VPN Verbindung zwischen zwei OPNsense aufbauen - Wo könnte der Fehler sein?

Started by BeTZe313, January 15, 2026, 11:15:44 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 15, 2026, 11:15:44 AM
Hallo Zusammen,
ich habe bei meiner OPN (OPN1) den Wireguard Server installiert. Nun möchte ich gerne von einem anderen Standort mittels einer weiteren OPN (OPN2) eine Wireguard VPN Verbindung zu der ersten OPN aufbauen. Dabei hapert es aktuell etwas.
Ich habe auf einem Windows Rechner am Standort mit der OPN2 den Wireguard Client installiert und konfiguriert. Der Aufbau der Verbindung klappt und ich kann auf das Netz der OPN1 am anderen Standort zugreifen.

Ich habe jetzt die OPN2 mit der gleichen Konfiguration wie den Windows Client konfiguriert. Da klappt der Aufbau der Verbindung leider nicht. Unter Status bei der OPN2 steht "Offline". Beim Status der OPN1 steht "Stale". Ich finde leider den Fehler nicht. Vielleicht hat jemand eine Idee.

Ein paar Bilder der Config anbei-
January 15, 2026, 11:18:01 AM #1
Das ist die Config der zweiten OPN. Da habe ich in der Firewall bis jetzt keine Regeln definiert. Es klappt mit dem Windows Client auch ohne.
Today at 09:20:21 AM #2
Moin,

ich habe jetzt nur überflogen. Aber Du müsstest den Wireguard auf der zweiten Kiste ebenfalls als Server einrichten. Wenn der sich nämlich "nur" als Client betrachtet, wird er keine Pakete ins LAN weiterleiten....
Ich habe das hier genauso.
Eine Net-2-Net Verbindugn mit zwei Wireguard-Servern auf der OPNSense, die sich gegenseitig kennen udn PAkete weiterleiten. Lan1 zu Lan2 funktioniert problemlos. Zusätzlich einen zweiten Wireguard Server auf der einen OPNSense eingerichtet, die die "RoadWarrior" (z.B. Windows, Linux, Tablets etc.) evom Internet aus einbinden kann.

Funktioniert wunderbar.
Today at 09:43:45 AM #3
Hallo,
ich habe ja auf beiden OPNsense den Server laufen. Jeweils eine Instanz und ein Peer. Oder was genau meinst du mit Server?
Today at 09:51:47 AM #4 Last Edit: Today at 09:58:53 AM by userbenutzer Reason: Satzbau und zwischenzeitlicher Post.
Moin,
das sieht alles im Ansatz schon gut aus denke ich!

Aber halte dich doch mal an die Anleitung und richte auch Regeln auf opn2 ein. Der Windows Client wird eine Regel haben, die ihm den Internetzugriff erlaubt und kann darüber den Tunnel aufbauen.
Nach meinem Verständnis arbeiten 2 OPNsenses direkt hier etwas anders.

https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

So wie es jetzt eingerichtet ist, wäre opn1 Responder vom Tunnel und opn2 Initiator. Ich würde auf opn2 noch Keep Alive 25 setzen damit von dort der Tunnel immer offen gehalten wird. Wenn opn2 hinter NAT ist, ist Keep Alive auch zwingend notwendig. Falls du bei opn2 kein NAT hast, kannst du über Keep Alive noch nachdenken ob du es willst, aber zum Testen wäre es sicher auch nicht verkehrt.


Falls du so nicht weiter kommst, findest du im Zweifelsfall in den Firewall-Logs ggfs. noch etwas, falls irgendwo was geblockt wird.


Viel Erfolg!

Edit: Knebb war schneller und würde ich auch so machen. Falls du Roadwarrior und Site-To-Site willst, würde ich auf opn1 zwei Wireguard Instanzen anlegen.
Today at 11:11:25 AM #5
@userbenutzer

Vielen Dank für den Link zu dem Tutorial. Ich bin danach gegangen und nun klappt es tatsächlich.

Jetzt habe jetzt nur noch ein Problem. Wenn ich aus dem Lan der OPN2 auf einen Rechner im Lan der OPN1 zugreifen möchte, z.b. per Remote, geht das nur über die IP Adresse. Ich bräuchte das aber auch über den PC Namen.

Ich habe jetzt schon den DNS Server aus dem LAN der OPN1 in die Instanz der OPN2 eingetragen. Das hatte aber leider keinen Erfolg.

Gibt es da vielleicht noch Tipps zu?
Today at 12:28:29 PM #6
Super, dass Du es so schnell hinkriegen konntest!

DNS bin ich nicht ganz so tief drin.

Aber wenn ich dein Problem jetzt richtig verstehe, werden die Geräte im LAN der OPN2 als DNS Server vermutlich direkt die OPN2 haben.
Und diesem müssen dann die PC-Namen der anderen Seite bekannt gemacht werden.
Wenn du es manuell pflegen kannst, kannst du im DNS das einfach hinterlegen. Bei Unbound unter Unbound DNS - Overrides den Host anlegen.
Dnsmasq nutze ich (noch) nicht, da gibt es aber den Menüpunkt Hosts.

Today at 02:53:22 PM #7
Ich müsste halt aus dem LAN von OPN2 auf Rechner im LAN von OPN1 zugreifen. Und das nicht über die IP, sondern über den PC Namen wie z.B. "PC256IT".
Today at 04:09:39 PM #8
Quote from: BeTZe313 on Today at 02:53:22 PMsondern über den PC Namen wie z.B. "PC256IT".
So wird es nur gehen, wennn du die Hostnamen lokal auf OPN2 pflegst.

Wenn du dich damit abfinden kannst, die Host in FQDN-Form (host.domain) zu verwenden, kannst du das auch mit einer Domain-Weiterleitung im lokalen DNS auf den Remote-DNS umsetzen.
Aber es braucht eine eigene Domain und die muss mit angegeben werden, ansonsten weiß der DNS auf OPN2 nicht, dass er anderswo nachfragen muss und gibt NXDOMAIN zurück.
Today at 04:26:43 PM #9
Eine Domain-Such-Liste per DHCP verteilt kann das Problem lösen.

Standort 1: standort1.meinefirma.de
Standort 2: standort2.meinefirma.de

Hosts werden an beiden Standorten in der jeweiligen Subdomain registriert. An beiden Standorten gibt es eine Domain-Weiterleitung zum jeweils anderen.

"ping PC256IT" wird dann je nach Standort erst mit der einen, dann mit der anderen Domain vom Client durchprobiert und letztendlich funktionieren.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions