Show Posts
1
German - Deutsch / OPNsense und OVPN/Wireguard wollen nicht zusammen...
« on: October 30, 2024, 02:30:32 am »
Hallo, liebe Freunde der Currywurst! 
An der fortgeschrittenen Zeit sieht man schon in etwa, dass ich eine kleine Nachtschicht einlege.
Mein Aufbau ist denkbar einfach:
Meine OPNsense-Kiste hängt direkt am Internet (über den sog. Mediakonverter der Deutschen Glasfaser). Die IP-Adresse bekomme ich über DHCP(4/6). Die Verbindung steht (das hier schreibe ich über diese).
Über eine FritzBox 4060, die als IP-Client läuft, stelle ich Telefonie bereit (VoIP). Außerdem funzt die Kiste als DECT-Basis. Damit das zuverlässig funktioniert, habe ich ein paar Einstellungen. Es sind ein paar NAT-Regeln (für IPv4 und IPv6) und Port-Forwards. Ich bin mit dem Ergebnis da auch recht glücklich, die Telefonie funktioniert zuverlässig. 👍🏼
Obwohl mich etwas irritiert, dass ich eine Regel scheinbar weder editieren noch klonen kann. Aber ein Mülleimer ist vorhanden. 🤔
Jetzt geht es aber darum, eine Verbindung zu OVPN (dem schwedischen Anbieter, OpenVPN ist nicht gemeint) aufzubauen. Endziel ist es, Ports an eine Kiste bei mir in Heimnetz weiterzuleiten (erstmal ssh). Bei der DG bekomme ich ja nur einen DSlite-Anschluss, ohne öfftenliche IPv4 Adresse. Ich weiß, man kann, was ich will, auch mit IPv6 erreichen, ohne VPN, aber irgendwie komme ich mit IPv6 nicht so richtig klar.
OVPN gibt freundlicherweise eine komplette und sehr "handliche" Anleitung:
https://www.ovpn.com/en/guides/wireguard/opnsense
Die habe ich auch befolgt. Hiernach sollten alle Geräte über den VPN-Tunnel mit dem Internet verbunden werden. Das Ergebnis: Die Verbindung kommt gar nicht erst zu Stande. Im Log kommt "error" und etwas von einer fehlenden Route. Sorry, habe vergessen, die genaue Fehlermeldung zu kopieren.
Die Fehlermeldung verschwindet aber, wenn ich "Dynamic gateway policy" im Interface ausschalte.
Jetzt steht die Verbindung, aber es fließen keine Daten. Ein ping 8.8.8.8 gibt nur Timeouts.
Nachdem ich die Einstellungen da zig mal überprüft und auch an einigen Schrauben gedreht habe (das Ergebnis bleibt: Starte ich wg, klappt kein ping mehr, stoppe ich wg, klappt es wieder), habe ich eine andere Anleitung gefunden:
https://0x2142.com/how-to-protect-your-home-network-with-mullvad-vpn-opnsense/
Ich weiß, die ist eigentlich für Mullvad, aber ich habe die Daten der OVPN-Anleitung für Instance und Peer benutzt.
Doch auch hier das gleich Ergebnis: Die Verbindung steht. Ein ifconfig sieht (jetzt) so aus:
Ich hatte dann den Verdacht, es könnte vielleicht an den Regeln für die IP-Telefonie liegen, doch auch durch das Abschalten oder verschieben der Regeln, konnte ich nichts erreichen.
Die offizielle OPNsense Dokumentation habe ich mir zu dem Thema natürlich auch angesehen. Sie enthält auch einige Bespiele. Ich habe keine wirkliche Ahnung, was eine Roadwarrier-Konfiguration ist (dem Namen nach), aber für meine Begriffe sieht das ziemlich nach meiner Anwendung aus. Ich bin diese Schritte auch durchgegangen und leider ist das Ergebnis gleich.
Mein Verdacht ist, es liegt an den Firewall Regeln, weil die Verbindung aufgebaut wird (im Status "up") und unter System -> Routes -> Status das Interface wg0 ein paar mal auftaucht mit den richtigen Adressen. Aber ich komme zum Verrecken nicht dahinter, wo jetzt das Problem liegt.
Kann mir vielleicht jemand einen Schubser in die richtige Richtung geben?
Vielen Dank und viele Grüße!
Chris
P.S. Ich liefere gerne weitere Information noch nach. Ich wollte nicht alles in den Post packen, der ist schon lang genug, so wie er ist.
An der fortgeschrittenen Zeit sieht man schon in etwa, dass ich eine kleine Nachtschicht einlege.
Mein Aufbau ist denkbar einfach:
Meine OPNsense-Kiste hängt direkt am Internet (über den sog. Mediakonverter der Deutschen Glasfaser). Die IP-Adresse bekomme ich über DHCP(4/6). Die Verbindung steht (das hier schreibe ich über diese).
Über eine FritzBox 4060, die als IP-Client läuft, stelle ich Telefonie bereit (VoIP). Außerdem funzt die Kiste als DECT-Basis. Damit das zuverlässig funktioniert, habe ich ein paar Einstellungen. Es sind ein paar NAT-Regeln (für IPv4 und IPv6) und Port-Forwards. Ich bin mit dem Ergebnis da auch recht glücklich, die Telefonie funktioniert zuverlässig. 👍🏼
Obwohl mich etwas irritiert, dass ich eine Regel scheinbar weder editieren noch klonen kann. Aber ein Mülleimer ist vorhanden. 🤔
Jetzt geht es aber darum, eine Verbindung zu OVPN (dem schwedischen Anbieter, OpenVPN ist nicht gemeint) aufzubauen. Endziel ist es, Ports an eine Kiste bei mir in Heimnetz weiterzuleiten (erstmal ssh). Bei der DG bekomme ich ja nur einen DSlite-Anschluss, ohne öfftenliche IPv4 Adresse. Ich weiß, man kann, was ich will, auch mit IPv6 erreichen, ohne VPN, aber irgendwie komme ich mit IPv6 nicht so richtig klar.
OVPN gibt freundlicherweise eine komplette und sehr "handliche" Anleitung:
https://www.ovpn.com/en/guides/wireguard/opnsense
Die habe ich auch befolgt. Hiernach sollten alle Geräte über den VPN-Tunnel mit dem Internet verbunden werden. Das Ergebnis: Die Verbindung kommt gar nicht erst zu Stande. Im Log kommt "error" und etwas von einer fehlenden Route. Sorry, habe vergessen, die genaue Fehlermeldung zu kopieren.
Die Fehlermeldung verschwindet aber, wenn ich "Dynamic gateway policy" im Interface ausschalte.
Jetzt steht die Verbindung, aber es fließen keine Daten. Ein ping 8.8.8.8 gibt nur Timeouts.
Nachdem ich die Einstellungen da zig mal überprüft und auch an einigen Schrauben gedreht habe (das Ergebnis bleibt: Starte ich wg, klappt kein ping mehr, stoppe ich wg, klappt es wieder), habe ich eine andere Anleitung gefunden:
https://0x2142.com/how-to-protect-your-home-network-with-mullvad-vpn-opnsense/
Ich weiß, die ist eigentlich für Mullvad, aber ich habe die Daten der OVPN-Anleitung für Instance und Peer benutzt.
Doch auch hier das gleich Ergebnis: Die Verbindung steht. Ein ifconfig sieht (jetzt) so aus:
Code: [Select]
wg0: flags=10080c1<UP,RUNNING,NOARP,MULTICAST,LOWER_UP> metric 0 mtu 1420
options=80000<LINKSTATE>
inet 172.28.116.74 netmask 0xffffffff
inet6 fd00:0:1337:cafe:::: prefixlen 128
groups: wg wireguard
nd6 options=103<PERFORMNUD,ACCEPT_RTADV,NO_DAD>
Ich hatte dann den Verdacht, es könnte vielleicht an den Regeln für die IP-Telefonie liegen, doch auch durch das Abschalten oder verschieben der Regeln, konnte ich nichts erreichen.
Die offizielle OPNsense Dokumentation habe ich mir zu dem Thema natürlich auch angesehen. Sie enthält auch einige Bespiele. Ich habe keine wirkliche Ahnung, was eine Roadwarrier-Konfiguration ist (dem Namen nach), aber für meine Begriffe sieht das ziemlich nach meiner Anwendung aus. Ich bin diese Schritte auch durchgegangen und leider ist das Ergebnis gleich.
Mein Verdacht ist, es liegt an den Firewall Regeln, weil die Verbindung aufgebaut wird (im Status "up") und unter System -> Routes -> Status das Interface wg0 ein paar mal auftaucht mit den richtigen Adressen. Aber ich komme zum Verrecken nicht dahinter, wo jetzt das Problem liegt.
Kann mir vielleicht jemand einen Schubser in die richtige Richtung geben?
Vielen Dank und viele Grüße!
Chris
P.S. Ich liefere gerne weitere Information noch nach. Ich wollte nicht alles in den Post packen, der ist schon lang genug, so wie er ist.