Messages

1081

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 05:07:11 pm »

Auf dem WAN-Interface ist der Port auf die WAN-Adresse freigegeben. Worauf auch eigentlich die Dyndns-Adresse zeigt

"Eigentlich" oder ganz sicher?

und ich sehe auch ein Paket von außen ankommen, wenn ich das so laufen habe.

Und die Destination-Adresse dieses Pakets ist ganz sicher die OPNsense-WAN-Adresse? Nachgeprüft?

Nur kommt das nicht am Tunnel an

Du meinst wahrscheinlich "es kommt nichts aus dem Tunnel-Interface heraus"? Die verschlüsselten Pakete, die von außen am WAN ankommen, sind ja nicht die, die aus dem wg-Interface herauskommen. Da sieht man erst Pakete, nachdem die Verbindung erfolgreich aufgebaut wurde.

Das riecht sehr danach, dass der Android-Client nicht die OPNsense-WAN-Adresse als Endpoint verwendet, sondern irgend eine Adresse aus dem /56.

1082

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 04:34:35 pm »

Die WireGuard-Tunnel-Adresse ist doch die Adresse des internen Tunnel-Interfaces. Auf die hast Du weitergeleitet? Also eine direkte Weiterleitung aus dem Internet IN den Tunnel? ...

Das riecht eher danach, dass nicht wie Weiterleitung das Problem gelöst hat, sondern die damit verknüpfte Firewall-Regel. Ich würde die Portweiterleitung löschen und die ursprüngliche WAN-Firewall-Regel nochmal ganz genau anschauen. Und ins Firewall-Log schauen, ob da etwas geblockt wird.

1083

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 03:52:33 pm »

?
Diese /128-Adresse in der Port-Weiterleitung muss doch irgendwo konfiguriert sein. Wenn das weder die WAN- noch die LAN-Adresse ist, was dann?

1084

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 03:41:51 pm »

Aber welchem Interface ist diese Adresse zugewiesen? WAN oder LAN?

1085

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 03:36:59 pm »

Und welche Adresse ist die unkenntlich gemachte? Die WAN-Adresse? Oder eine LAN-Adresse?

1086

German - Deutsch / Re: OPNSense direkt an innogy Glasfaser-Anschluss?

« on: March 05, 2020, 03:22:16 pm »

Aus dem ONT kommt doch schon IP über Ethernet (mit DHCP), daher braucht man weder Modem noch PPPoE noch Fritzbox. OPNsense einfach direkt an das ONT hängen, VLAN 132 anlegen, WAN-Interface diesem VLAN zuweisen und auf DHCP stellen. Fertig.

(Das mit den DSL-ATM-Einstellungen ist Unfug, da hier gar kein DSL im Spiel ist. Die Seite die Du verlinkt hast ist ja auch nicht von Innogy, sondern von irgend einer Vertriebsbude.)

1087

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: March 05, 2020, 03:10:06 pm »

Port-Weiterleitung an die IPv6 des Wireguard-Servers

Port-Weiterleitung bei IPv6? Da läuft irgend etwas grundsätzlich schief. Was meinst Du mit "IPv6 des Wireguard-Servers"? WG sollte doch an alle Interfaces binden? Von wo nach wo leitest Du denn da weiter?

1088

German - Deutsch / Re: OPNSense direkt an innogy Glasfaser-Anschluss?

« on: March 05, 2020, 02:47:05 pm »

Ihr redet komplett aneinander vorbei... Hier ist doch weder PPPoE noch DSL im Spiel. Einfach auf der OPNsense das VLAN 132 anlegen und das WAN-Interface (DHCP) diesem zuordnen. Fritzbox braucht man dafür nicht.

Grüße

Maurice

1089

20.1 Legacy Series / Re: OPNSense as a VPN gateway, Wireguard

« on: March 03, 2020, 05:38:11 pm »

Since OPNsense only has one interface and you configured that statically, you also have to manually add a gateway. Otherwise there is no route to the Internet.

Cheers

Maurice

1090

German - Deutsch / Re: Unbound: Auto Registrierung von IPv6 Clients

« on: March 02, 2020, 10:51:37 am »

Moin,

Man kann DHCPv6 Static Mappings anlegen und diese automatisch von Unbound übernehmen lassen. Die muss man zwar auch für jeden Client anlegen, das geht aber relativ komfortabel, indem man dynamische Leases in statische konvertiert.

Funktioniert natürlich nur für Clients die DHCPv6 verwenden (und bisher auch nur mit einem statischen Präfix).

Grüße

Maurice

1091

20.1 Legacy Series / Re: Strange WireGuard Site-to-Site Behaviour

« on: February 29, 2020, 07:09:48 pm »

Had a quick look at your screenshots. The NAT rules don't make sense to me at all:

- Why is the WireGuard port forwarded from the WAN address to the LAN address?
- Why are there outbound NAT rules for the WireGuard net?

Not sure if this is the root cause, but would fix that first.

Cheers

Maurice

1092

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: February 29, 2020, 01:03:55 pm »

Moin,

Dann tippe ich entweder auf ein DynDNS-Problem oder irgendwelche WAN-seitigen Filter.

Zur Fehlereingrenzung würde ich

- unter OPNsense die Endpoint-Adresse löschen und
- unter Android als Endpoint-Adresse direkt die IPv6-WAN-Adresse der OPNsense eintragen.

Damit wären DynDNS-Probleme als Ursache ausgeschlossen.

Grüße

Maurice

1093

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: February 29, 2020, 12:54:31 am »

Moin Robin,

Okay, bei mir läuft das einwandfrei über IPv6. Unterschiede zu deiner Konfiguration, die ich spontan erkennen kann:

- Nur eine WireGuard-Instanz,
- keine Endpoint-Adresse / -Port definiert (der mobile Client hat keine statische Adresse),
- im Tunnel GUAs statt link-local und kein IPv4.

Grüße

Maurice

1094

German - Deutsch / Re: Wireguard IPv6-Tunnel

« on: February 28, 2020, 11:57:52 pm »

Moin,

Verwendest Du vielleicht für beide Instanzen den selben Listen-Port?

Grüße

Maurice

1095

20.1 Legacy Series / Re: Firewall/routing - DMZ to LAN - preserve Source IP

« on: February 25, 2020, 12:12:58 am »

Armin, you don't make it exactly easy to understand your setup.

If automatic (or hybrid) outbound NAT rule generation is enabled, outbound NAT rules get created for WAN-type IPv4 interfaces. An interface is considered WAN-type if it has an upstream gateway.

If you don't need NAT at all, disable outbound NAT rule generation.

If you don't want outbound NAT for specific interfaces, make sure they don't have an IPv4 upstream gateway. If that's not feasible, switch to manual outbound NAT rule generation and add all required outbound NAT rules manually.

Cheers

Maurice