Wireguard S2S keine

[steilfirn_8000]

Hallo liebes Forum,

ich migriere gerade von Sophos nach OPNsense und wollte hierzu eine Site-to-Site VPN mittels Wireguard einrichten.

Ich habe mich da an die Infos von Thomas Krenn und auch vom OPNsense Wiki gehalten.
Soweit steht die Sache, allerdings bekommt meine zweite Firewall keinen Traffic.

In den Weiten des Internets habe ich auch noch ältere Infos gefunden, wo Leute Wireguard als Interface/Gateway und co. eingerichtet haben - habe ich dann auch gemacht, allerdings wieder keine Lösung.

Meine aktuelle Konfiguration für die Remote-Location wäre: OPNsense <-> Fritzbox <-> WAN


Irgendwelche Ideen, woran das scheitern könnte?


Danke

[micneu]

1. ist dein vorhaben für eine firma oder dich privat (meine empfehlung ist im bussines noch kein wireguard einzusetzen)?
2. hast du an beiden standorten dualstack und kein ds-lite?
3. bitte screenshots von dem was du konfiguriert hast, ohne screenshots ist es nur raten
- firewall regeln die du angelegt hast
- sind beides sense

bitte mehr informationen

[mimugmail]

Nat, Port forward, kann alles mögliche sein.

[steilfirn_8000]

Hallo,

1. ist dein vorhaben für eine firma oder dich privat (meine empfehlung ist im bussines noch kein wireguard einzusetzen)?
2. hast du an beiden standorten dualstack und kein ds-lite?
3. bitte screenshots von dem was du konfiguriert hast, ohne screenshots ist es nur raten
- firewall regeln die du angelegt hast
- sind beides sense

bitte mehr informationen

ad 1) Mein Vorhaben ist teils/teils. Ich versuche primär eine simple Site-to-Site VPN einzurichten, damit ich eine Replikation meiner VMs auf einen 2. Standort habe - die Route ich momentan alles über eine proprietäre Sophos VPN namens "RED".

ad 2) Beide Standorte fahren rein auf IPv4 - der Hauptstandort mittels statischer IP-Adresse, der andere nutzt eine dynamische Adresse.

ad 3) Ich habe bisher nur die Wireguard settings editiert. Firewall/NAT/etc. habe ich bisher noch nichts editiert.

ad 4)

[steilfirn_8000]

ad 4) https://imgur.com/a/yjdVieX

[micneu]

- wenn es fürs business ist würde ich lieber zum jetzigen zeitpunkt lieber openvpn einsetzen.
- was ist die gegenstelle auch eine sense, bitte mal auch die konfiguration posten
- wenn noch keine firewall regeln konfiguriert sind, wie soll das denn gehen ist denn der port von aussen ansprechnbar?

[steilfirn_8000]

- ist wireguard noch zu unstabil? zur not würde ich openvpn ebenfalls machen oder auch ipsec als ultima ratio.
- beide router sind sense.
- hier auch die config von der gegenseite/"hauptseite" https://imgur.com/a/Qnn81R8

- firewall regeln wären meines erachtens konfiguriert:
auf der remoteseite hätte ich nichts dezidiertes konfiguriert, da die die verbindung initiert.
muss das gesondert erlaubt werden?
die fritzbox auf der gegenseite lässt alles durch.

auf der hauptseite habe ich auf meiner derzeitigen primären firewall (sophos xg) eine portweiterleitung auf meine opnsense VM. dort wiederum habe ich eine firewall regel, die wireguard erlaubt.

[mimugmail]

Einfach Packet capture auf beiden Seiten am WAN und schauen ob Pakete auf dem Port ankommen

[steilfirn_8000]

Auf meiner Sophos habe ich das schon überprüft - kein Traffic.
Bei der Fritzbox gibt's so etwas leider nicht.

Das einzige was mir noch in den Sinn käme: Auf der remote OPNsense habe ich neben dem primären WAN gateway (wo danach die fritzbox hängt) noch ein 2. gateway, damit ich über die bestehende VPN auf die sense komme

[steilfirn_8000]

okay eben noch als alternative openvpn aufgesetzt - works like a charm.
scheinbar ist wireguard wirklich noch nicht so production ready wie man meint

[mimugmail]

okay eben noch als alternative openvpn aufgesetzt - works like a charm.
scheinbar ist wireguard wirklich noch nicht so production ready wie man meint

Doch, aber die user base ist nicht so gross und deswegen der Support in der Community nicht so stark. Ich hab letztens gelesen das einer das für 600 Einwähler ausgerollt hat.

[JeGr]

okay eben noch als alternative openvpn aufgesetzt - works like a charm.
scheinbar ist wireguard wirklich noch nicht so production ready wie man meint

Doch, aber die user base ist nicht so gross und deswegen der Support in der Community nicht so stark. Ich hab letztens gelesen das einer das für 600 Einwähler ausgerollt hat.

Würde mich dann aber sehr interessieren, wie die Authentifizierung, UserID etc. abläuft und gegen welches Backend. Gerade bei Einwahl mit verschiedenen Usern und Rechten. Wenn man einfach nur alle-dürfen-alles ausrollt - maybe. Bei komplexeren Setups? Hm.

[mimugmail]

Es gibt kein Backend bei WireGuard, rein auf pubkey Authentifizierung .. ich glaub das wurde im englischen Forum Mal besprochen, oder GitHub. Per API kannst du ja relativ schnell ausrollen

[Gauss23]

okay eben noch als alternative openvpn aufgesetzt - works like a charm.
scheinbar ist wireguard wirklich noch nicht so production ready wie man meint

Doch, aber die user base ist nicht so gross und deswegen der Support in der Community nicht so stark. Ich hab letztens gelesen das einer das für 600 Einwähler ausgerollt hat.

Würde mich dann aber sehr interessieren, wie die Authentifizierung, UserID etc. abläuft und gegen welches Backend. Gerade bei Einwahl mit verschiedenen Usern und Rechten. Wenn man einfach nur alle-dürfen-alles ausrollt - maybe. Bei komplexeren Setups? Hm.

Durch die Zuweisung genau einer Endpunkt-IP für jeden User kann man über die Firewall-Regeln relativ gut Kontrolle über deren Zugriff bekommen.