Nur bestimmte Clients über Wireguard

[lügnix]

Hallo zusammen,

nutze seit knapp 2 Jahren OPNsense und bin begeistert. Jetzt habe ich mich mal an VPN (Wireguard) ran gewagt.
Ein VPS Wireguard Server eingerichten und dann in OPNsense eingetrage nund Verbunden. Sofort geklappt, alls Clients gehen über den VPN. Wie kann ich es einstellen das nur bestimmte Clients (2 IPs) über den VPN gehen und der Rest normal ins Inet?

[Patrick M. Hausen]

Du kannst bei einer Firewallregel, die auf allow matcht, einen Gateway angeben. Also z.B.

Source: die beiden Clients
Source invert: check
Destination: any
Gateway: der normale upstream GW

Damit geht alles bis auf die beiden nicht in den WG Tunnel.

[lügnix]

habe die Regel bei pppoe angelegt, tut sich aber nichts, habe auf dem Client immer noch die IP vom VPN

[tiermutter]

Ich mache es so, dass ich bei einer allow Regel auf dem LAN als Source die MAC der Geräte über einen Alias angebe und als gateway das VPN.
Die Regel muss vor der default allow stehen.

[Patrick M. Hausen]

@lügnix, gleich ob du es in meiner Richtung oder in der von @tiermutter baust - die Regel muss auf LAN. Auf das Interface, wo die Pakete von den Clients zum ersten Mal zur Firewall reinkommen. Nicht auf PPPoE.

[lügnix]

@tiermutter:

Ich habe es soweit hin bekommen, dass nicht standardmäßig der Gateway vom VPN genutzt wird.
Regel für den Client mit VPN Gateway angelegt. Aber bekomme keine Verbindung.
Iregendwo habe ich noch den Hund drin.

[tiermutter]

Du hast keine Outbound NAT Regel für das VPN. Das wird eigentlich schon in der Anleitung für das Erstellen des VPN gezeigt.

[Patrick M. Hausen]

Mit WireGuard auf einem eigenen VPS würde ich das outbound NAT dort machen. Und tue es tatsächlich auch. Hab je eine VM bei Vultr in US und UK. Aus Gründen.