Messages

91

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 06, 2019, 06:16:09 pm »

 auf dem client habe ich jetzt die 192.168.178.253 als gateway eingetragen:

0.0.0.0 0.0.0.0 192.168.178.253



In der firewall Live Ansicht sehe ich auch das der client seine Anfrage stellt

192.168.178.14   8.8.8.8   icmp   let out anything from firewall host itself

aber es kommt nicht zurück bzw eventuell dann nicht in den Tunnel.

92

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 06, 2019, 06:02:32 pm »

die /1 bedeutet das er auch die default überschreibt bzw höher ist oder?

0.0.0.0/1          wg0                US          wg0
default            192.168.178.1      UGS      vtnet0
localhost          link#3             UH          lo0
128.0.0.0/1        wg0                US          wg0
172.16.1.0/28      wg0                US          wg0
172.16.1.6         link#6             UH          wg0
vps.host.m       192.168.178.1      UGHS     vtnet0
192.168.178.0/24   link#1             U        vtnet0
OPNsense           link#1             UHS         lo0


Ich habe auf jeden Fall die beiden drin.

93

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 06, 2019, 04:09:30 pm »

Das dachte ich mir auch.

Muss ich in opnsense noch eine Route für das Forwarding machen?

also das der Lan Traffic immer durch den tunnel geht?

94

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 06, 2019, 09:24:18 am »

@migmugmail

ich hatte dein tutorial gelesen auf der Webseite  und dadurch geht es jetzt das der Tunnel Stabil ist und Datenvekehr stattfindet. Ip wird auf der HOME OPNSENSE mit der IP vom CLOUD VPS angezeigt.

Ich komme jetzt zum nächsten Problem , wenn ich einen Client die route 0.0.0.0 über 192.168.178.253 ( home opnsense) anlege müsste doch alles durch den Tunnel gehen oder?

habe auch die IP vom Tunnel angegeben ,gleiche Problem.

Zum verständnis für mich:

mein client hat die 192.168.178.20/24 mit dem gateway 192.168.178.1 -- dadurch kann er die 192.168.178.253 erreichen.

wenn ich jetzt eine route mache:

route add 172.16.1.0 mask 255.255.255.240 192.168.178.253

und dann die route für alles auf den Tunnel gateway der opnsense lege müsste es doch richtig sein oder?

route add 0.0.0.0 mask 0.0.0.0 172.16.1.1


er soll alles was ins Internet geht über das VPn Gateway realisieren.

95

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 08:34:30 pm »

 ich habe mal probiert 2 ips anzupingen, 1 8.8.8.8 und 1x das wireguard interface des Servers.

20:31:52.944706 IP 172.17.0.1 > google-public-dns-a.google.com: ICMP echo request, id 12357, seq 0, length 64
20:31:52.946371 IP 172.17.0.1.61012 > l.root-servers.net.domain: 19801% [1au] A? arpa. (33)
20:31:53.977412 IP 172.17.0.1 > google-public-dns-a.google.com: ICMP echo request, id 12357, seq 1, length 64
20:31:54.996002 IP 172.17.0.1 > google-public-dns-a.google.com: ICMP echo request, id 12357, seq 2, length 64
20:31:56.069570 IP 172.17.0.1 > google-public-dns-a.google.com: ICMP echo request, id 12357, seq 3, length 64
20:31:57.096978 IP 172.17.0.1 > google-public-dns-a.google.com: ICMP echo request, id 12357, seq 4, length 64


20:35:00.199689 IP 172.17.0.1 > 172.16.1.1: ICMP echo request, id 33905, seq 3, length 64
20:35:01.235931 IP 172.17.0.1 > 172.16.1.1: ICMP echo request, id 33905, seq 4, length 64
20:35:02.285918 IP 172.17.0.1 > 172.16.1.1: ICMP echo request, id 33905, seq 5, length 64
20:35:03.336701 IP 172.17.0.1 > 172.16.1.1: ICMP echo request, id 33905, seq 6, length 64

96

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 06:41:55 pm »

Wenn ich einen Mitschnitt auf von der FB mache, sehe ich auch das die Verbindung mit wireshark steht und der keepalive ab und an kommt. Trotzdem geht kein Ping und datenfluss.

Aber es kommt halt nur der Handshake zustanden:

 allowed ips: 172.16.1.6/32
  latest handshake: 1 minute, 4 seconds ago
  transfer: 0 B received, 160 B sent

aber kein Datenvekehr. Mit einem anderen Client läuft die Verbindung, sodass ich den Server ausschließen kann.

97

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 06:22:57 pm »

ich hatte das 28 genommen weil ich nicht viele Clients habe. Soll ich das auf ein 24 Netz umstellen?


Vps OPnsense : wireguard 172.16.1.0/28 Netz
Home OPNsense : wireguard 172.17.0.0/28 Netz

Der Endpoint mit der 172.16.1.6/32 ist für die Einwahl zum VPS Wireguard und dort als PEER hinterlegt.

98

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 05:52:41 pm »

Rest2

99

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 05:52:15 pm »

der Rest.

100

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 05:50:18 pm »

 So ich habe noch einmal von vorne angefangen und diesmal die opnsense als wan statt lan anschluß eingestellt und von jedem einen ordentlichen Scrennshot gemacht.

Ich denke das etwas mit dem Rückkanal nicht stimmt. In der Firewall Liveansicht sehe ich ja das die Wireguard Schnittstelle nach außen komminzieren möchte.

Anbei Netzplan, Fritzbox, WAN,NAT,Firewall Rules, Wireguard und Firewall Beispiel.

Eventuell erkennt dann jemand wo mein Fehler liegt.

101

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 04:18:04 pm »

Ich lerne gerne dazu.


wie würdest du spontan es aufbauen wenn du eine fritzbox als Router hast und dahinter mit opnsense einen wireguard (vpn) gateway realisieren würdest wollen?

102

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 03:22:49 pm »

Die Pcs sind auch im 192.168.178.0/24 Netz. Die opnsense ist ja auch nur per Lan am Router im gleichen Netz.

103

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 01:41:43 pm »

Hallo @Migmugmail

ich habe das mal schnell aufgezeichnet.

Im endeffekt möchte ich ein vpn Gateway haben durch die opnsense im Lan. Wan macht die Fritzbox. Opnsense soll im Lan hängen eine verbindung per wireguard zu meinem wireguard server öffnen und halten. Und wenn ich dann clients den Gateway mitgebe dann direkt alles durch den Tunnel schicken, sodass nicht jeder client extra ein vpn aufmachen muss. Mit openvpn in einer anderen konstalleation hatte ich das auch hinbekommen. Aber hier glaube ich das schon broken by design von mir ist.

Im Anhang der Netzplan.

Danke für deine Hilfe.

104

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 12:09:55 pm »

@mimugmail  den Ping machen ich von der Opnsense daheim.

ich glaube das mein Routing oder mein NAt falsch sind.


zum Verständnis :


internet ----FB/wan----FBLAn
                                   |
                                   |
                                 Opsense-Lan (192.168.178.253) (Gateway 192.168.178.1)
                                   |
                                   |
                                 Opsense Wireguard wg0  (per NAT outbound an das LAN gebunden)


Destination        Gateway            Flags     Netif Expire
0.0.0.0/1         wg0                US          wg0
default             192.168.178.1      UGS         em0
localhost          link#3             UH          lo0
128.0.0.0/1      wg0                US          wg0
172.17.0.1         link#6             UH          wg0
185.162.251.108    192.168.178.1      UGHS        em0
192.168.178.0/24   link#1             U           em0
OPNsense           link#1             UHS         lo0


Muss ich auf der FB eine Rückroute einstellen?

105

German - Deutsch / Re: opensense wireguard zu opnsense wireguard

« on: May 05, 2019, 12:02:06 pm »

Danke micneu, das ist eine sehr gute Idee. Werde ich sofort Testen.