WireGuard mit zwei Instanzen auf einem Gerät?

Started by stoe, December 20, 2019, 04:06:20 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 20, 2019, 04:06:20 PM
Liebe Experten

Nachdem ich auch im Netz nichts Hilfreiches gefunden habe, erlaube ich mir eine Anfrage hier:

Ich betreibe zuhause eine OPNsense Box als router (box1); ich habe darauf und auf zwei mobilen Geräten WireGuard installiert, um die beiden road warrior über den Tunnel als default route ins ownlan und ins Internet zu bringen. Das funktioniert wie geplant.

Nun möchte ich das eine mobile Gerät, ein Laptop mit W10, alternativ auch als road warrior zu einer anderen OPNsense Box (box2) verbinden können und nach dorthin einen split tunnel aufbauen. Das Zielbild sieht aus wie folgt:



Die beiden Tunnel würden nie gleichzeitig bestehen.

Auf der box2 ist WireGuard analog zu box1 konfiguriert, einfach mit einer anderen Netzwerkadresse und eigenen Schlüsseln für den Tunnel. Auch der neue WireGuard-Tunnel auf dem Laptop ist analog zum bestehenden konfiguriert; ich habe dort also zwei Instanzen mit je einem peer. Schlüssel und IP-Adressen sind pro Tunnel jeweils spezifisch konfiguriert.

Das funktioniert leider nicht, die Verbindung wird angeblich aufgebaut, aber es ist kein Kontakt zu hosts im remotelan möglich. Die Verbindung zur box1 funktioniert dagegen wie immer.
Es gibt nun verschiedene mögliche Ursachen, da die box2 hinter einem Providerrouter sitzt, der gateway und DHCP-Server fürs WAN der box2 ist (aber nicht fürs remotelan, das ist die box2). NAT-Probleme gab es bisher dadurch nicht, ein alter IPSec Tunnel hatte seinerzeit so funktioniert. Der Providerrouter hat auch keine aktive Firewall und forwarded seinen WAN-port 51820 an denselben port der WAN-Schnittstelle der box2 weiter. Dennoch sehe ich im Firewall-Protokoll der box2 keinen Verkehr an der WAN-Schnittstelle. Ich nehme deshalb an, dass die WireGuard-Konfiguration auf dem Laptop nicht richtig ist.

-> Sind zwei WireGuard-Instanzen auf einem Gerät ein Problem? Müsste ich dort stattdessen den Tunnel zur box2 als peer der ersten Instanz erfassen und auf der box2 die Adresse der Wireguard-Instanz ins gleiche Netz wie die Instanz auf der box1 legen, damit auf dem Laptop nur eine Instanz nötig ist, zu welcher dafür dann zwei peers gehören?

Ich danke für jeden input; bei Bedarf kann ich die Tunnel-Konfigurationen des Laptops nachreichen.

Beste Grüsse
stoe

Print
Go Up Pages1
User actions