Internet zugriff über Wireguard VPN

[lennart]

Hi,

ich habe zu Hause eine OPNsense mit zwei Gateways zum Internet für Redundanz eingerichtet (IPv6 deaktiviert, WAN Group erstellt, Traffic mit Ziel von außerhalb von RFC1918 über die Gateway Group geleitet). Um immer nur eine IPv4-Adresse bzw. einen IPv6-Netzbereich zu haben, habe ich zusätzlich eine Hetzner Cloud-Maschine mit OPNsense installiert. Beide sind über WireGuard verbunden. Der IPv6-Upstream funktioniert problemlos, da ich einfach ein Gateway und eine Route für :: über das Gateway einrichten konnte.

Für IPv4 funktioniert das jedoch nicht so einfach, da die OPNsense selbst IPv4 benötigt, um zum VPN-Server zu gelangen, und ich auch nicht den gesamten IPv4-Traffic über WireGuard schicken möchte. Mein Ziel ist es, den IPv4-Traffic von bestimmten lokalen Netzwerken über den VPN zu leiten.

Ich habe ein Upstream-Gateway erstellt, das auf die WireGuard-IP des Hetzner-Servers zeigt, und in den Firewall-Regeln die LAN-Regel fürs IPv4-Upstream so geändert, dass sie auf das erstellte IPv4-WireGuard-Gateway verweist. Ich vermute, dass ich jetzt eine Outbound-NAT-Regel benötige. Outbound-NAT steht bei mir bereits auf Hybrid (OPNsense bei mir zu Hause). Was müsste in diese Regel rein und habe ich etwas vergessen? Die Firewall-Regel auf der Hetzner-OPNsense ist für das WireGuard-Interface auf Any-Any gesetzt und ich habe den Upstream mit einem PC getestet (Direktverbindung). Das Gateway-Monitoring funktioniert jedoch nicht für öffentliche IPs, für die Gateway-Adresse (OPNsense WireGuard LAN-Adresse) schon, also WireGuard funktioniert.

Der Upstream über die Hetzner-IP notwendig für z.B. Autorisation über IP (z.B. Mailserver) und geringere Ausfallzeiten, die beim Neuaufbau der Routen entstehen (ohne Upstream via Hetzner dauert es bei mir bis zu 2 Minuten, mit ca. 6 Sekunden).

Danke für die Hilfe!