Wireguard Site-to-Site zwischen OPNsense und PiVPN Raspberry

[telly]

Hallo,
ist es möglich, zwischen einer OPNsense und einem PiVPN Raspberry PI mit Portfreigabe hinter einem Speedport Router eine Site-to-Site Verbindung einzurichten?

DynDNS ist an beiden Standorten aktiv.
Bisher ist die OPNsense als Wireguard Server aktiv und hat mobile Endgeräte erfolgreich angebunden.
Habe ein Verständnisproblem, ob sich für die Site-to-Site Verbindung der PiVPN als Peer zur OPNsense verbinden kann oder ob die OPNsense sich als Peer zum PiVPN als Server verbinden muss.

Alle Videos und Anleitungen, die ich gefunden habe, beziehen sich auf S2S zwischen OPNsense Installationen. Vielleicht ist auch auf dem Raspberry ein anderes Produkt als ein PiVPN nötig?

[Patrick M. Hausen]

Installier doch einfach WireGuard auf dem Pi ...

[telly]

ist das nicht schon erledigt, wenn PiVPN drauf ist oder schränkt gerade PiVPN für mein Vorhaben ein, sodass eine klassische NUR Wireguard Installation der Schlüssel zum Erfolg ist?

[Patrick M. Hausen]

PiVPN ist eine Variante von OpenVPN, nicht WireGuard - so weit mir das mein Suchmaschinen-Foo verraten hat. Ich würd ja einfach ein Raspbian oder Ubuntu nehmen, apt install wireguard, feddich.

[Maurice]

Oder, sofern es sich um ein halbwegs aktuelles Modell handelt, OPNsense auf den Raspberry Pi. 8)

[telly]

good ideas, danke, werde ich mal testen  :)

[telly]

Nochmal eine Verständnisfrage. Wie richte ich es ein, dass die OPNsense als Client bzw Peer eine Verbindung zum entfernten Raspberry mit Wireguard aufbaut?

[Monviech (Cedrik)]

Ich habe letztens das Site2Site Wireguard Doc überarbeitet. Da es noch nicht in der offiziellen OPNsense Doc ist, hier ein direkter Link. Vielleicht beantwortet es deine Fragen bezüglich Site2Site Wireguard Tunneln:

https://forum.opnsense.org/index.php?topic=36177.0

[telly]

Sehr gut, vielen Dank! Verstehe ich das richtig, dass ein Peer auf beiden Seiten angelegt werden muss? Ich hatte immer die Denkweise, dass eine Seite der Server ist und die andere Seite der Client und somit nur auf einer Seite ein Peer einzutragen ist.

[Patrick M. Hausen]

Es gibt bei WireGuard keine ausgewiesenen Server und Clients. Alles Peers.

[chemlud]

wenn auf beiden seiten infos liegen, wird von beiden seiten versucht, den tunnel aufzubauen. dann gibt es keinen server und peer, beide seiten sind beides.

sobald nur auf einer seite infos für peer liegen, wird diese seite zum server.

[telly]

Tausend Dank, ihr seid echt spitze! Das bringt erstmal Licht ins Dunkel :D

[telly]

Dank Eurer Hilfe läuft die site-to-site Verbindung jetzt.

Die Verbindung ist eingehend über allowed IPs auf mein VLAN2 erlaubt 192.168.2.0/24.

Von meinem internen VLAN2 erreiche ich auch die Remoteseite, alles bestens.

Von meinem internen VLAN30, 192.168.30.0/24 erreiche ich die Remoteseite nicht, bspw. über iPhone / WLAN im VLAN30.

Es gibt nur eine Firewallregel im VLAN30, dass alles vom VLAN30 nach any ausgehend erlaubt ist.
Verstehe nicht, warum VLAN30 dann nicht über wg0 die Remoteseite erreicht.

Schalte ich am iPhone WLAN aus und connecte über LTE / WireGuard, dann erreiche ich alles im Heimnetz UND die Remoteseite.

Wie bekomme ich das hin, dass die Remoteseite über WLAN und VLAN30 erreichbar ist?