[SOLVED] wireguard sit2site - kein handshake, kein eingehende Verbindung auf 51820

Started by grefabu, October 10, 2025, 04:34:43 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 10, 2025, 04:34:43 PM Last Edit: October 15, 2025, 10:27:38 AM by grefabu
Moin,

ich versuche zwischen zwei virtualisierten OPNsense eine Wireguard Verbindung zu erstellen:

envA
WAN 192.168.211.206

envB
WAN 192.168.211.159


Die Verbindung setze ich nach https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html auf.

Ich denke, das ich die Instanz und die Peers richtig konfiguriert habe.
Was ich momentan nicht feststellen kann ist, dass auf den FWs kein eingehender UDP Verkehr auf dem port 51820 entsteht. Ich habe die Freigaberegel im log, ein nmap von einem anderen Gerät wird auch geloggt.

Ich habe schon ganz verschiedene Setups versucht, mit zugewiesenen Interface als auch ohne.
Und diverse andere Sachen und Freigaben.

Die jeweiligen peers zeigen natürlich auf die WAN IP der Gegenseite, aber wie geloggt, scheint da kein Verkehr anzukommen?
Die VMs sind mit der aktuellsten 25.7.5 versehen.

Grüße

Gregor
October 10, 2025, 04:54:21 PM #1
Ist das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.
October 10, 2025, 05:11:59 PM #2
Und ggf. "Force gateway" ausschalten.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 13, 2025, 09:41:05 AM #3
Moin,

Quote from: viragomann on October 10, 2025, 04:54:21 PMIst das ein Test-Lab mit privaten WAN Subnetzen?
Dann musst du in den WAN Interface Einstellungen den Haken bei "Block private networks" entfernen.

Ja, für dieverse Tests betreibe ich das lokal, ich teste hier verschiedene Setups.
"Block private networks" ist ausgeschaltet.

Quote from: Patrick M. Hausen on October 10, 2025, 05:11:59 PMUnd ggf. "Force gateway" ausschalten.
Die Stelle Option finde ich nicht, ist die ebenfalls direkt am WAN Interface?
October 13, 2025, 09:58:33 AM #4
Firewall > Settings > Advanced > Disable force gateway
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 15, 2025, 10:30:05 AM #5
Nachdem ich für den Peer den Parameter keepalive gesetzt habe, einfach mal auf 3 Sekunden, wird der Tunnel aufgebaut.

Jetzt sehe ich im Firewall Live Log auch eingehenden Verkehr auf Port 51820,...

Warum ich den Parameter setzen muss erschließt sich mir noch nicht, in den Tutorials wurde das nicht gemacht.
October 15, 2025, 10:41:00 AM #6 Last Edit: October 15, 2025, 11:13:21 AM by Patrick M. Hausen
So lange kein System irgendwelchen Traffic durch den Tunnel schickt, baut WG da nichts auf. Das WG Protokoll ist stateless - es gibt im Grunde keine aktive Verbindung. Jedes Paket wird einzeln angeguckt:

- matcht das mit einer Policy?
- hab ich dafür einen Peer?
- hab ich dafür einen public Key?

Falls alles ja --> einpacken, verschlüsseln, zum Peer schicken.

Ob das ankommt, der Peer was damit anfangen kann, etc. wird alles nicht überprüft.

Keepalive erzwingt nur, dass Pakete geschickt werden.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 15, 2025, 01:37:49 PM #7
Mea culpa.

Und vielen Dank für die Richtigstellung.
Ich habe tatsächlich nur auf den Status geschaut, ohne einen Ping oder ähnliches Laufen zu lassen,...
Print
Go Up Pages1
User actions