Site-to-Site Wireguard VPN mit Proxmox OPNSense klappt nicht

Started by _patrick_, October 07, 2023, 11:19:49 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 07, 2023, 11:19:49 AM Last Edit: October 07, 2023, 11:22:19 AM by _patrick_
Hallo Leute,

ich habe ein Problem mit einer Site-to-Site VPN Verbindung

Folgendes Szenario:

-) PC zuhause - OPNSense mit fixer statischer IP
-) Hosted Server mit Proxmox, hier läuft eine OPNSense VPN
-) Normale Wireguard VPN Verbindung zu der Proxmox OPNSense klappt, es lässt sich auch die GUI von OPNSense unter der LAN IP aufrufen

Proxmox hat auf dem Interface vmbr0 (BridgePort ens18) eine fixe statische IP (120.241.235.94/24, GW 120.241.235.1), die OPNSense VPN hat das Interface vmbr0 und vmbr1 zugewiesen, auf vmbr0 ist in der OPNSense Config die zweite statische IP eingetragen (120.241.235.252/24, GW 120.241.235.1), auf dem vmbr1 ist die LAN IP 192.168.100.1/24 eingetragen.

Es gibt außerdem noch das Tunnelnetzwerk (172.16.100.0/24). Die OPNSense zuhause hat die Tunneladresse 172.16.100.1/24 und die Proxmox OPNSense 172.16.100.2/24.

Ich habe auch in der OPNSense jeweils eine statische Route angelegt

Zuhause
IPv4-Netz: 192.168.0.0
Gateway: 10.0.1.1 (Die IP-Adresse der OPNsense)

Proxmox
IPv4-Netz: 10.0.0.0/8
Gateway: 192.168.100.1 (Die IP-Adresse der OPNsense)

In der Firewall ist auf dem WAN Interface jeweils die Regel "Source=any" - "Destination = WAN adress:51821" angelegt, weiters habe ich auf dem WireGuard Site-to-Site Interface zum testen jetzt mal eine "any any" Regel angelegt.

Bei den Endpoints ist die jeweilige Entpoint Adresse hinterlegt (Zuhause also die 120.241.235.252 und bei der Proxmox OPNSense die IP von zuhause) und bei den Allowed IPs die jeweils andere Tunnel IP sowie alle Netze die erreichbar sein sollen.

Der Handshake ist soweit auch mal erfolgreich. Ich kann über die Shell der OPNsense auch jeweils die andere Tunnealdresse erfolreich anpingen. Aber ich habe keinen Zugriff auf die jeweiligen Clients im anderen Netz.

Hat jemand eine Idee oder einen Tipp wo der Fehler liegt. Kann es sein das hier Proxmox irgendetwas blockiert oder noch etwas in der Proxmox Config eingetragen gehört? (Habe diesbezüglich zur Sicherheit auch noch im Proxmox Forum angefragt)

Danke schonmal im voraus

Grüße
Patrick

PS: Public IPs sind natürlich nicht die echten ;-)
October 07, 2023, 05:33:26 PM #1
Ich hab das hier geschrieben.
https://forum.opnsense.org/index.php?topic=36177.0

Wenn du noch Probleme hast beantworte ich gerne Fragen. Dein Setup mit statischen Routen ist falsch. Wenn du geroutetes WG machen willst dann muss über die wgXX virtual tunnel interfaces geroutet werden.

Bei deinem Setup reicht aber ein normaler Site2Site Wireguard Tunnel der auf den automatischen Routen der "Allowed IPs" aufbaut.
Hardware:
DEC740
October 07, 2023, 10:03:08 PM #2 Last Edit: October 07, 2023, 10:22:22 PM by _patrick_
Vielen herzlichen Dank, die Anleitung habe ich nicht gesehen. Und was soll ich sagen es funktioniert!!! ;D Du hast mir keine Ahnung wieviele Stunden Arbeit erspart  8)
Es haben scheinbar etliche Firewall Regeln (die in Settings: Normalization und die in WireGuard (Group))  gefehlt welche in den anderen Anleitungen nicht angeführt waren.

Was ist eigentlich der unterschied zwischen der Firewall des "Wireguard Interfaces" und "Wireguard (Group)". Von der Logik her hätte ich jetzt gesagt alles was ich in "Wireguard (Group)" gilt für alle Wireguard Interfaces und das andere halt dann nur für das jeweilige Interface. Oder ist dies eine Spezielle Gruppe für Site-to-Site Verbindungen?

Und gleichvorweg sorry für die blöde Frage: Hat das geroutete WG eigentlich einen Vorteil bzw. wann würde das zum Einsatz kommen?
October 07, 2023, 10:06:05 PM #3
Quote from: _patrick_ on October 07, 2023, 10:03:08 PM
Von der Logik her hätte ich jetzt gesagt alles was ich in "Wireguard (Group)" gilt für alle Wireguard Interfaces und das andere halt dann nur für das jeweilige Interface.
Genau so ist es.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 07, 2023, 10:08:23 PM #4 Last Edit: October 07, 2023, 10:10:03 PM by Monviech
Freut mich dass es dir geholfen hat. Und danke, dass du die Anleitung getestet hast. :)

Wireguard ist immer geroutet. Es ist nur ein unterschied ob du die Routen selber kontrollieren willst oder es durch allowed IPs steuerst.
Hardware:
DEC740
October 07, 2023, 10:15:39 PM #5 Last Edit: October 07, 2023, 10:17:47 PM by _patrick_
Quote from: Patrick M. Hausen on October 07, 2023, 10:06:05 PM
Genau so ist es.

Okay super dann versuche ich die Regelen noch umzustellen, denn ich brauche Sie ja nur am 2. WG Interface

Quote from: Monviech on October 07, 2023, 10:08:23 PM
Wireguard ist immer geroutet. Es ist nur ein unterschied ob du die Routen selber kontrollieren willst oder es durch allowed IPs steuerst.

Okay ich glaube da steige ich aus bevor ich was kaputt mache oder jeder dann Zugriff auf mein Netz hat ;D

Und jetzt gleich noch eine Frage: Ich habe noch einen zweiten Anschluss als Backup WAN, der läuft über eine Fritzbox mit statischer IP und an der OPNSense liegt die LAN IP der Fritzbox am WAN2 (muss ich so nutzen wegen der Telefonie). Die IP der OPNSense ist auf der Fritzbox als Exposed Hosted eingestellt. Wenn jetzt mein WAN1 wegbricht ist natürlich auch die Site-to-Site weg. Wenn ich hier noch eine Wireguard Verbindung einrichte und diese über die statische IP der Fritzbox laufen lasse (sofern das überhaupt geht) kommt sich da dann irgendwas in die Quere oder kann ich dann immer egal werlches WAN grad anliegt auf das entfernte Netz zugreifen?
October 07, 2023, 10:22:51 PM #6 Last Edit: October 07, 2023, 10:30:04 PM by Monviech
Wireguard ist auf alle Interfaces der Firewall gebunden. Du musst nur die Seite mit den 2 WANs als Initiator benutzen (d.h. bei der Seite mit 2 WAN stellst du die Endpoint IP der Gegenseite rein, und auf der anderen Seite mit 1 WAN nimmst du die Endpoint IP raus.)

Das Protokoll ist Stateless, das heißt wo die Pakete herkommen ist Wireguard egal, so lange der Public und Private Key übereinstimmt.

Wenn jetzt das Haupt WAN wegfällt, sendet Wireguard automatisch vom WAN2 und die andere Seite akzeptiert das.

Das Routing in deiner Opnsense muss aber so eingestellt sein, dass wenn ein Anschluss ausfällt auch wirklich der ganze Traffic über den anderen WAN Anschluss geleitet wird. Ansonsten sendet Wireguard munter Pakete ins Nirvana.

(Stichwort: Multi-WAN, Gateway Group, Gateway Monitoring, in den Docs zu finden)
Hardware:
DEC740
October 07, 2023, 10:32:02 PM #7
OOkay danke, das schaue ich mir morgen oder nächste Woche an, heute ist es dafür definitiv schon zu spät  ;D Vorallem weil da ja jetzt die Routes zum tragen kommen. Aber wenn ich darf wende ich mich dann nochmal per PM an dich wenns nicht klappt.

Vielen Dank jedenfalls nochmal und schönes Wochenede noch.

Grüße
Patrick
October 07, 2023, 10:39:51 PM #8
Ich bevorzuge im Forum und weniger die PM. Dann haben alle was von den Problemen und Lösungen. Und es können auch andere Helfen.

Schönes Wochenende dir auch :)
Hardware:
DEC740
October 07, 2023, 10:48:21 PM #9
Quote from: Monviech on October 07, 2023, 10:39:51 PM
Ich bevorzuge im Forum und weniger die PM. Dann haben alle was von den Problemen und Lösungen. Und es können auch andere Helfen.
Dito. Der Preis für meinen Community-Support ist, dass er öffentlich stattfindet, so dass alle etwas davon haben.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions