Wireguard Site2Site

[emmitt]

Hej,

ich habe eine Verständnisfrage. Ich habe eine Wireguard-Verbindung zwischen 2 OPNsense-Standorten eingerichtet (Site2Site).
 
Aus Versehen habe ich 2 verschiedene Tunneladressen als Local definiert:
Standort1 = 10.5.22.1/24
Standort2 = 10.5.5.1/24

Trotzdem funktioniert alles wie gewünscht. Wie kann das sein? Ist es nicht mehr erforderlich gleiche Tunneladressen zu nutzen? Natürlich wurde wireguard auf beiden Rechnern neu gestartet...

[chemlud]

mal auf beiden seiten die adressen des interfaces hier posten, gerne als screenshot ;-)

[Patrick M. Hausen]

Die Adressen im Tunnel sind wurst, wenn mit denen nicht kommuniziert wird. Solange nur ein Netz am Standort 1 sich mit einem Netz am Standort 2 unterhält, kann man die Tunnel-Adressen auch komplett weglassen.

Problematisch wird das, wenn Du z.B. DNS-Queries, die von der OPNsense ausgehen, von einem Standort zum anderen schicken willst. Dann braucht die Seite, die den Query abschickt, eine funktionierende Adresse auf dem Tunnel-Interface. Und die andere Seite natürlich auch den Weg zurück, also eine passende Tunnel-Adresse.

Findet sowas nicht statt, ist es wie geschrieben wurst.

[chemlud]

...für alle kommunikation der sensen auf die "andere seite" braucht man die adressen schon und auch FW regeln. z.b. wenn eine sense status emails durch den tunnel schicken soll...

[emmitt]

Vielen Dank für Eure Antworten!

Problematisch wird das, wenn Du z.B. DNS-Queries, die von der OPNsense ausgehen, von einem Standort zum anderen schicken willst.

Aber was ist denn an DNS-Queries so besonders - sind doch am Ende auch UDP-Pakete oder bin ich auf dem falschen Dampfer?

Ein Interface habe ich übrigens nicht zugewiesen. Meines Erachtens ist das nicht verpflichtend...

[Patrick M. Hausen]

Aber was ist denn an DNS-Queries so besonders - sind doch am Ende auch UDP-Pakete oder bin ich auf dem falschen Dampfer?

Point-to-Point Interfaces brauchen im IP erst einmal grundsätzlich keine Adressen. Aaaber ...

Zwei Standorte, ja? LAN 1 und LAN 2 sind miteinander gekoppelt.

Gerät in LAN 1 fragt einen DNS-Server in LAN 2 - da braucht es keine Adressen auf dem Tunnel. Gilt auch für jeden anderen Traffic zwischen den beiden LANs.

Wenn aber die Firewall selbst einen DNS-Query "auf die andere Seite" schicken will, dann braucht sie dafür eine Source-Adresse. Die ist abhängig von dem Interface, auf das die Route zum entfernten Netzwerk zeigt. Sie benutzt also nicht ihre Adresse im LAN sondern ihre Adresse im WG-Tunnel. Wenn da keine ist, oder die "Quatsch" ist, dann funktioniert es nicht.

Deshalb hatte ich DNS als Beispiel gewählt, weil man oft auch bei Kopplung von einem kleinen Außen-Büro an einen Haupt-Standort mit z.B. den Windows-Domänencontrollern trotzdem die Firewall lokal als DNS-Server für die Clients verwendet. Die Domäne am Haupt-Standort kann man dann per "Domain Override" im Unbound der Firewall bekannt machen und die Server im entfernten LAN fragen.

Jetzt kommen die Queries nicht mehr von den Clients direkt sondern die Clients fragt die Firewall und die Firewall fragt den DNS-Server im entfernten LAN. Und dann braucht es Tunnel-Adressen.

Ein Interface habe ich übrigens nicht zugewiesen. Meines Erachtens ist das nicht verpflichtend...

Korrekt.

HTH,
Patrick

[emmitt]

Danke Patrick! Das klingt logisch...

Vielleicht richte ich die Site2Site Verbindung dann aber doch nochmal korrekt ein. 
Also auf der einen Site 10.5.5.1/24 und auf der anderen 10.5.5.2/24

Abschließend noch eine Frage: Wenn ich nun auf beiden Seiten auch Road Warrior nutzen möchte, erstelle ich mir da jeweils einen neuen Wireguard Server oder verwende ich denselben Tunnel?

[Patrick M. Hausen]

Du richtest in der Regel eine neue Instanz ein. Road-Warrior sind ein weiterer Fall, wo man Tunnel-Adressen möchte. Jeder der Nutzer muss ja mit irgendeiner Adresse mit deinen internen Netzen kommunizieren.

[emmitt]

Du richtest in der Regel eine neue Instanz ein. Road-Warrior sind ein weiterer Fall, wo man Tunnel-Adressen möchte. Jeder der Nutzer muss ja mit irgendeiner Adresse mit deinen internen Netzen kommunizieren.

Vielen Dank! Da habe ich heute ne Menge dazu gelernt.

[emmitt]

Vielleicht kann mir gelegentlich auch das noch jemand beantworten 

Ein RoadWarrior (10.5.5.22/32) verbindet sich mit Netz 1 (Tunnel 10.5.5.1/24). Dieses Netz ist per Site2Site mit Netz2 (Tunnel 10.5.5.2/24) verbunden.

Was muss ich tun, damit der RoadWarrior auch die Geräte von Netz2 sehen kann? Aktuell ist das nicht der Fall...

[Patrick M. Hausen]

Beim Road-Warrior auch Netz 2 in die "allowed networks", falls nicht sowieso "0.0.0.0/0" drin steht. Am Standort mit Netz 2 das Road-Warrior Netz "10.5.5.0/24" in die "allowed networks".

[emmitt]

Am Standort mit Netz 2 das Road-Warrior Netz "10.5.5.0/24" in die "allowed networks".

OMG... Das war es!
Jetzt lasse ich Dich/Euch aber wirklich in Ruhe. Nochmals DANKE