Wireguard einrichten Probleme

[xenon2008]

Nabend zusammen,

ich bin ja noch relativ neu hier & befasse mich in der letzten Zeit häufiger/intensiver mit OPNSense, um von meiner Sophos UTM weg zu kommen...
Und da ich nun wieder meinen VPN Tunnel einrichten wollte, dachte ich mir, "probierste mal Wireguard aus".

Allerdings hab ich da zwei Punkte die ich nicht ganz verstehe.
Wenn ich in meiner OPNSense unter Wireguard => Peers einen neuen Peer hinzufüge, gibt e dort eine Zeile mit "Zugelassene IPs (Allowed IPs).
Den Hilfetext "List of networks allowed to pass trough the tunnel adapter. Use CIDR notation like 10.0.0.0/24." verstehe ich so, dass ich dort die Netzwerke angeben soll, welche ich durch den Tunnel erreichen möchte".
Bsp.: Tunneladresse ist 10.10.10.254/24 & das "lokale Netz" welches ich via VPN erreichen möchte ist 192.168.x.x/24
Also muss ich meiner Meinung nach in "Zugelassene IPs" 192.168.x.x/24 eintragen.

In der  OPNSense Doku steht aber  bei "allowed ips" wieder dieser Hilfetext:
Unique tunnel IP address (IPv4 and/or IPv6) of client - it should be a /32 or /128 (as applicable) within the subnet configured on the WireGuard Instance. For example, 10.10.10.2/32

Was ja für mich heißen würde, dass das die IP des Clients ist, welcher er an der "VPN Seite" bekommt.
Also bsp.: 10.10.10.4/32

was stimmt den nun?

Und ein "richtiges" Problem habe ich auch noch mit dem "PreShared Key"...
wenn ich auf der OPNsense unter den Peer Einstellungen bei "PreShared Key" einen solchen generieren lasse.... mir diesen kopiere, und anschließend am Windows Client unter [peer] => "PresharedKey = XXXXXX" eintrage... dann die Verbindung aufbaue, kommt aber kein Traffic zu Stande.
Besser gesagt werden wenige kb an Daten gesendet, aber bei Empfang bleibt immer eine 0 stehen.
Der Tunnel funktioniert deswegen auch nicht.

Entferne ich diesen "PresharedKey" aus der Config des Clients, und baue die Verbindung neu auf, klappt alles sofort, Daten werden gesendet & Empfangen usw...
Dazu brauch ich diesen "PresharedKey" nicht mal aus den jeweiligen Peer Settings in der OPNSense entfernen.

Anfangs dachte ich, dass es vllt am Windows Client liegt, aber der Fehler ist 1:1 der gleiche mit einem Android Handy.

Hat von euch jemand eine Idee was ich hier falsch machen könnte? oder warum das nicht funktioniert?

Weil wenn ich die Doku & die div. Tuts die man im Internet so findet richtig verstanden habe, bringt dieser "PresharedKey" ja eine zustzliche Sicherheit, welche ich natürlich gerne nutzen würde.

Danke & LG
xenon

[Bob.Dig]

was stimmt den nun?

Beides stimmt, weil beides da rein gehört. Das kannst Du in jeder beliebigen WireGuard Doku nachlesen.

Was den PSK betrifft, da müssten sich andere zu äußern.

[xenon2008]

Guten Morgen,

Also in den Dokus & Howto's die ich bisher gefunden habe, steht immer nur eines von beiden.
Woher will Wireguard denn dann wissen was für was ist?

LG
xenon

[chemlud]

PSK site-to-site funktioniert einwandfrei. Kein Windows/Android hier...

[Bob.Dig]

Kein Windows/Android hier...

Unter Android funktioniert es bei mir, wenig verwunderlich, auch einwandfrei. 

[xenon2008]

Also ich habs vorhin nochmals mit meinem Android Handy & einem Windows Client probiert...
Sobald ich den PSK eintrage, werden nur nur sehr wenige Daten gesendet & bei empfangen steht immer 0.

Nehm ich den PSK wieder raus, funktioniert es.

[Patrick M. Hausen]

Also du hast die public/private keys nach wie vor über Kreuz und trägst an beiden Enden den identischen PSK zusätzlich ein, ja?

[xenon2008]

Also du hast die public/private keys nach wie vor über Kreuz und trägst an beiden Enden den identischen PSK zusätzlich ein, ja?

ich hab den public Key vom Client (Android Handy / Windows PC) jeweils unter "peer" auf der OPNSense eingetragen, und den public key von der OPNSense bei beiden Clients unter "[peer]/Endpunkt" eingetragen.
Genau und den PSK hab ich pro Client generieren lassen, und 1x am Android Handy & 1x den entsprechenden PSK am Windows PC eingetragen.
Danach noch mal den Wireguard Dienst auf der OPNSense rebootet... und den Tunnel wieder aufgebaut.
Verbindung steht auch sehr schnell, aber es werden eben keine Daten empfangen.

[Patrick M. Hausen]

Und den PSK vom Android Handy hast du auch als PSK beim Peer auf der OPNsense hinterlegt und den vom Windows-PC beim anderen Peer?

[xenon2008]

Und den PSK vom Android Handy hast du auch als PSK beim Peer auf der OPNsense hinterlegt und den vom Windows-PC beim anderen Peer?

jup genau. das geile ist man sieht im logfile auch nicht wirklich nen fehler, oder ich bin zu doof den zu finden

[Patrick M. Hausen]

OK wenn du das genau so hast, wird es schwierig über einen Weg wie dieses Forum. Sollte funktionieren.

Zu einer bestehenden funktionierenden Verbindung kannst du einen PSK an beiden Enden hinzufügen. Fertig. Zumindest in der Theorie.

Andererseits ist die Frage, was das denn wirklich nützt? Ist die Entropie in den Standard-Einstellungen nicht hoch genug? Weshalb diese Aufteilung? Man kann ja auch den Key länger machen und fertig.

Ist ein wenig wie bei Behörden (Strafzettel online zahlen und sowas): something-something-ID, something-something-passwort, something-something-pin ... ey Leute, euch ist schon klar, dass ihr dieselbe Menge an "Entropie" auch in ein einzelnes Feld pappen könnt?

Das hat WireGuard ja schon richtig vorgemacht, es gibt den Key, und der ist sowohl Identifikation als auch Authentifizierung. Was der PSK da zusätzlich soll, verstehe ich tatsächlich nicht 100%.

Gruß
Patrick

[Bob.Dig]

Das hat WireGuard ja schon richtig vorgemacht, es gibt den Key, und der ist sowohl Identifikation als auch Authentifizierung. Was der PSK da zusätzlich soll, verstehe ich tatsächlich nicht 100%.

Meine mal gelesen zu haben, der soll gegen Quanten-Computer absichern, da wohl asymmetrische Verschlüsselung dafür anfällig wäre.

[chemlud]

Lesen blidet:

https://www.wireguard.com/protocol/

https://forum.openwrt.org/t/wireguard-pre-shared-key-purpose/129835

https://www.reddit.com/r/WireGuard/comments/vbxzai/wireguard_preshared_key_purpose/?rdt=36736

[Bob.Dig]

Ich wollte jetzt keinen eigenen Thread aufmachen, schade um den ganzen Space, daher hier rein.

Ich habe nun (fast) das erste mal eine OPNsense aufgesetzt und diese dann mittels WireGuard zu einer pfSense verbunden.
Und nix ging, Handshake war aber da. Erst als ich das Tunnelnetz von /31 auf /24 umgestellt habe, hat es endlich funktioniert. Ich kann mich daran erinnern, dass der WG-Client für Windows ebenfalls kein /31 mochte, dort tat es dann aber ein /32, hier half es nicht.

Ist da zu was bekannt bzgl. OPNsense, WireGuard und /31? Oder war es Pech.