gelöst - wireguard endpoint lan subnet wg schnittstelle down

[wirehire]

Euren Ansatz habe ich verstanden.

Die Regel habe ich gesetzt, komme damit aber nicht raus. sehe die Anfragen die ich extern schicke sehe ich nicht in wg. Schnittstelle wg usw geht alles.

Also nur die Regel setzten ?

[juere]

- Unter "Interfaces -> Assignments" aus dem wg0 Interface eine Schnittstelle machen
- Unter "System -> Gateways -> Single" ein neues Gateway auf dieser Schnittstelle erstellen, als "Far Gateway" markieren, "Upstream Gateway" nicht markieren und die IP 10.1.1.1 zuordnen

Die beiden Schritte hast du auch gemacht ?

[wirehire]

hatte ich gemacht. Mal andere Frage, wäre es denn auch möglich die Pakte zu naten, das sie einfach über die wg peer adress genatet werden?

[juere]

Du kannst natürlich ein Outbound-NAT auf der wg Schnittstelle machen.
Sollte nicht nötig sein, da ja der WireGuard Server eine Rückroute hat, schadet aber nicht mehr, als Double-NAT allgemein schadet :) Es ersetzt aber die vorherigen Routing Schritte nicht.

[wirehire]

Hallo goodomens42,

Ich bin jetzt erst dazu gekommen, Interface assigned habe ich und Fernes Gateway habe ich erstellt.

Wenn ich zb 8.8.8.8 anpinge sehe ich auch , das er es über die wg schnittstelle abfragt ( die regel mit dem wg gateway), auf der Gegenseite sehe ich aber keine Pakete ankommen. Wo könnte ich ansetzten?

[juere]

Wo könnte ich ansetzten?

Wenn du die Client-Pings an die 8.8.8.8 auf der WireGuard Schnittstelle der OPNsense rausgehen siehst, muss das Problem wohl am WireGuard Cloud Server 10.1.1.1 liegen.
Ich würde also dort das Routing und die relevanten Firewall-Rules checken.

Ist von deinem CLIENTPC/32 aus zumindest die 10.1.1.1 anpingbar ?

[wirehire]

Ich habe es jetzt erstmal zurück gebaut.

Ich habe momentan das Problem, das nur wenn ich bei floating die regel setzte es greift.

Zum Verständnis für mich.

Wenn mein client von wan kommt und dort icmp erlaubt ist und auf der WG Regel Seite, dann wäre das doch richtig oder?

Per TCPDUMP sehe ich anfrage und reply, beim Client kommt aber nix an.

Setzte ich auf floating icmp erlaubt , kommt beim client der reply an. Woran könnte das liegen?

[wirehire]

okay , das habe ich gelöst , jetzt noch mal zum dem client wo alles raus gehen soll.

Interface WG assigned
Gateway zum server cloud erstellen  (entfernt)
regel

client * * * cloudgateway

Korrekt?

Habe es jetzt geschafft, das die Pakete bis zum vps wg interface ankommen.

Nur wenn ich zb einen ping mache kommt:

ICMP time exceeded in-transit, length 70

Ping geht jetzt und pot 80 usw auch. tcp 443 traffic sehe ich zwar , aber kommt immer timeout beim client.

[wirehire]

Erstmal noch einmal vielen Dank an goodomens42 für deine Hilfe. es funktioniert jetzt alles. Ich musste noch die MSS anpassen, seitdem läuft es genauso wie erwünscht, danke!