121
Virtual private networks / Re: Unable to set allowed IPs to '0.0.0.0' for wireguard client
« on: June 27, 2024, 06:04:10 pm »
For Windows see post #7 regarding default routing...
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
122
German - Deutsch / Re: Wireguard blockt gesamte Internetverbindung in der FW
« on: June 27, 2024, 03:17:15 pm »Jungs, ich verstehe nicht ganz. Ich sehe KEINE AllowedIPs oder Addresses beim Server (Edit Instance). Es gibt nur Tunnel Address, also die IP vom Server selbst, wie ichs verstehe.
Ich habe doch nun schon mehrfach geschrieben, dass das NUR CLIENTSEITIG (das bedeutet in der Konfig auf dem Client Gerät ) möglich ist.
Beim Clienz:
Addresses = die IP die dem Client zugewiesen wurde /32
Allowed IPs = Adressen die geroutet werden dürfen. /24 (vermutlich)
Steht oben aber auch schon
123
German - Deutsch / Re: Wireguard blockt gesamte Internetverbindung in der FW
« on: June 27, 2024, 03:02:15 pm »
... bedeutet hier dann aber, dass das die IP ist, die dem Client zugewiesen wird.
Nach was suchen wir denn jetzt? Von "allowed IPs" dürfen wir nicht reden, da das ja an jeder Stelle was anderes bedeutet
Nach was suchen wir denn jetzt? Von "allowed IPs" dürfen wir nicht reden, da das ja an jeder Stelle was anderes bedeutet
124
German - Deutsch / Re: Wireguard blockt gesamte Internetverbindung in der FW
« on: June 27, 2024, 02:59:26 pm »
Eigentlich finde ich die Beschreibung vom ersten Link (mein Vorschlag wie es lauten sollte) schon ganz gut.
Server: Ist die Host (!) IP die dem Client zugewiesen wird, findet sich auch in der Client Config wieder, heißt hier aber "Addresses".
Client: Sind die Adressbereiche die über den Tunnel geroutet werden, diese Einstellung gibt es serverseitig nicht.
Server: Ist die Host (!) IP die dem Client zugewiesen wird, findet sich auch in der Client Config wieder, heißt hier aber "Addresses".
Client: Sind die Adressbereiche die über den Tunnel geroutet werden, diese Einstellung gibt es serverseitig nicht.
125
German - Deutsch / Re: Wireguard blockt gesamte Internetverbindung in der FW
« on: June 27, 2024, 02:53:35 pm »
Allowed IPs beim Server hat nichts mit "erlaubten" oder gerouteten IPs zu tun, auch wenn es dämlicherweise so heißt. Die Routingoption gibt es serverseitig nicht, sondern nur im Client.
126
German - Deutsch / Re: Wireguard blockt gesamte Internetverbindung in der FW
« on: June 27, 2024, 02:50:36 pm »
Aber nicht [Peer] Allowed IPs bei Client und Server verwechseln.
Das sind zwei unterschiedliche Sachen.
Gab es schon hier mit dem Vorschlag die Beschreibung in der Sense anzupassen:
https://forum.opnsense.org/index.php?topic=39938.msg195670#msg195670
Und vor wenigen Stunden erst wieder hier (vermutlich):
https://forum.opnsense.org/index.php?topic=41260.msg202333#msg202333
Das sind zwei unterschiedliche Sachen.
Gab es schon hier mit dem Vorschlag die Beschreibung in der Sense anzupassen:
https://forum.opnsense.org/index.php?topic=39938.msg195670#msg195670
Und vor wenigen Stunden erst wieder hier (vermutlich):
https://forum.opnsense.org/index.php?topic=41260.msg202333#msg202333
127
Virtual private networks / Re: Unable to set allowed IPs to '0.0.0.0' for wireguard client
« on: June 27, 2024, 12:36:56 pm »
In other words...
SERVER SIDE:
[Peer]
AllowedIPs = IP assigned to VPN client
CLIENT SIDE:
[Peer]
AllowedIPs = IPs to be routed via VPN
For some OS you should not use 0.0.0.0/0 but 0.0.0.0/1, 128.0.0.0/1
SERVER SIDE:
[Peer]
AllowedIPs = IP assigned to VPN client
CLIENT SIDE:
[Peer]
AllowedIPs = IPs to be routed via VPN
For some OS you should not use 0.0.0.0/0 but 0.0.0.0/1, 128.0.0.0/1
128
Virtual private networks / Re: Unable to set allowed IPs to '0.0.0.0' for wireguard client
« on: June 27, 2024, 12:32:41 pm »
Did you add 0.0.0.0/0 in OPNsense peer config (allowed IPs) ?
This must go into client config (allowed IPs) since on server side this is the IP assigned to the client.
This must go into client config (allowed IPs) since on server side this is the IP assigned to the client.
129
Tutorials and FAQs / Re: Wireguard instance allowing internet, but blocking access to other IPs on LAN
« on: June 26, 2024, 06:29:33 am »
Set protocol to TCP/UDP, then you can add the port.
130
Tutorials and FAQs / Re: Wireguard instance allowing internet, but blocking access to other IPs on LAN
« on: June 25, 2024, 01:10:04 am »
For that rule, allow traffic to your DNS (OPNsense?) instead to any and give it your DNS port as destination.
You could also use only one instance, applying this rule only for specific WG client IPs as source, there is no need for a second instance.
You could also use only one instance, applying this rule only for specific WG client IPs as source, there is no need for a second instance.
131
German - Deutsch / Re: Wireguard Probleme mit hinzufügen von Interface
« on: June 23, 2024, 06:36:20 pm »
Das ist aber nicht die vollständige Config
Die client IP muss eine /32 sein, wenn das Problem dann immer noch auftritt einmal die gesamte config löschen und neu erstellen.
Die client IP muss eine /32 sein, wenn das Problem dann immer noch auftritt einmal die gesamte config löschen und neu erstellen.
132
German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)
« on: June 18, 2024, 04:28:32 pm »
Was hindert dich an der statischen Route? Du müsstest hier "nur" die Server IP angeben und dafür sorgen dass nur dieser Server für den speedtest verwendet.
Alternativ könnte es für ein einmaliges unterfangen klappen wenn du die GW Prio vom WG höher setzt, sodass diese default wird. Da die Verbindung vorher schon steht könnte das klappen.
Alternativ könnte es für ein einmaliges unterfangen klappen wenn du die GW Prio vom WG höher setzt, sodass diese default wird. Da die Verbindung vorher schon steht könnte das klappen.
133
German - Deutsch / Re: Wireguard unverständliches Problem... (für mich)
« on: June 18, 2024, 02:28:40 pm »
Nein, denn die Firewall selbst kommt ja nicht bei sich selbst über das LAN Interface rein, also trifft diese Regel hier gar nicht zu.
Du brauchst eine statische Route, kein policy based routing für die Sense selbst.
Aber ist es entscheidend wo sich die Sense ihre Daten herholt?
Du brauchst eine statische Route, kein policy based routing für die Sense selbst.
Aber ist es entscheidend wo sich die Sense ihre Daten herholt?
134
23.7 Legacy Series / Re: How to use ifconfig-push and push route for Openvpn in Opnsense 23.7?
« on: June 18, 2024, 01:51:46 pm »
For routes you must use the Local Network option (networks given here will be routed through VPN gateway).
CSO is meant for different configs for different users, if there is no need for that (for CSO) you can push routes in general to any client using Routing/Local Network option in Instance settings.
CSO is meant for different configs for different users, if there is no need for that (for CSO) you can push routes in general to any client using Routing/Local Network option in Instance settings.
135
23.7 Legacy Series / Re: How to use ifconfig-push and push route for Openvpn in Opnsense 23.7?
« on: June 18, 2024, 01:23:57 pm »
You can do it in the specific fields in CSO... I am only pushing IPs, not routes, but this should also work...