Kein Internetzugriff wenn Wireguard aktiviert

Started by mbuerkle, May 15, 2023, 05:00:51 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 15, 2023, 05:00:51 PM
Hallo Zusammen,
am Wochenende habe ich auf einem PC Engines APU.1D4 OpnSense installiert.

  • OPNsense 23.1.7_3-amd64
  • FreeBSD 13.1-RELEASE-p7
  • OpenSSL 1.1.1t 7 Feb 2023

An eth0 hängt ein Speedport Smart 4 im Modem-Modus, über den die Internetverbindung über PPPoE aufgebaut wird. Internetanbieter ist die Telekom. Die OpnSense ist per dynamischem DNS über eine Domain erreichbar.
Hinter der OpnSense gibt es mehrere VLANs.
Für den Fernzugriff will ich Wireguard verwenden. Das entsprechende Plugin habe ich installiert, Server und die Peers eingerichtet.

Nun zum Problem:
Sobald ich das Wireguard-Plugin aktiviere funktioniert der Internetzugriff vom LAN/von den VLANs nicht mehr. Das geht soweit, dass noch nicht einmal ein Ping (z.B. auf 1.1.1.1 oder 8.8.8.8 ) von der OpnSense selbst funktioniert. Der Wireguard-Verbindungsaufbau, z.B. von einem Smartphone, funktioniert aber weiterhin.
Erst wenn ich in der Server-Konfiguration den Haken bei "Deaktiviere Routen" setze, funktioniert der Internetzugriff vom LAN/von den VLANs wieder. Allerdings scheinen dann die Routen für Wireguard zu fehlen und die Wireguard-Peers erreichen (auch mit entsprechenden FW-Regeln) die Dienste im LAN/in den VLANs nicht.

Natürlich könnte ich den Wireguard-Server auch auf einer VM hinter der OpnSense betreiben, lieber wäre es mir aber auf der OpnSense.

Da ich mich mit der Thematik noch nicht wirklich auskenne, weiß ich aktuell nicht, wie ich das Thema angehen kann.
Kann mir hierfür jemand Tipps geben?

Vielen Dank
mbuerkle
May 16, 2023, 10:43:31 AM #1
Mach doch mal Screenshots von deiner config


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
May 17, 2023, 07:27:38 AM #2
Hallo micneu,
hier mal ein paar Screenshots.
Weitere Screenshots kann ich natürlich liefern. Was ist noch interessant?

Danke & Gruß
mbuerkle
May 30, 2023, 07:34:59 PM #3 Last Edit: May 30, 2023, 07:44:02 PM by Reiner030
Es fehlt der wichtigste Konfigurationsteil des Endpunktes EDIT: also der Client Config im speziellen ;-)

Ich rate mal, dass der Endpunkt als AllowedIPs die 0.0.0.0/0 erhalten hat?
Dann routed er ALLES durch den Wireguard Tunnel, also auch die direkte öffentliche Verbindung zum WireGuard Endpunkt...
Print
Go Up Pages1
User actions