0.0.0.0/0 leitet nicht ins WAN

[Syon]

Hallo,

ich bin von openWRT auf OPNsense umgestiegen.
Nun läuft auch alles soweit, doch trotz der erlaubten IPs im Peer auf 0.0.0.0/0 kann ich nur die Geräte im LAN erreichen. Seltsamerweise klappt nichtmal ein Ping.
Meine Config mal in groben Zügen:
FritzBox ---> OPNsense ----> LAN inkl. Pi-Hole als DNS

- route: Network Address -> 192.168.178.0/24 : Gateway -> LAN_IP der FritzBox (DHCP gepinnt)

- Firewall: Rules: Floating --> Interface wg0, WireGuard : any
- Firewall: Rules: WAN --> Interface -> WAN : direction -> in : Proto -> UDP : Dest -> WAN address -> from/to 51820
- Firewall: NAT: Outbound --> Hybrid
  Manual rules: Interface -> WAN : Source address -> wg0 address : Translation -> WAN address

- WireGuard Local Configuration: Name -> WireGuard : die erstellten Keys : Port 51820 : DNS -> Pi-Hole im LAN : Tunnel Address -> 10.0.10.1/32 : Peers -> ausgewählt
- WireGuard Endpoint: Name -> Name : Pup Key vom Peer : Allowed IPs -> 10.0.10.2/32

Auf dem Peer (Android)

- die Keys
- Addresses -> 10.0.10.2/32
- DNS -> Pi-Hole LAN
- Keys
- Allowed IPs -> 0.0.0.0/0
- Endpoint -> dyndns.bla.bla:51820
- Persistent keepalive 25

Ein zweiter Peer (openWRT Router)
habe ich exakt das gleiche Problem.


Die Peers haben den Pi-Hole als DNS eingetragen.
Alles andere klappte wunderbar. Also Portweiterleitungen, etc.
Ich vermute mal, dass ich noch eine Firewallregel erstellen muss... Doch keine, die ich bisweilen versuchte läuft.

[stumpjumper]

Kann denn die dyndns Adresse aufgelöst werden?

[Syon]

Von einem der Peers im VPN?
Nein. Es ist keine Adresse außerhalb des Netzwerks erreichbar.
Ich komme auf alle Geräte und Seiten innerhalb des Netzes. Obgleich ich diese nicht pingen kann.
Aber klar, ohne Tunnel ist die erreichbar. Der Tunnel baut ja auch auf.

[johnsmi]

Ist Outbound-NAT aktiviert?

https://wiki.opnsense.org/manual/how-tos/wireguard-client.html#step-2c-assignments-and-routing

After this we can go to Firewall ‣ NAT ‣ Outbound and add a rule. Check that rule generation is set to manual or hybrid. Add a rule and select your WAN as Interface. Source should be the Tunnel Network you use and Translation / target set to WAN address.

Now when you add 0.0.0.0/0 on your road warrior, outgoing packets are translated and reach the Internet via your VPN.

[Syon]

Ja, ich habe es sogar so versucht:

[johnsmi]

Steht ja sogar da. Wer lesen kann...

- Firewall: NAT: Outbound --> Hybrid
  Manual rules: Interface -> WAN : Source address -> wg0 address : Translation -> WAN address

- WireGuard Local Configuration: Name -> WireGuard : die erstellten Keys : Port 51820 : DNS -> Pi-Hole im LAN : Tunnel Address -> 10.0.10.1/32 : Peers -> ausgewählt

10.0.10.1/24
Dahin ausnahmsweise das ganze WireGuard-Netz für den Server.


Das Outbound-NAT habe ich bei mir deaktiviert. Funktioniert über das normale Gateway. Offenbar war das mal in einer vorigen Version notwendig?

[Syon]

Ich fress einen Besen.... 10.0.10.1/24 wars...
Danke schön!
Das verstehe ich aber nicht so ganz...

[johnsmi]

10.0.10.1/24 ist die Server-IP mit Maske für das Netzwerk.

10.0.10.2/32 ist eine einzelne Client-IP in Netzerk-Notation.

Der Client liegt im 10.0.10.2/24 Netz. Der Server schicht das in diesen Tunnel, was nur für die eine IP bestimmt ist.

[Syon]

Hmm ok... da muss ich nochmal was zu lesen.
Danke