Wireguard Client Verbindung ohne internet Zugrif

[Borstel02]

Hallo,
ich bin neu was das Thema opnsense betrift.
ich habe folgendes Problem und benötige eure Hilfe.
Die Fakten:
Der Tunnel steht und ich kann vom Handy per LTE aus der Ferne auf opnsense und auf alle Geräte und Dienste im LAN zugreifen.
Internetzugriff funktioniert nicht! ich kann keine Website öffnen.
Entferne ich jetzt in der Wireguard App auf dem Handy den Eintrag für den DNS-Server funktioniert Komischer weise sowohl der Zugriff aufs LAN als auch der Zugriff auf die Webseiten im Internet.
Bei mir ist Unbound und Adguard auf der opnsense.
kann mir da evtl jemand Unterstützung geben bei der Fehlersuche?
Vielen Dank im Voraus

[Monviech (Cedrik)]

Wahrscheinlich hast du kein Outbound NAT eingerichtet.

Stelle es auf Hybrid Mode in der Opnsense und mache eine neue Regel:

Firewall:NAT:Outbound

Interface: WAN
Source address: Dein Wireguard Netz (z.B. 10.4.4.0/24)
Destination address: Any
Translation/target: WAN address

https://docs.opnsense.org/manual/how-tos/wireguard-client.html

[Borstel02]

Leider lag es nicht daran.

[Patrick M. Hausen]

Hast du auf dem Wireguard-Interface Firewall-Regeln? Wie sehen die aus?

[Borstel02]

Ich habe sowohl auf der Wireguard Gruppe als auch auf dem Wireguard Tunnel any any Regeln erstellt.
muss ich in Punkto DNS was spezelles beachten bzw einrichten?
Der Tunnel funktioniert ja grundsätzlich wenn ich im Client den DNS Servereintrag lösche.

[Patrick M. Hausen]

Der DNS-Server-Eintrag verweist auf eine IP-Adresse deiner OPNsense? Lauscht der DNS-Server auch auf dem Interface? Hat der DNS-Server evtl. noch eine ACL?

Wenn any/any und wenn Internet generell funktioniert, liegt dein Problem wahrscheinlich in der Kommunikation zw. DNS-Server und Client.

Beliebtes Spiel hier im Forum ist, dass Anwender z.B. beim Unbound nur bestimmte Interfaces aktivieren wollen. "Wegen Sicherheit". Bei Interfaces, die kommen und gehen, wie z.B. so eine WireGuard-Instanz kann das aber dazu führen, dass der auf dem Interface gar nicht erreichbar ist. Interfaces, die beim Start nicht da sind, werden nicht bedient. Interfaces, die "down" gehen, und dann wieder "up" kommen, werden danach auch nicht mehr bedient.

Das Beste ist tatsächlich, hier "All (recommended)" drin zu lassen, was dann im Socket API nicht dazu führt, dass alle Schnittstellen einzeln bedient werden sondern stattdessen einfach 0.0.0.0 auch bekannt als INADDR_ANY.

Das überlebt beliebige Wechsel der tatsächlichen Interface-Konfiguration und deshalb steht da auch "recommended".

Die Firewall sorgt schon dafür, dass niemand auf WAN an deinem Unbound rumspielt ...

[Borstel02]

Also als DNS hab ich die IP Adresse der opnsense eingetragen

[Borstel02]

[Patrick M. Hausen]

Du musst die IP-Adresse der OPNsense innerhalb des WireGuard-Tunnels eintragen und irgendein Nameserver muss da auf Port 53 hören, denn nichts anderes verwendet der Client.

Kann man auch per NAT > Port Forwarding machen ...

[Borstel02]

wo müsste ich jetzt was eintragen?
Sollte nicht opnsense Nameserver sein?

[Patrick M. Hausen]

Ja, sollte sie. Welche Adresse hat sie in dem WireGuard Tunnel? Und weshalb ist der Unbound auf 5353? Was ist auf 53?

[Borstel02]

Hallo auf 53 ist AdGuardHome