Site to site with Wireguard Probleme

Started by Chase295, January 03, 2024, 11:57:25 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 03, 2024, 11:57:25 PM
Hallo Zusammen,

und zwar habe ich ein bei mir zuhause hinter einer Fritz box Opnsense am laufen. Auf dieser Läuft einmal OpenVPN für Handy und Laptop VPN. Da ich zuhause nur eine wechselnde ipv4 habe benutze ich dort natürlich DynDNS. So weit läuft auch alles ohne Probleme.

Jetzt habe ich noch einen Server in der Cloud welcher auch eine feste IPv4 hat. Diese läuft auch ohne Probleme.

Nun habe ich beide mit Wireguard verbunden. Site to site. Das lief auch sofort ohne Probleme was für mich heizt das alle Einstellungen Firewall so wie Key´s passen. Doch nach 4-5 Stunden später brach die Site to site Verbindung ab und alle Rechner + Firewall in der Cloud hatten kein Internet mehr. Nicht mal den DNS Server konnte ich von der Firewall Pingen. Bei mir zuhause läuft jedoch alles ohne Probleme. Sobald ich die Firewall in der Cloud neu starte läuft wieder alles wie erwünscht für 4-5 Stunden. Es reicht sogar über die shell der Firewall alle dienste einmal neu zu starte. Wenn ich Wireguard auf der Cloud deaktiviere bleiben auch alle clients in der Cloud für "immer" im Internet.

Kann mir irgendwer bitte helfen ich bin echt überfordert kann es evt. am  Keepalive interval in den Peers liegen? Diese hatte ich jedoch schon bei 20 und bei 60 eingestellt.

Vielen dank schon einmal für eure hilfe.
January 04, 2024, 01:29:50 AM #1
Es kommt darauf an, von wo nach wo die Verbindung aufgebaut wird. Wenn die Richtung zur dynamischen Seite hin aufgebaut wird, kann eine kurze Unterbrechung dafür sorgen, dass Wireguard selbst die Verbindung wieder aufbauen will, dies aber genau dann nicht kann, wenn sich die IP geändert hat, weil dabei keine erneute DNS-Auflösung passiert. Das erfolgt nur beim Start der Verbindung.

Es gibt einen Cron-Job für Wireguard, der prüft, ob die Verbindung noch aktiv ist und ggf. Wireguard neu startet.

Die andere Variante ist, die Verbindung immer nur in Richtung zur festen IP zu machen.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 04, 2024, 10:24:24 AM #2
Hallo,

super vielen dank schon eimal sehr guter gedanken ansatz der mir so noch nicht gekommen ist. Geplannt ist es jedoch das die verbindung richtung Dynamische seite bestehen bleibt da dies einfach mein Haupt netzt ist. Wo genau finde ich den diesen Cron-Job für Wireguard bzw. wie kann ich den Konfigurieren muss das wirklich über die Shell passieren und wenn ja kannst du mir ja helfen da ich leider was das angeht ein kompletter Neuling bin.

Vielen dank schon einmal  :)
January 04, 2024, 10:29:03 AM #3 Last Edit: January 04, 2024, 10:51:56 AM by Patrick M. Hausen
Quote from: Chase295 on January 04, 2024, 10:24:24 AM
Wo genau finde ich den diesen Cron-Job für Wireguard bzw. wie kann ich den Konfigurieren muss das wirklich über die Shell passieren und wenn ja kannst du mir ja helfen da ich leider was das angeht ein kompletter Neuling bin.
Musst du nicht und sollst du bitte auch nicht. Du sollst bei OPNsense nie auf der Kommandozeile an irgendwas rumfummeln, da das oft nach einem Reboot und/oder einem Update wieder weg ist.

UI: System > Settings > Cron - "Renew DNS for WireGuard on stale connections"
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 04, 2024, 10:42:58 AM #4
Ok vielen dank. Also passt das so wie im Foto oder muss ich in den Feldern Minute, Stunden, Tag des Monats, Parameter, etc. noch was eintragen?
January 04, 2024, 10:52:09 AM #5
Wo Foto?  ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 04, 2024, 11:12:54 AM #6
https://1drv.ms/i/s!AunzerCM5NiWg5x-nxqgYRhhplBtUg?e=alqylS

Tut mir leid anscheind schaffe ich es nicht mal ein Foto hier zu teilen xD. Anbei ein Link wo ich es auf Onedrive geteilt habe. Hoffe das ist auch ok.

:)
January 04, 2024, 11:16:56 AM #7 Last Edit: January 04, 2024, 12:35:16 PM by Patrick M. Hausen
Sorry, was auch immer das ist, da klicke ich nicht drauf. Unten unter dem Textfeld gibt es "Attachments and other options" - da kannst du Dateien hochladen ...







hier
\/\/\/\/\/\/\/
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 04, 2024, 11:22:56 AM #8
Ach super vielen dank. Der Link ist zu 100% ein direkter Link von Onedrive. Aber natürlich verstehe ich dich und komisch aussehen tut er wirklich  ;D
January 04, 2024, 11:40:25 AM #9
Wenn Du alle N Minuten checken lassen willst, kannst Du in Minuten "*/N" eintragen und in alle anderen Zeitfelder "*" (der Hilfetext ist da nicht ganz vollständig).
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 04, 2024, 12:37:09 PM #10
@Chase295 Da steht doch in allen Feldern was drin. So wie es im Moment vorbelegt ist, bedeutet es, einmal pro Tag um 00:00.

Ich würde da in jedes Feld ein * machen - es schadet ja nicht, wenn die Kiste jede Minute guckt, ob es eine "stale connection" gibt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 04, 2024, 04:08:00 PM #11
Also ich habe jetzt die einstellungen wie unten zu sehen sind eingerichtet. Sogar auf beiden Firewalls und beide anschließend neugestartet. Jedoch kommt der Fehler immer noch zu stande.  :(
Print
Go Up Pages1
User actions