[solved] OPNSense kann nicht selbst über WireGuard kommunizieren?

[AlfRomeo80]

Hallo,

also erstmal mein Problem schnell zusammen gefasst:
Meine Clients im Heimnetz können eine VM auf dem Hetzner-Server über die OPNSense per WireGuard erreichen, die OPNSense selber aber nicht!
Häää?

Mein Aufbau:

Code: [Select]

   .--------+-------------------------------------------------------------------------------.
   |        :                                                        .-----------------.    |
   |  .-----+------.   LAN: 10.11.33.1/24  <---------------------->  |  10.11.33.2/24  |    |
   |  |  OPNsense  |                                                 |   AdGuard DNS   |    |
   |  '-----+------'   WAN: DHCP (Hetzner Netzwerk)                  '-----------------'    |
   |        :                                                                               |
   '--------+-------------------------------------- Hetzner Proxmox ------------------------'
            | <-> 10.11.11.1/24 WireGuard <--+
                                             |
         Internet                            |
                                             |
            | <-> 10.11.11.2/24 WireGuard <--+
   .--------+-------------------------------------- Mini Proxmox ----.
   |  .-----+------.   WAN: PPPoE                                     |
   |  |  OPNsense  |                                                  |
   |  '-----+------'   LAN: 10.22.33.1/24                             |
   '--------+---------------------------------------------------------'
            |
        LAN | 10.22.33.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Client 10.22.33.22)



Nun die ausführliche Erklärung:

Auf dem Hetzner Server läuft AdGuard in einem Proxmox-Container. Ich kann diese VM von meinen Clients im Heimnetz anpingen und auch den AdGuard als DNS nutzen. Auch der Ping in die andere Richtung läuft ohne Probleme. Alles wird in den OPNSenses' über die WireGuard Verbindung geroutet.
Ich habe in beiden Firewalls jeweils ein Alias mit den IP-Bereichen meiner Netzwerke angelegt und dieses "Trustet_Networks"-Alias auf den WireGuard Interfaces für "IN" alle Protokolle freigegeben.
Also jegliche Kommunikations zwischen Clients zu Hause und den Clients/VMs auf dem Server läuft bidirektional.

Jetzt wollte ich aber über DHCP zu Hause von der OPNSense nicht den AdGuard als DNS (10.11.33.2) sondern die OPNSense selber (10.22.33.1) verteilen lassen. Denn dann kann ich in der OPNSense DNS-Eintrage für meine lokalen Dienste eintragen und auf dem AdGuard die DNS-Entries für die öffentlichen Dienste.
Der Unbound-DNS der lokalen OPNSense soll dann zum AdGuard auf dem Hetzner Server forwarden.

Dabei ist mir dann aufgefallen - weil danach die DNS-Auflösung nciht mehr funktionierte -, dass die Clients zwar die 10.11.33.2 anpingen können, die Schell der OPNSense aber nicht.
Auch kann die lokale OPNSense (10.22.33.1) nicht die Hetzner OPNSense (10.11.33.1) anpingen. Die CLients in den jeweiligen Netzen hinter der OPNSense jedoch schon.

Kann OPNSense nicht selbst über die WireGuard Verbindung sprechen?
Oder muss ich noch andere Regeln/Routen festlegen?

Wenn ich so einen Ping ins leere laufen lasse - es passiert übrigens gar nichts, also weder "no route to..." noch "time out" -, sehe ich auch klein Eintrag im Live Logger der Firewalls.

[Patrick M. Hausen]

Hast du das Tunnel-Netzwerk mit in den AllowedIPs?

[Bob.Dig]

Warum will man sein lokales DNS in die Cloud auslagern, weil eine mögliche Fehlerquelle mehr...

[AlfRomeo80]

Hast du das Tunbel-Netwerk mit in den AllowedIPs?

Ja!
Bei beiden Firewalls gilt für die WireGuard Interfaces:
IN - Protocol: any - Sources: 10.11.11.0/24, 10.11.33.0/24, 10.22.33.0/24 - Port: any - Destination: any - Port: any

Warum will man sein lokales DNS in die Cloud auslagern, weil eine mögliche Fehlerquelle mehr...

Vielleicht ist das alles von Konzept her ne blöde Idee, mag sein, keine Ahnung. Aber es geht hier ja nicht darum, ob es sinnvoll ist. Genau das wollte ich ja für mich herrausfinden. Ich frag mich halt nur, warum es nicht funktioniert.

Aber zur Erläuterung:
Ich möchte einen lokalen DNS haben (OPNSense Unbound DNS), der die Kommunikation meiner lokalen Geräte regelt. Wenn die Kommunikation nach draußen gehen soll, dann fragt der auf dem Server bei AdGuard an. Dort kann ich dann an einer Stelle meine Filterregel administrieren und diese gelten dann für mich zu Hause und für mein Hetzner Netz.
Hätte ich den AdGuard bei mir lokal, dann müsste ich hier nochmal irgendwo ein Gerät laufen haben. Außerdem müsste dann der Hetzner Server, um öffentlich zu sprechen, immer erstmal über meine DSL Leitung zu mir und zurück "funken".

[Patrick M. Hausen]

Nicht die Firewall-Regeln, die AllowedIPs im WireGuard Peer.

[AlfRomeo80]

Sorry, hab das falsch verstanden gehabt.

Also im Heimnetz "Mini Proxmox" ist bei Allowed IP 10.11.0.0/16 eingetragen.

Auf der Hetzner OPNSense sind Allowed IPs 10.22.0.0/16.

Muss ich eventuell auf dem Server auch die 10.11.11.0/24 zulassen, um die Kommunikation zu mir nach Hause zu erlauben? Dafür war ja die 10.22.0.0/16 gedacht.
Oder anders... Mit welcher IP meldet sich der Unbound DNS denn beim AdGuard?

[Patrick M. Hausen]

Mit der auf dem Tunnel-Interface, deshalb muss die mit in die AllowedIPs 

[AlfRomeo80]

Natürlich direkt getestet...
Funktioniert jetzt so, wie ich es haben wollte.

Vielen Dank für die Hilfe.