kein DNS + Wireguard-VPN keine Verbindung hinter doppeltem NAT

[maze-m]

Hallo zusammen!

Ich hoffe, ihr könnt mir helfen.

Ich habe zum reikommen in die Thematik 'OPNSense' mir meine Sense hinter meine Vodafone Station gepackt und die Interface-Zuweisung sieht folgendermaßen aus:

Vodafone-Station:                             192.168.0.1
WAN (OPNSense):                             192.168.0.2
MGMT-Netz (OPNSense):                   192.168.0.3
LAN-Netz (hinter OPNSense zum Testen): 192.168.1.2

Das draw.io Diagramm packe ich hier in den Anhang.

Ich habe zusätzlich für die DNS-Auflösung einen Unbound DNS und ein Adguard Home installiert.
Der Unbound lauscht auf Port 5353 und der Adguard Home auf Port 53.

Ich habe nun leider das Problem, dass ich von der Sense direkt aus über 'Interfaces' --> 'Diagnostic' --> 'Ping' keinen Ping auf heise.de, web.de oder dergleichen machen kann.

Mache ich jedoch einen Ping auf 8.8.8.8 funktioniert dieser ohne Probleme.

Leider kann ich aufgrund der DNS-Probleme mein Wireguard-VPN nicht zum Laufen bekommen.

Habt ihr eine Idee, warum ich keine saubere Namensauflösung hinbekomme?

[micneu]

wenn du ein ping auf die 8.8.8.8 hinbekommst hast du einen fehler in deinem dns
mache es doch erstmal ohne adguard.

[Bob.Dig]

WAN (OPNSense):                             192.168.0.2
MGMT-Netz (OPNSense):                   192.168.0.3

Was soll das denn sein?

Das draw.io Diagramm packe ich hier in den Anhang.

Ein Bildchen wäre besser gewesen.

[maze-m]

@micneu und @Big.Dig:

Sorry für die späte Rückmeldung. Ich hatte jetzt bezüglich meines DNS-Problems nun schon mit jemandem aus dem OPNSense Forum (DACH) Channel aus Telegram das netterweise debugged und hatte mich dann dazu entschieden, die Sense neu aufzusetzen.
Nun habe ich zumindest kein DNS-Problem mehr ....

[maze-m]

WAN (OPNSense):                             192.168.0.2
MGMT-Netz (OPNSense):                   192.168.0.3

Was soll das denn sein?

Ich habe mir das so eingerichtet, dass das WAN-Interface quasi meine erste IP "nach dem Default-GW" von meiner Vodafone Station ist.
Die zweite IP (192.168.0.3) ist dann schon mein MGMT-Netz, über welches ich mich direkt mit meiner Sense verbinde.

Geplant ist langfristig folgendes:

- ein MGMT-Netz (192.168.0.x-er Netz)
- ein Netz für Gäste-WLAN (VLAN 10 / 192.168.10.x-er Netz)
- ein Netz für unser WLAN (VLAN 20 / 192.168.20.x-er Netz)
- vielleicht noch ein IoT-Netz (VLAN 30 / 192.168.30.x-er Netz)

Zunächst aber noch eine Frage bezüglich Wireguard..... Ich hab versiucht, ein Road Warrior Setup aufzusetzen, wie hier beschrieben: https://www.zenarmor.com/docs/network-security-tutorials/how-to-setup-wireguard-on-opnsense

Ich hab zudem in meiner Vodafone Station einen 'Host Exposure' dafür eingerichtet und den Port 51820 für die MAC-Adresse meiner WAN-Schnittstelle freigegeben, sodass die Station somit mit dem Port direkt im Internet hängen sollte.

Leider sehe ich bei den Handshakes keinerlei Verbindungen, so wie's eigentlich sein sollte :/.
---> https://www.zenarmor.com/docs/network-security-tutorials/how-to-setup-wireguard-on-opnsense#11-verifying-the-wireguard-setup-on-opnsense

Ich hab mir - da ich keinen Business-Anschluss habe 'und somit mein ich auch keine statische IP habe - einen DNS-Account bei Dynu geholt und diesen unter 'Services' ---> 'Dynamic DNS' eingerichtet. Jedoch muss ich hier auch gestehen, dass ich nicht sicher bin, ob das soweit geklappt hat.