Wireguard blockt gesamte Internetverbindung in der FW

Started by bread, June 26, 2024, 10:45:21 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 27, 2024, 03:17:15 PM #15
Quote from: bread on June 27, 2024, 03:05:22 PM
Jungs, ich verstehe nicht ganz. Ich sehe KEINE AllowedIPs oder Addresses beim Server (Edit Instance). Es gibt nur Tunnel Address, also die IP vom Server selbst, wie ichs verstehe.

Ich habe doch nun schon mehrfach geschrieben, dass das NUR CLIENTSEITIG (das bedeutet in der Konfig auf dem Client Gerät ) möglich ist.

Beim Clienz:
Addresses = die IP die dem Client zugewiesen wurde /32
Allowed IPs = Adressen die geroutet werden dürfen. /24 (vermutlich)

Steht oben aber auch schon ;)
i am not an expert... just trying to help...
June 27, 2024, 03:24:56 PM #16 Last Edit: June 27, 2024, 03:32:17 PM by lewald
Nun,

OPNsense
1. Instance ist dein WG Server mit Tunnelnetz und Port.
2. Peer ist sozusagen der "Benutzer". Das kann sein das der raus geht oder nur Eingang ist.
    Wenn der nur Eingang ist gehört dort unter Allowed IPs die Adresse (Transfernetz) die der Client benutzt.

Beispiel: Instance Tunnel Netz : 10.10.55.1/24 - Der Peer muss der Instance zugewiesen werden.
             Peer: Allowed IP: 10.10.55.10/32  <- Das wird die IP für den WG Client.

Client Config WG client Beispiel

[Interface]
PrivateKey = WN4I4wxxxxTrJVmchxxx9RLBHM9H0K+JCxxx=
Address = 10.10.55.10/32

[Peer]
PublicKey = UPeYenaHUyQLbxxxExj30DrBBogjERxxxxjuNRRM=
AllowedIPs = 192.x.x.x/24 <- Zum Beispiel dein HomeNetz. Bei 0.0.0.0/0 schiebt  es vom client alles über den Tunnel.
Endpoint = öffentlicheIP:Port von der Instance


Wenn das steht müssen natürlich die FW Rules auf "Firewall: Rules: WireGuard (Group)" gesetzt werden.

June 27, 2024, 08:21:52 PM #17 Last Edit: June 27, 2024, 09:37:28 PM by bread
Find das Thema immer noch verwirrend  :D gehts nur mir so?

QuoteIch habe doch nun schon mehrfach geschrieben, dass das NUR CLIENTSEITIG (das bedeutet in der Konfig auf dem Client Gerät ) möglich ist.

Oook, jetzt hab ich den Punkt glaub verstanden  8)

Was ich nun gar nicht verstehe, warum wir mein gesamter Internetzugang geblockt, wenn ich beim CLIENT, also am Handy als AllowedIPs die Nuller hinsetze?? Jemand sagte hier mal, dass dann der Traffic der FW durch VPN geroutet wird (welches bei mir noch nicht funktioniert). Wenn diese AllowedIPs doch nur die IPs bzw. Netze sind, die der Client benutzen soll/darf, was hat es mit dem sonstigen Traffic der FW und Netzinternen Clients zu tun??

Ich werd verrückt!  :o

QuoteWenn das steht müssen natürlich die FW Rules auf "Firewall: Rules: WireGuard (Group)" gesetzt werden.
Da ich einen Interface Wireguard erstellt haben (in der Sensen-Anleitung Punkt 4a), sind die Regeln darin.

Aber ich schau erstmal, dass ich nen neuen DynDNS-provider bekomme.

Edit1:
Es fließen jetzt schon mal Daten, aber noch keine Internetverbindung.

Was muss denn jetzt bei AllowedIPs rein, wenn ich 1. meinen PiHole im Netz nutzen will und eben ins Internet will?

VPN-Netz/32, PiHole-Netz/32,WAN-Netz/32?
So habe ich es jetzt.

Edit2:
Ändere ich DNS beim Client zu 1.1.1.1, dann funktionierts. Also klappts mit dem PiHole nicht.
Log LiveView zeigt erlaubte Verbindungen vom VPN-Client zum PiHole
July 01, 2024, 09:22:16 PM #18
Kann da jemand noch helfen?
Sonst muss ich wohl zurück zur externen Lösung mit nem GliNet (Brume2) Kasten. Würde es aber gerne ablösen und VPN direkt in die FW integrieren.
July 01, 2024, 09:27:52 PM #19
Ich wiederhole mich: Freitag, 12. Juli, 17:00, User Group.

https://forum.opnsense.org/index.php?topic=18183.0

Das ist einfach mit Forum-Pingpong nicht zu debuggen. Hier funktioniert das alles. Schau rein, wir sind ein freundlicher Haufen und helfen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 01, 2024, 09:49:22 PM #20
ah, hab dich da nicht verstanden. Alles klar, ich schau mal bei Gelegenheit. Danke!
Print
Go Up Pages 1 2
User actions