Messages

Ich lerne gerne dazu.


wie würdest du spontan es aufbauen wenn du eine fritzbox als Router hast und dahinter mit opnsense einen wireguard (vpn) gateway realisieren würdest wollen?

Die Pcs sind auch im 192.168.178.0/24 Netz. Die opnsense ist ja auch nur per Lan am Router im gleichen Netz.

Hallo @Migmugmail

ich habe das mal schnell aufgezeichnet.

Im endeffekt möchte ich ein vpn Gateway haben durch die opnsense im Lan. Wan macht die Fritzbox. Opnsense soll im Lan hängen eine verbindung per wireguard zu meinem wireguard server öffnen und halten. Und wenn ich dann clients den Gateway mitgebe dann direkt alles durch den Tunnel schicken, sodass nicht jeder client extra ein vpn aufmachen muss. Mit openvpn in einer anderen konstalleation hatte ich das auch hinbekommen. Aber hier glaube ich das schon broken by design von mir ist.

Im Anhang der Netzplan.

Danke für deine Hilfe.

@mimugmail  den Ping machen ich von der Opnsense daheim.

ich glaube das mein Routing oder mein NAt falsch sind.


zum Verständnis :


internet ----FB/wan----FBLAn
                                   |
                                   |
                                 Opsense-Lan (192.168.178.253) (Gateway 192.168.178.1)
                                   |
                                   |
                                 Opsense Wireguard wg0  (per NAT outbound an das LAN gebunden)


Destination        Gateway            Flags     Netif Expire
0.0.0.0/1         wg0                US          wg0
default             192.168.178.1      UGS         em0
localhost          link#3             UH          lo0
128.0.0.0/1      wg0                US          wg0
172.17.0.1         link#6             UH          wg0
185.162.251.108    192.168.178.1      UGHS        em0
192.168.178.0/24   link#1             U           em0
OPNsense           link#1             UHS         lo0


Muss ich auf der FB eine Rückroute einstellen?

Danke micneu, das ist eine sehr gute Idee. Werde ich sofort Testen.

 Ich habe jetzt den Handshake hinbekommen durch die NAt Rule auf dem ersten Screenshot. Leider kann ich nichts anpingen. Muss ich noch per NAT den Rückkanal machen wegen LAN? Habe das auf dem 2 Screenshot ausprobiert aber keinen Erfolg damit erreicht.

Hallo,

ich Danke erstmal dem Forum das mir geholfen hat am Anfang die Probleme von Wireguard bei mir zu lösen.
Ich nutze Wireguard jetzt einige Zeit mit Opnsense und bin sehr glücklich damit. Nun wollte ich mich meinem nächsten Projekt stellen und bräuchte etwas Hilfe.

VPS OPNSENSE Wireguard  (läuft )

Nun wollte ich zu hause eine direkt Verbindung mit opnsense herstellen. Die OPnsense zu Hause ist hinter einer Fritzbox geschaltet und hat ein Interface LAN. Ich habe dem Lan Interface die Fritzbox als Gateway gegeben. Nach draußen kann ich alles anpingen.

Opnsense Plugin installiert:

WireguardServer
Publickey erstellt
Privatekey erstellt
Port 51820
Tunnel Adress 172.16.1.10/28
Peer: OPNSENSEVPS

Endpoint:
OPNSENSEVPS
Publickey vom wireguard Interface des VPS
Tunnel Address  0.0.0.0/0
Endpoint Address ip des VPS
Endpoint Port 51820

Auf dem Opnsense im VPS habe ich den Peer hinzugefügt:

Publickey vom Home opnsese wireguard Interface
Tunneladdress 172.16.1.6/32

Die Verbindung wird nicht aufgebaut. Ich muss bestimmt eine NAT Ausgehende Reegle machen oder? Jetzt stellt sich mir die Frage wie kann ich das Wireguard Interface per Nat Rule über das LAN Interface anbinden , da es ja keine WAN Schnittstelle benutzt?

Vielen Dank für Vorschläge und wer sich überhaupt die Zeit nimmt und den Beitrag durchliest.

Schönes Wochenende

so gesehen hast du recht, hatte da nur openvpn mit seinem masquerade im kopf und dann bindet er ja alles bzw die freigaben von dem interface. also würde es ja kein problem sein wenn ich das wireguard interface auf any ports freigebe oder riskiere ich da dann ein sicherheitsloch? also any auf wiregaurd raus ins internet.

Ich meine von den clients.


zb handy (wireguard client 1 ) verbindet sich und der Tunnel ist stabil, intern kann ich alles erreichen, möchte ich aber nach außen, zb google.de aufrufen dann musste ich dafür port 80 freischalten, sonst blockte er es. Und so istd as mit allen ports die ich nicht freigebe auf dem Firewall wireguard interface. Finde ich merkwürdig.

Ich habe nun , Wireguard stabil am laufen. Ich wundere mich nur das man manuell Ports freigeben muss, ich dachte das er von haus aus ,wenn ich 0.0.0.0 erlaube alles von den Cliets nach draußen erlaubt und nur nach innen geblockt wird. Muss ich wirklich jeden port freigeben in der firewall bei der schnittstelle wireguard, oder geht das auch andersß masquerade zb?

Danke

Ich habe das Problem lösen können.

Es war das ich die 0.0.0.0/0 an die falsche stelle gesetzt habe und so kam der Adapter nicht up.

wie ist das mit den Firewall Reegeln, ich musste für https zb den port 443 auf dem wireguard interface freigeben. Istd as der richtige Weg oder eher masquerade?

wireguard            0.0.20181218
wireguard-go     0.0.20181222


Updates noch mal geprüft.

Hallo Ich habe derzeit die devel Version  19.1.b_586 aktiviert und wireguard version 0.9 aktiv. In der letzten version 0.8 und in der derzeitigen kann ich das wireguard interface nicht online bringen. Im dashboard ist es immer rot.

LOG:

ifa_maintain_loopback_route: deletion failed for interface wg0: 3
wg0: link state changed to DOWN
tun0: link state changed to UP
tun0: changing name to 'wg0'
ifa_maintain_loopback_route: deletion failed for interface wg0: 3
wg0: link state changed to DOWN


wo könnte der Fehler liegen?