WireGuard VPN, kein Surfen

Started by kosta, February 19, 2021, 10:37:55 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 19, 2021, 10:37:55 AM
Hallo,

ich habe eine WireGuard Anbindung vom Handy zu der OPNsense. Ich kann auf die lokalen Ressourcen zu Hause zugreifen, zb. die NAS.
Aber, ich kann am Handy dann nicht mehr surfen.
Bestimmt brauche ich ne NAT Regel. Hab versucht, WG Interface Translation zu WAN Interface. Funkt nicht.
Was fehlt mir denn?

Danke
February 19, 2021, 10:46:10 AM #1
Na du musst das WireGuard Netz in die Outbound NAT Regel hinzufügen.

Outbound NAT -> auf dem WAN Interface, Source sind die lokalen Netze (eben dann inkl Wireguard) und los.
,,The S in IoT stands for Security!" :)
February 19, 2021, 01:17:14 PM #2
Danke. War leider nur ein Baustein von mehreren.
Falscher DNS am Client (hab gestern ja Pi-hole aufgesetzt)... Firewall-Rules gefehlt... aber zumindest aktuell funkt die Anzeige im Live Log tadellos, da konnte ich gut troubleshooten.

Hier aber eine Zusatzfrage:
Wenn ich ein Pass-Rule für Internet machen will, zB. Wireguard -> All -> Internet, gibt es was eleganteres als Invert RFC1918? Bin nur von der Sophos etwas verwöhnt "Internet" gehabt zu haben.
February 19, 2021, 01:41:58 PM #3
Ich nehme immer die Invert-Variante. Man gewöhnt sich dran :)
,,The S in IoT stands for Security!" :)
February 19, 2021, 01:45:11 PM #4 Last Edit: February 19, 2021, 01:51:05 PM by kosta
Na dann. Bin aktuell super-happy. Pi-hole geht, DNS routing überall richtig.
DNS leak test scheint auch zu bestehen: vom normalen rechner, kommt nur meine eigene IP, kein ISP oder öffentlich, und aus dem VPN-VLAN kommt nur was aus USA... ich schätze sind's PIA DNS (denn diese sind eingetragen).
Kill-Switch funkt auch, hab's mit NAT gemacht. VPN runter, Maschine offline.
Ich sag auch vielen Dank für die tolle Hilfe!

Ich gruble allerdings noch immer darüber wie ich den Unbound am Pi dazu bringe, die DNS abfragen an die Firmen Domains an eine IP adresse zu geben (Firmen DC). Mit stub zones funkt nicht... aber ich denke das ist nicht der Platz das zu fragen. Die Frage habe ich im Linux Forum gepostet.

Als nächstes dran sind noch das Verfeinern der Rules und Sensei... bin gespannt was das Ding kann.
February 20, 2021, 12:42:05 PM #5
Quote from: Gauss23 on February 19, 2021, 10:46:10 AM
Na du musst das WireGuard Netz in die Outbound NAT Regel hinzufügen.

Outbound NAT -> auf dem WAN Interface, Source sind die lokalen Netze (eben dann inkl Wireguard) und los.
stehe vor dem selben Problem...
wenn man bei Outbound NAT auf "Automatic outbound NAT rule generation" wird man das nicht schaffen... welche Option verwendest du hier? Manual? Hybird?
Danke!
February 20, 2021, 01:25:41 PM #6
Ich hab's gelöst. Wenn ich jetzt noch wüsste wie genau :D
Ich hab ne Kombo aus Wireguard am iPhone und Pi-hole zu Hause.
Jetzt funkt es.
Schau dir mal dieses Tutorial an:
https://homenetworkguy.com/how-to/configure-wireguard-opnsense/
Prüfe einfach alle Einstellungen, bei mir war DNS zB. am Handy verkehrt.
Er erklärt auch das Thema "doppelte Interfaces", was ich auch nicht gewusst habe.
Ich bin was NAT betrifft aktuell auf komplett manuell.
Auto/Hybrid hat nicht mehr "gereicht".
Was aber WG angeht, habe ich dort lediglich Intf:WAN -> SRC Wireguard net -> NATaddr: WAN address
Print
Go Up Pages1
User actions