Fritzbox & OPNsene -Site to (Multi)Site

Started by Ducksoul, July 31, 2024, 07:59:27 PM

Previous topic - Next topic
Moin zusammen,
mir raucht ein bisschen der Kopf. Ziel meines Anliegens ist es 2 Sites (in der Abbildung Site '21' und Site '22') miteinander zu verbinden. Da beide Sites nur dynamische IP's besitzen, soll der ganze Weg über eine dritte Site 'Hetzner-Cloud' laufen. In der Cloud stehen noch keine weiteren Server die in das VPN-Netzwerk integriert werden sollen. Es war nur schonmal gedanklich angedacht, dass das vllt. mal kommt.

Anzumerken ist, dass auf Site '22' eine Fritzbox 7590 im Einsatz ist. Ich komme nicht so recht klar damit, was es bedeutet, dass diese nicht mit einem Transfernetz arbeitet und wie ich das berücksichtigen muss.

Fritzbox-Konfiguration:
Quote
[Interface]
PrivateKey = x
ListenPort = 59125
Address = 192.168.178.1/24,10.66.0.3/32
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = x
PresharedKey = x
AllowedIPs = 10.66.0.0/29,172.21.0.0/20,172.23.0.0/20
Endpoint = Hetzner-Host:51820
PersistentKeepalive = 25

Was ich in den OPNsense - Instanzen als Tunnel address und Allowed IP's eingetragen habe, ist im Anhang 'netzwerk.png' zu sehen. Mein Problem findet sich im Anhang 'trace.png'.

Status quo:
- OK   - Zugriff von Client in Site '22' auf Client in Site 'Hetzner-Cloud'
- OK   - Zugriff von Client in Site '22' auf Client in Site '21'
- OK   - Zugriff von Client in Site '21' auf Client in Site 'Hetzner-Cloud'
- OK   - Ping von OPNsense Site '21' auf 10.66.0.3, 192.168.178.1, 192.168.178.200
- ERR - Ping von Client in Site '21' auf Client in Site '22'


Zusammengefasst Clients in Site '21' kommen noch nicht auf Clients in Site '22'. Aktuell habe in OPNsense so konfiguriert, dass im Wireguard-Interface eine any-Regel steckt, welche alles erlaubt.

Auf Site '21' hab ich btw für das Wireguard-Interface noch ein Gateway mit IP 10.66.0.1 konfiguriert und über diesen eine statische Route ins Netzwerk 192.168.178.0/24. Hier schwimme ich allerdings was die Theorie dahinter angeht, insb. bzgl. der Gateway-IP.


Zwei Fragen:
1. Geht meine bisherige Konfiguration in die richtige Richtung, bzw. ist sie soweit schlüssig und korrekt?
2. Was muss ich noch tun, damit ich von Site '21' zu Site '22' komme. Ich habe die Vermutung, dass es irgendwas mit der Fritzbox zu tun hat, bzw. wie diese Wireguard integriert.

Die Fritzbox kann per Wireguard nur exakt 2 Netze miteinander verbinden. Das eigene + ein remote Netz.

https://forum.opnsense.org/index.php?topic=36273



Hardware:
DEC740

Was, wenn das Remote-Netz ein Supernetz auch des eigenen ist? Funktioniert das?

Jeweils LAN:

OPNsense: 192.168.0.0/24
Fritzbox 1: 192.168.1.0/24
Fritzbox 2: 192.168.2.0/24

Wireguard:

OPNsense: peer 1 - 192.168.1.0/24, peer 2 - 192.168.2.0/24
Fritzbox 1: peer - 192.168.0.0/16
Fritzbox 2: peer - 192.168.0.0/16

Keine Ahnung, aber vom Routing her müsste das durch die "more specifics" einwandfrei funktionieren. Weiß nur nicht, ob Wireguard und/oder Fritz!OS das erlauben.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

July 31, 2024, 08:37:56 PM #3 Last Edit: July 31, 2024, 08:40:39 PM by Monviech
Vielleicht hat sich ja etwas verbessert.

Aber die Fritzbox hatte schon immer Probleme ein richtiger Router zu sein wenn VPNs im Spiel sind.

Mit IPsec kann man auch nur traffic selectoren für n-Remote Netze und 1 lokales Fritzbox Netz machen.

Wenn es jetzt aber noch ein Netz hinter dem Netz der Gegenseite gibt, muss man dort schon mit SNAT tricksen.

EDIT: Da ist auf einer Bintec deutlich mehr gegangen, lieber das als all in one als eine Fritzbox.
Hardware:
DEC740

'Hetzner-Cloud' hat sowohl Site '21' als auch '22' als Peers eingetragen. Die beiden Sites haben widerrum jeweils nur 'Hetzner-Cloud' als Peer eingetragen. Da ich von der OPNsense auf Site '21' sowohl die Fritzbox (192.168.178.1 & 10.66.0.3) als auch ein NAS hinter der Fritzbox (192.168.178.200) anpingen kann, sieht es für mich so aus, dass die Kommunikation grundsätzlich funktioniert.

Aus meiner Sicht fehlt nur der Schritt, dass ich auch von Client's im '21'er Netz rüber ins andere Netz komme.

August 01, 2024, 09:00:10 AM #5 Last Edit: August 01, 2024, 09:02:56 AM by Patrick M. Hausen
Nochmal zum Mitschreiben: die Fritzbox kann nur ein einziges Netz hinter dem Peer ansteuern.

Du musst also durch geeignete Adress-Struktur dafür sorgen, dass das, was die Fritzbox für ihren Peer hält, sowohl Hetzner als auch die andere Fritzbox enthält. Ich habe es oben doch ganz ausführlich hin geschrieben ...

Oder anders formuliert: du musst deinen Adressraum so strukturieren, dass auf den Fritzboxen jeweils nur ein Netz in "AllowedIPs" eingetragen ist.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Zunächst einmal sei gesagt, dass ich sehr dankbar für die Hinweise und Impulse bin, lesen und verstehen allerdings 2 paar Schuhe sind. Durchgestiegen bin ich leider noch nicht ganz.

Ich kann die Aussage erstmal so hinnehmen, frage mich dann im folgenden aber warum es möglich ist, dass ich von der OPNsense in Richtung Fritzbox  und dahinter stehende Clients pingen kann, nicht jedoch aus dem Netz hinter der OPNsense.

Ansonsten noch als Anmerkung: Es gibt keine 'andere Fritzbox'. Nur unter Site '22' ist eine im Einsatz.

Quote from: Ducksoul on August 01, 2024, 09:31:22 AM
Ich kann die Aussage erstmal so hinnehmen, frage mich dann im folgenden aber warum es möglich ist, dass ich von der OPNsense in Richtung Fritzbox  und dahinter stehende Clients pingen kann, nicht jedoch aus dem Netz hinter der OPNsense.
Weil die Fritzbox offensichtlich nur das Netz mit den IPs im Tunnel für das VPN nimmt und das Netz hinter der OPNsense nicht, was sich mit @Monviech s Aussage deckt, dass nur ein Netz möglich ist.

Nimm doch das Tunnel-Netzwerk mal aus AllowedIPs raus und trag nur das Netz hinter der OPNsense ein. Funktioniert es dann?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

August 01, 2024, 03:37:47 PM #8 Last Edit: August 01, 2024, 03:47:18 PM by Ducksoul
Ich denke es jetzt soweit verstanden zu haben. Da habe ich mir wohl zu viel von der Fritzbox erwartet. :-/

Statt jetzt noch weiter rum zu experimentieren, um zu schauen ob es durch Änderungen in den AllowedIps vllt. doch noch geht, habe ich stattdessen einen separaten Wireguard-Server hinter der Fritzbox aufgesetzt und die statischen Routen zur Hetzner-Cloud und Site '21' gesetzt.
Das funktionierte auf anhieb und ich muss mich nicht weiter mit irgendwelchen Eigenheiten der Fritte auseinader setzen.

Danke euch nochmal für die schnelle Erläuterung @Patrick M. Hausen und @Monviech.