[Solved] Hetzner Proxmox->OpenSense->Wireguard nur eine IP

[theblackraven]

Hallo,

ich versuche fast schon verzweifelt Wireguard in der OpnSense ans Laufen zu bekommen.
OpenSense wurde innerhalb von Proxmox als VM eingerichtet.
Ich habe bei Hetzner nur eine IP und deshalb habe ich folgende Regeln in Proxmox zu /etc/network/interfaces hinzugefügt:

Code: [Select]

auto lo
iface lo inet loopback

auto enp34s0
iface enp34s0 inet static
        address xxx.xxx.xxx.xxx/26
        gateway xxx.xxx.xxx.xxx
        post-up sysctl -w net.ipv4.ip_forward=1
        post-up iptables -t nat -A PREROUTING -i enp34s0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i enp34s0 -p udp -j DNAT --to 10.10.10.2

auto vmbr0
iface vmbr0 inet static
        address 10.10.10.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   iptables -t nat -A POSTROUTING -s '10.10.10.0/30' -o enp34s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/30' -o enp34s0 -j MASQUERADE
#OpnSense WAN - Proxmox LAN

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
#VM Net mit VLANS

auto vmbr2
iface vmbr2 inet manual
        ovs_type OVSBridge
#Service Bridge

OpenSense habe ich als Wan Interface ein vmbr0 Interface mit der IP 10.10.10.2 zugewiesen.
Das NAT scheint auch richtig zu funktionieren, da ich das OpnSense WebGui auch aus dem Internet erreichen kann.

Allerdings bekomme ich zu Wireguard (in OpnSense) einfach keine Verbindung zustande. Ich bin mir eigentlich sicher, alles richtig eingestellt zu haben. Betreibe die fast gleiche Kombination zu Hause, allerdings ohne das NATing auf Proxmox...

Wireguard soll auf dem Port 51820 (udp) hören. Wie kann ich herausfinden, ob das NATing (auf Proxmox) für udp richtig funktioniert und der Port 51820 direkt in die OPNSense weitergeleitet wird?

Ich habe folgende Firewall Regeln in OPNSense eingestellt:



WAN:

Code: [Select]

              Protocol     Source              Port    Destination       Port     Gateway    Schedule

Pass        IPv4 UPP          *                  *     WAN address       51820        *            *

WG1:

Code: [Select]

              Protocol     Source              Port    Destination       Port     Gateway    Schedule

Pass          IPv4*         WG1 net             *           *               *          *            *


Die Schlüssel etc. sollten soweit eigentlich auch passen. Mein Peer 10.1.0.12.2\32 ist auch meinem wg1 in der OpenSense zugeordnet.

Die TunnelAdress ist auf 10.10.10.0/24 eingestellt.

Hier noch meine Wireguard-Einstellung von meinem Client:

Code: [Select]

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.10.12.2/32

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 10.10.12.0/24
Endpoint = xxx.xxx.xxx.xxx:51820

Vielen Dank schon mal im Voraus für's helfen.

[theblackraven]

Oh man, es war wirklich alles richtig...
Die Verbindung wird erst aufgebaut, sobald ich überhaupt etwas im Netzwerkbereich 10.10.12.0 erreichen will...
Da muss man erst mal drauf kommen