Hilfe bei IPv6 & WireGuard – Kein Traffic über Tunnel trotz Verbindung

Started by momo1975, April 06, 2025, 04:50:38 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 06, 2025, 04:50:38 PM
Hallo zusammen,
ich bin neu in der OPNsense-Welt und auch ganz frisch hier im Forum. 😊
Ich hoffe, ihr könnt mir bei meinem aktuellen Problem weiterhelfen – ich komme trotz tagelanger Versuche einfach nicht weiter.

Ziel:

Ich möchte auf meiner OPNsense einen WireGuard-Tunnel zu meinem VPS aufbauen, der auch IPv6-Traffic aus dem LAN über den Tunnel ins Internet leitet. Der Hintergrund ist, dass ich einen Starlink-Zugang mit CGNAT nutze und mein LAN dadurch keine eingehenden Verbindungen aus dem Internet direkt empfangen kann.

Setup:

OPNsense Version: 25.1.4_1-amd64 (FreeBSD 14.2)

WireGuard Plugin: Offizielles OPNsense-Plugin

WAN-Zugang: Starlink im Bypass-Modus

LAN-Netz: 10.0.0.0/24 mit OPNsense als Gateway (10.0.0.1)

Mein PC: Linux Mint 22.1, LAN-IP 10.0.0.242

VPS: Ubuntu 22.04 LTS (IPv4 & IPv6 vorhanden), WireGuard läuft dort

Tunnel läuft im "reverse" Setup, d. h. OPNsense baut Verbindung zum VPS auf

Der Tunnel funktioniert scheinbar:

wg show zeigt auf beiden Seiten "Handshake vor wenigen Sekunden"

Ping über WireGuard-IPv6-Adressen (z. B. fd00::1 <-> fd00::2) klappt in beide Richtungen

Was nicht funktioniert:

→ Kein Internetzugang über den Tunnel vom LAN-Client
z. B. bei curl -6 ifconfig.io kommt immer meine Starlink-IP zurück – nicht die VPS-IP.

Was ich versucht habe:

✅ WireGuard-Adresse in OPNsense: fd00::1/64
✅ VPS-Adresse: fd00::2/64
✅ "AllowedIPs" auf OPNsense-Seite: ::/0, fd00::/64
✅ Route-to-Regeln in der Firewall für LAN → wg0
✅ NAT-Regeln (Outbound) angepasst
✅ IPv6 erlaubt in Firewall
✅ VPS erlaubt Forwarding (sysctl)

Was mir auffiel:

Wenn ich tcpdump auf dem VPS auf wg0 laufen lasse, kommt kein Paket von meinem LAN-PC an, obwohl curl ausgeführt wird

IPv6-Traceroute geht direkt über Starlink, nicht über Tunnel

"curl -6" zeigt immer die Starlink-v6-IP, nicht die VPS-v6-IP

Fragen:

Muss ich bei OPNsense bei der Schnittstelle wg0 noch explizit IPv6-Routen setzen?

Muss ich den LAN-Clients noch zusätzliche statische Routen oder DNS geben?

Kann es sein, dass die Firewall-Regel (LAN → wg0) nicht ausreicht?

Wie kann ich sicherstellen, dass wirklich der gesamte IPv6-Traffic über wg0 geht?

Ich bin für jede Hilfe oder Idee offen!
Vielen Dank schon mal – auch für eure Geduld mit einem Neuling. 🙏

Liebe Grüße
Momo
🚀 Starlink | 🔌 Fritzbox | 🛡� OPNsense | 🦊 WireGuard | 🌐 IPv6 
Frisch dabei – dankbar für jede Hilfe 🙌
Print
Go Up Pages1
User actions