Wireguard Site2Site-Stabilität + Roadwarrior Setup

Started by Layer8, June 22, 2021, 10:43:37 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 26, 2021, 09:18:12 AM #15
Ich hab noch keine Anleitung zu einem Road-Warrior-Setup mit Wireguard und opnsense gesehen, in dem ein Interface assigned werden musste.

Das Ding ist aber auch, dass diese ganzen Anleitungen mit Wireguard-Versionen um 1.0 gemacht wurden und somit vielleicht schon nicht mehr funktionieren.

Nutzt denn irgend jemand Wireguard im Road-Warriors-Setup mit aktuellen Versionen und kann berichten, dass es geht?

Ich hab hier auch noch eine Anleitung gefunden, die sogar noch ein Outbound-NAT einrichtet: 

https://homenetworkguy.com/how-to/configure-wireguard-opnsense/
June 26, 2021, 09:21:57 AM #16
Das ist die Anleitung die ich genommen habe und benutze eben Internet-Zugriff, also route alles über die Sense.
Wobei aktuell, funktioniert mein WG Setup nicht und ich weiß nicht warum.
June 26, 2021, 10:15:19 AM #17 Last Edit: June 26, 2021, 10:28:11 AM by Layer8
Ich hab mein Problem gelöst. Folgende zwei Einstellungen hab ich noch vorgenommen:


1. Ich musste wg0 als Interface assignen und das Interface aktivieren. Die Vergabe einer IP war nicht notwendig, enablen hat gereicht.
-> Das ist beim Site2Site-Setup nicht erforderlich, aber scheinbar beim Roardwarrior-Setup. Steht aber blöderweise auch nicht in der Thomas Krenn-Anleitung.


2. Außerdem musste ich unter VPN -> Wireguard -> Local unter dem entsprechenden Servereintrag die Tunneladresse von a.b.c.d/32 auf a.b.c.d/24 ändern.
-> Bei Site2Site-Setup scheint /32 auszureichen, weil wohl jede Seite einen Tunnel zur anderen Seite aufbaut. Tatsächlich wird beim Road-Warrior-Setup das Netz nicht nur auf eine Adresse begrenzt, sondern man muss den gewünschten Netzbereich angeben.


Anmerkungen:

Es gibt unter Firewall -> Rules nun zwei Interfaces. Eines namens "Wireguard", was ja per default immer da ist. Außerdem noch das Interface, welches ich manuell assigned und aktiviert habe.
Eine Firewallregel (allos IPv4 * * * * * *) habe ich aktuell nur für das "Wireguard"-default Interface angelegt. Für das selbst angelegte Interface hab ich keine Regel hinterlegt und ich komme trotzdem vom Android-Device ins Internet.

Frage zu Anmerkung 1: Fungiert der "Wireguard"-default Eintrag unter Firewall -> Rules hier als globales Regelset für alle Wireguard-Instanzen? Ähnlich wie Floating für alle, nur dass "Wireguard" einfach nur Wireguard-Instanzen/Traffic übergeordnet ist? Oder was hat es mit diesem Interface auf sich?



Noch ne Anmerkung:

Es ist nicht notwendig, auf dem Android-Device im Interface einen DNS-Server, einen Eingangsport oder eine MTU zu definieren.

Der Wireguard-Client macht das automatisch (zumindest auf Android). Sobald ich meine OPNsense-IP als DNS-Server hinterlegt habe, konnte ich keine Namen auf dem Android Device mehr auflösen. Einen öffentlichen DNS-Server konnte ich über Unbound nicht testen, weil:

Ich habe auf meinem WAN-Interface allen ausgehenden Traffic mit Zielport 53 geblockt. Damit verhindere ich, dass irgend eine unverschlüsselte DNS-Anfrage über meine Internetverbindung ins Internet geht. Ich nutze dafür DNS over TLS, somit ist sichergestellt, dass meine DNS-Anfragen stets verschlüsselt sind. Umgesetzt habe ich das über Unbound DNS.


Und die letzte Anmerkung:

Es ist bei mir nicht notwendig gewesen, Outbound-Nat zu konfigurieren, so wie es in der oben verlinkten englischen Anleitung von homenetworkguy.com beschrieben steht. Ich habe zwar Outbound-NAT im hybrid-Modus aktiviert, aber das nur um auf das Webinterface meiner DSL-Modems zu kommen. Ich hab keine extra Regel für irgend ein Wireguard-Interface oder Netz erstellt.

Merkwürdigerweise wird in der Roadwarrior-Anleitung in den OPNsense Dokus auch von Outbound-Nat gesprochen: https://docs.opnsense.org/manual/how-tos/wireguard-client.html


Wieso funktioniert das bei mir dann ohne Outbound NAT ? Leider wird da nicht erklärt, wieso man Outbound-NAT konfigurieren soll.

June 26, 2021, 10:16:09 AM #18
Kosta: Was geht an deinem Wireguard-Setup denn nicht?
June 26, 2021, 12:04:33 PM #19
Funkt mittlerweile, hab's heute gerichtet. Waren paar Fehler drin... DNS unter anderem auch, aber nachdem ich so verstanden habe, dass man das Interface nicht mehr benötigt, habe ich es entfernt, und dann ziemlich alles zusammengehaut.
Nun wieder erstellt, Rules drin, NAT, alle WG Einstellungen geprüft, Firewall Reboot und jetzt geht alles wieder wie  gewohnt.

Eine Sache nervt mich allerdings:
Eine Seite (derstandard.at) will über VPN nicht aufgehen.
Sensei ist es nicht, IPS/IDS auch nicht, Firewall blockt auch nix. Geht bis zur Hälfte und das war's.
Ist aber eine der Zeitungen die ich oft lese...
June 26, 2021, 05:38:01 PM #20
Ja, DNS schreibt die resolv.conf um, das macht nur Ärger
June 26, 2021, 11:51:37 PM #21
QuoteWieso funktioniert das bei mir dann ohne Outbound NAT ? Leider wird da nicht erklärt, wieso man Outbound-NAT konfigurieren soll.
Was hast du in deiner App unter Allowed IP (bzw zulässige IPs) stehen?
Print
Go Up Pages 1 2
User actions