Ich habe jetzt die fehlende Endpoint Adresse hinzugefügt. Es ist eine feste IP. Und die Tunnelnetze sowohl mit /32 wie auch /24 probiert. Leider kein Erfolg.

Edit:
Ich kann aber z.b. noch immer eine Verbindung mit dem Wireguard Client auf meinen Handy zur OPN1 aufbauen. Das klappt.

@Patrick M. Hausen
Was für ein Eintrag müsste beim tcpdump kommen damit ich weiß, ob da was passiert?

OPN2 - Instance, Peer und Firewall

You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Ich habe jetzt bei beiden OPN die Instanzen und Peers gelöscht und neu konfiguriert. Leider ohne Erfolg. Es wird keine Verbindung aufgebaut. Leider verstehe ich nicht, woran es jetzt liegt. Vor allem da es ja schon geklappt hat. Hat vielleicht noch jemand einen Tipp für mich?

OPN1 - Instance, Peer und Firewall
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Mit der Any Regel funktioniert es. Dann komme ich z.B. von der OPN2 auf die Config der OPN1. Die kann ich auch anpingen. Ich komme aber z.b. nicht per Remote auf einen PC im gleichen IP Bereich wie die OPN1.

Auf der OPN1 habe ich auch noch zwei VLAN. Auf die würde ich auch gerne über einen PC zugreifen, der sich an der OPN2 befindet. Hierfür habe ich jetzt die beiden IP Bereiche auch in den Peers unter Allowed IPs eingetragen. Leider komme ich dann auch nicht per Remote auf die VLAN PCs.

Muss ich dafür noch was anderes konfigurieren? Ich habe auch bei den beiden VLAN erstmal jeweils eine Any Regel angelegt.

Edit:
Wenn ich die beiden Wireguard neu starte bekomme ich aktuell leider keine Verbindung mehr zwischen ihnen aufgebaut. Ich hatte eigentlich nur das oben geschriebene geändert.
Auf dem OPN1 bekomme ich im Wireguard Log folgende Meldungen:
2025-07-15T14:56:46   Notice   wireguard   wireguard instance WGFD (wg1) started   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (execute task : dpinger_configure_do(,[]))   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (,[])   
2025-07-15T14:56:45   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: entering configure using opt5   
2025-07-15T14:56:45   Notice   wireguard   wireguard instance WGFD (wg1) stopped

Kann es damit zusammen hängen?

Müsste nicht im Firewall Log ein Eintrag kommen wenn ich Wireguard neu starte? Da taucht nämlich nichts auf.

Die allow any regeln dann aber bei den wireguard Interfaces oder bei wan?

Das habe ich jetzt soweit auch konfiguriert. Bei beiden steht bei Wireguard -> Status sowohl instance als auch peer auf Online.

Jetzt habe ich allerdings das Problem, dass ich z.b. nicht von der OPN2 auf eine IP der OPN1 zugreifen kann. Z.b funktioniert kein Ping.

Ich denke mal das liegt dann jetzt an den Firewall Regeln oder? Wenn unter Status steht, dass beides auf beiden OPN Online sind, sollte die Verbindung doch stehen oder?

Bei der OPN2 in den Firewall Logs ist es grün, bei der OPN1 ist der Eintrag allerdings rot markiert.

Wenn ich die. Verbindung über den Handy Client aufbaue kann ich auf Sachen der opn1 zugreifen. Diese Firewall regeln habe ich für die opn2 genauso angelegt

Das mit dem Gateway hatte ich aus dem von mir verlinktem Tutorial.

D.h. ich konfiguriere es bei den beiden OPNs eigentlich gleich, bis auf die Keys und bei der OPN2 die WAN IP von der OPN1?

OPN2

Firewall Regel 2
You cannot view this attachment.

Gateway und Interface
You cannot view this attachment.
You cannot view this attachment.

OPN2

Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.

Hi, hier die Konfiguration der beiden Seiten:

OPN1
Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.
You cannot view this attachment.