OPNsense vergisst WireGuard routen

Started by murmelbahn, March 03, 2021, 12:34:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 03, 2021, 12:34:01 PM
Hallo zusammen,

ich habe hier ein wirklich merkwürdiges Problem. Ich habe auf meiner OPNsense zwei WireGuard Instanzen laufen. Die eine benutze ich von unterwegs mit diversen Geräten. Funktioniert 1a.

Die zweite Instanz bindet einen VPS als Client an. Jetzt kommt das merkwürdige:
Der VPS kann jederzeit beliebige Geräte im Netzwerk erreichen. Umgekehrt funktioniert es aber nur manchmal. Es kann sogar sein, dass ein Client aus dem internen Netz den VPS erreichen kann, ein anderer aber nicht. Im tcpdump auf dem VPS sehe ich auch nichts, wenn er nicht erreicht werden kann. Mir scheint das es ein Problem mit den routen gibt. Wenn ich ein traceroute von einem Client mache der den VPS erreicht wird im ersten Hop die Gateway Adresse der OPNsense angezeigt und im nächsten dann der VPS. Wenn ich das gleiche von einem Client mache der den VPS nicht erreicht wird auch als erster Hop die OPNsense angezeigt und danach läuft es sich tot oder er geht über ein falsches Gateway weiter.

Unter System -> Routes -> Status sehe ich auch eine Route zum Client. Ich verstehe nur nicht warum die anscheinend manchmal nicht genutzt wird.

Ich habe für die WireGuard instanz weder interface noch gateway angelegt. Müsste ich an dieser Stelle etwas tun? Wenn ja wie muss die konfiguration dafür aussehen?

Kann mir jemand einen Tipp geben wo ich weiter forschen soll?
March 03, 2021, 12:45:43 PM #1
Meine Empfehlung für einen produktiven Einsatz lieber openvpn nutzen. Für mich persönlich ist WireGuard im Firmen Einsatz noch zu riskant da man nicht weiß ob doch noch irgendwelche kritischen bugs sind


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 03, 2021, 12:50:13 PM #2
Hi,

das war auch mein Notfallplan. Ich habe so 20 externe Devices die per WireGuard angebunden sind und da läuft alles toll, deshalb wollte ich auch den VPS über WG anbinden. Ich verstehe das Problem halt nicht.
March 03, 2021, 02:32:47 PM #3
Du musst mit tcpdump auf der Console die Pakete verfolgen.
Also bei einem Ping:

Erste Instanz:
tcpdump -n -i wg0 icmp

Zweite Instanz:
tcpdump -n -i wg0 icmp

Im LAN:
tcpdump -n -i XXX icmp

Dann schaust du wo die Pakete nicht rausgehen.
March 03, 2021, 02:37:33 PM #4
Hi mimugmail,

das bestätigt meinen Verdacht, die OPNsense wirft die Pakete nicht über das WG Interface. Als wenn Sie vergisst, dass Pakete aus dem IP Kreis über das Interface geroutet werden sollen.
March 03, 2021, 06:17:07 PM #5
hatte ich ganz vergessen, bitte einen ordentlichen grafischen netzwerkplan
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 04, 2021, 03:48:39 PM #6
Jo, da wären jetzt natürlich die Paketdumps interessant, wo geht wann was rein und raus und hast du irgendein PBR in den Firewallrules mit speziellen Gateways
Print
Go Up Pages1
User actions