Topics

Hello,

I have setup two VPN servers on my opnsense (at a remote location). One is a peer-to-peer VPN where the remote network is my home LAN. This works well.

Moreover, I setup a second server for remote access. It is possible to connect to this server and reach the actual local LAN. Though, I cannot reach the home LAN through it. I entered this network into Local IPv4 network within the server settings.

What else do I have to do? Or isn't this possible?

Guten Abend,

Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.

Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).

Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.

Mit iperf3 wurden diverse Messungen vorgenommen.


Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .


Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.


Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.


Was ich zumindest versucht habe:


- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle


Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.

Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.

Good evening,

I posted this topic at https://forum.opnsense.org/index.php?topic=28451.0, as well. As I am not sure, if or how soon I am going to receive an answer to my question there, I also post it here. I hope, this is allowed.

I setup Wireguard on opnsense, site to site.
So far, I can reach the local IP of opnsense at site b from site A. Unfortunately, I am not able to reach othere IPs at site B. From a device at site B I can't even reach the local opnsense IP at site A.

Site B is a VLAN, which means there is no router as standard gateway, where I could set some routes. Thinking logically, I suppose that I would need to set routes at the other devices at site B so they know which device to ask how to reach site A (have to ask opnsense at site B)

On the image attached there is the opnsense VM at site A missing (IP: 192.168.132.32). Opnsense at site B is on 192.168.133.1. There is windows running on 192.168.132.2.

Site A (home) is the red square on the left, site B is the red square on the right. At site A there is a VM with opnsense running (behind a router - Fritzbox), site B also has a VM but no router, instead a hoster's VLAN, to two NICs.


Allowed IPs at site A: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.133.0/24
Allowed IPs at site B: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.132.0/24
The Wireguard IPs at the two endpoints are 10.210.0.1 (site A) and 10.210.0.2 (site B)

Firewall site A:

- WAN rule with Wireguard Port, incoming, UDP, Gateway: standard
- Wireguard (Group): Source single host or network 10.210.0.0/32 as well as 192.168.133.0/24


Firewall site B:

the same, but IP range at second rule (Wireguard): 192.168.132.0/24
No other restrictions set via rules.

Blocking private networks in WAN interface at site A is deactivated.



What could be the issue?

Guten Abend,

ich habe Wireguard auf opnsense, Site to Site, eingerichtet.
Ich kann nun auch von Standort A die lokale IP der opnsense an Standort B erreichen. Andere IPs im Netz B erreiche ich hingegen nicht. Von einem Gerät an Standort B aus erreiche ich an Standort A nicht einmal die lokale IP der opnsense.

Standort B ist ein VLAN, d.h. ich habe keinen Router als Standartgateway, wo ich Routen setzen könnte. Die Logik sagt mir aber, dass ich auf den weiteren Geräten an Standort B Routen setzen müsste, damit diese wissen, wen sie überhaupt fragen müssen, wenn sie das Subnetz von Standort A erreichen wollen (nämlich die opnsense an Standort B).

In dem anhängenden Schaubild fehlt noch die opnsense VM an Standort A (IP: 192.168.132.32). Die opnsense an Standort B befindet sich auf 192.168.133.1. Das Gerät 192.168.132.2 ist ein Windows-System.

Standort A (zuhause) ist das rote Quadrat links, Standort B das rote Quadrat rechts. An Standort A gibt es eine VM mit opnsense (hinter einer Fritzbox), an Standort B ebenfalls (da ist es aber in einem VLAN bei Netcup).

Allowed IPs an Standort A: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.133.0/24
Allowed IPs an Standort B: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.132.0/24
Die Wireguard IPs der beiden Endpunkte sind 10.210.0.1 (Standort A) und 10.210.0.2 (Standort B)

Firewall Standort A:

- WAN Regel mit Wireguard Port, eingehend, UDP, Gateway: standard
- Wireguard (Group): Quelle Einzelner Host oder Netzwerk 10.210.0.0/24 sowie 192.168.133.0/24


Firewall Standort B:

dasselbe, nur die zweite IP-Range bei der zweiten Regel: 192.168.132.0/24
Ansonsten keine Einschränkungen bei den Regeln.


Blockierung privater Netze in WAN Schnittstelle Standort A ist deaktiviert.



Wo kann das Problem liegen?