Problem mit LAN-Interface nach Aktivierung eines Wireguard-Tunnels auf OPNSense

Started by yjp2, May 10, 2023, 08:27:33 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 10, 2023, 08:27:33 PM Last Edit: May 10, 2023, 08:32:16 PM by yjp2
Hallo zusammen

ich wende mich an Euch, da ich auf meiner OPNSense-Installation auf ein Problem gestoßen bin:

Sobald ich einen Wireguard-Tunnel aktiviere, scheint das LAN-Interface nach einem Neustart der OPNSense nicht mehr ordnungsgemäß zu funktionieren. In diesem Zustand ist es nicht möglich, das LAN-Interface anzupingen. Die einzige Lösung, um das Interface wieder erreichbar zu machen, besteht darin, mich über die Konsole anzumelden und alle Dienste neu zu laden.

Jegliche Anregungen und Ideen sind willkommen.

OPNsense 23.1.7_3-amd64
FreeBSD 13.1-RELEASE-p7
OpenSSL 1.1.1t 7 Feb 2023


Vielen Dank im Voraus für die Unterstützung.

May 10, 2023, 08:34:57 PM #1
Du kannst die Tunnel-Adresse nicht aus demselben Netz nehmen wie dein LAN.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 11, 2023, 11:05:56 AM #2
Und je nach Tunnel und Setup: Im Routing Setup mal nachschauen, ob du da IPv4/v6 default GW auf automatic hast. Sehe ich immer wieder und dann wird ein VPN zu nem Anbieter aufgebaut um Traffic drüber zu schicken und prompt ist das plötzlich das default GW und verbiegt alle möglichen Zugriffe.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
May 12, 2023, 10:44:13 AM #3 Last Edit: May 12, 2023, 10:49:47 AM by yjp2
Hallo zusammen,

vielen Dank!
Quote from: pmhausen on May 10, 2023, 08:34:57 PM
Du kannst die Tunnel-Adresse nicht aus demselben Netz nehmen wie dein LAN.
Das war der Grund. Nun habe ich allerdings ein Verständnisproblem. Ich möchte für die OPN-Sense Seite die 10.10.0.0/24 als lokale Seite eintunneln. Was hat es mit dem Tunnel Interface auf sich? Muss ich dort ein Dummy-Netz eintragen?
Bei Ipsec definiere ich auf beiden Seiten lokale und remote Netze. Ist das bei Wireguard im OPNSense anders?

Freundliche Grüße

May 12, 2023, 11:02:37 AM #4
Das Tunnel-Netz ist das Netz mit den beiden Tunnel-Endpunkten innerhalb des Tunnels. Da fließen ja Pakete durch, da hat jedes Ende ein Interface, also braucht es da normalerweise auch IP-Addressen. Du kannst hier ein beliebiges freies Netz verwenden, das du nirgendwo anders benutzt.

Um ein Netz durch den Tunnel zu routen packst du das Netz von Standort A in die "allowed IPs" von Standort B und umgekehrt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 12, 2023, 11:12:53 AM #5
Verstanden, vielen Dank!
May 12, 2023, 11:22:20 AM #6
Eine Situation, die mich verwirrt, ist folgende: Die OPNSense maskiert den Traffic zur Gegenseite mit dem Dummy-Netz 10.10.12.1, obwohl die Anfrage tatsächlich aus dem Netz 10.10.0.0/24 stammt. In den meisten Fällen ist das kein Problem, aber wenn die Kommunikation zwischen Domain Controllern über Tunnel hinweg stattfindet, darf das Netz unter keinen Umständen maskiert werden. Wie kann ich der OPNSense beibringen, dass das Netz 10.10.0.0/24 in Richtung 192.168.0.0/24 (Tunnel zur Gegenseite) nicht hinter 10.10.12.1 maskiert werden soll?

Freundliche Grüße

May 12, 2023, 12:07:38 PM #7
Ich habe es gelöst, indem ich die Auto-Maskierungsregel herausgenommen habe.

Vielen Dank trotzdem!
Print
Go Up Pages1
User actions