OPNSENSE Wireguard Site2Site mit zwei WG Interfaces nicht möglich

[Phil069]

Hallo Opnsense Community,

ich habe ein Problem mit meinem Site2Site Konzept.

Darum frage ich hier mal die Experten :).

Danke schonmal im Voraus.


Also:

Es geht um zwei Wireguard Site2Site Instanzen mit Opnsense.

Die erste Instanz funktioniert perfekt. (Routing, Firewall, Peers)

Dafür kurz die Erläuterung.

In der Site A und Site B gibt es unterschiedliche Dienste, die über den Site2Site Tunnel bereitgestellt werden.
FTP, HTTPs, RDP,.......

Diese Traffic soll explizit über den passenden Wireguard Tunnel geroutet werden, damit Site A nicht zusätzlich belastet wird.

Aktuell verbinden sich Site B,C und D zur Site A und alles funktioniert perfekt.
Jetzt möchte ich eine weitere Wireguard Server Instanz bei Site B einrichten aber es gibt keinen Traffic.

WG0 Site A <-> B,C und D funktioniert
WG1 Site B <-> C und D funktioniert nicht

Hier mal die Aufstellung:

Mit dieser Konstellation funktioniert alles perfekt.
Site A kann auf alle Sites sich verbinden. Die anderen Sites auf A.
WG0
Site A: Private Netz:192.168.0.0/23  WG0 VPN A 10.0.0.1/24 Port:51824
Site B: Private Netz:192.168.2.0/23  WG0 VPN A 10.0.0.2/24 Port:51824
Site C: Private Netz:192.168.4.0/23  WG0 VPN A 10.0.0.3/24 Port:51824
Site D: Private Netz:192.168.6.0/23  WG0 VPN A 10.0.0.4/24 Port:51824


WG1:
Site B: Private Netz:192.168.2.0/23  WG1 VPN A 10.0.2.1/24 Port 51826
Site C: Private Netz:192.168.4.0/23  WG1 VPN A 10.0.2.2/24 Port 51826
Site D: Private Netz:192.168.6.0/23  WG1 VPN A 10.0.2.3/24 Port 51826

Das zweite WG1 Interface ist Online und die Konfig zeigt auch an, dass diese geladen wurde.
Die Schnittstelle WG1 zeigt aber keinerlei Traffic an.
Die Schnittstelle WG0 funktioniert perfekt.

Ich bekomme keine Anfragen auf dem Port 51826 und es wird keine Verbindung aufgebaut.
(erst garnicht angefragt - WG0 Anfragen sehe ich)


Habe ich bei dem Konzept etwas nicht beachtet oder falsch gemacht?
Kann Opnsense nur ein WG Interface gleichzeitig aktivieren?

WAN Ports natürlich freigegeben.
WG Schnittstelle aktiv.
Peerings, IPs und Key mehrfach neu angelegt und kontrolliert.
Im Internet finde ich nur Site2Site Beispiele, die sich mit einem zentralen Wireguard Server verbinden und dieser routet den Traffic.

(auf dem ersten Bild wird es gut dargestellt.  https://docs.opnsense.org/manual/vpnet.html)

Mit anderen VPNs funktioniert diese Variante.


Die WG1 Peers von anderen Geräten funktionieren. (keine Site2Site)
Die Routing-Einträge sind alle richtig gesetzt.

Die Anfragen vom WG1 sehe ich beim VPN Client auch.

Alle Firewalls laufen mit Opnsense 21.1.5 und Intel Nics.
Alles andere funktioniert auch.

[Phil069]

So Thema kann als gelöst markiert werden.

Ein Ping/Traceroute von der Firewall B zur Firewall C hat den Tunnel aktiviert.
Ganz komisches verhalten, weil der Wireguard Tunnel bis dahin nicht aktiv war.

Kann geschlossen werden.....