[solved] opensense wireguard zu opnsense wireguard

[wirehire]

Hallo,

ich Danke erstmal dem Forum das mir geholfen hat am Anfang die Probleme von Wireguard bei mir zu lösen.
Ich nutze Wireguard jetzt einige Zeit mit Opnsense und bin sehr glücklich damit. Nun wollte ich mich meinem nächsten Projekt stellen und bräuchte etwas Hilfe.

 VPS OPNSENSE Wireguard  (läuft )

Nun wollte ich zu hause eine direkt Verbindung mit opnsense herstellen. Die OPnsense zu Hause ist hinter einer Fritzbox geschaltet und hat ein Interface LAN. Ich habe dem Lan Interface die Fritzbox als Gateway gegeben. Nach draußen kann ich alles anpingen.

Opnsense Plugin installiert:

WireguardServer
Publickey erstellt
Privatekey erstellt
Port 51820
Tunnel Adress 172.16.1.10/28
Peer: OPNSENSEVPS

Endpoint:
OPNSENSEVPS
Publickey vom wireguard Interface des VPS
Tunnel Address  0.0.0.0/0
Endpoint Address ip des VPS
Endpoint Port 51820

Auf dem Opnsense im VPS habe ich den Peer hinzugefügt:

Publickey vom Home opnsese wireguard Interface
Tunneladdress 172.16.1.6/32

Die Verbindung wird nicht aufgebaut. Ich muss bestimmt eine NAT Ausgehende Reegle machen oder? Jetzt stellt sich mir die Frage wie kann ich das Wireguard Interface per Nat Rule über das LAN Interface anbinden , da es ja keine WAN Schnittstelle benutzt?

Vielen Dank für Vorschläge und wer sich überhaupt die Zeit nimmt und den Beitrag durchliest.

Schönes Wochenende

[wirehire]

 Ich habe jetzt den Handshake hinbekommen durch die NAt Rule auf dem ersten Screenshot. Leider kann ich nichts anpingen. Muss ich noch per NAT den Rückkanal machen wegen LAN? Habe das auf dem 2 Screenshot ausprobiert aber keinen Erfolg damit erreicht.

[micneu]

ich mache es seit neuestem, wenn ich was teste und noch nicht final ist das ich gerne unter Floating eine
regel für ICMP anlege die erstmal auf allen schnittstellen erlaubt. so kann ich erstmal sagen ok, das geht.
danach kann man es wieder einschränken.

[mimugmail]

Den Ping machst du von der OPNsense daheim oder?

[wirehire]

Danke micneu, das ist eine sehr gute Idee. Werde ich sofort Testen.

[wirehire]

@mimugmail  den Ping machen ich von der Opnsense daheim.

ich glaube das mein Routing oder mein NAt falsch sind.


zum Verständnis :


internet ----FB/wan----FBLAn
                                   |
                                   |
                                 Opsense-Lan (192.168.178.253) (Gateway 192.168.178.1)
                                   |
                                   |
                                 Opsense Wireguard wg0  (per NAT outbound an das LAN gebunden)


Destination        Gateway            Flags     Netif Expire
0.0.0.0/1         wg0                US          wg0
default             192.168.178.1      UGS         em0
localhost          link#3             UH          lo0
128.0.0.0/1      wg0                US          wg0
172.17.0.1         link#6             UH          wg0
185.162.251.108    192.168.178.1      UGHS        em0
192.168.178.0/24   link#1             U           em0
OPNsense           link#1             UHS         lo0


Muss ich auf der FB eine Rückroute einstellen?

[mimugmail]

Ich verstehe deine Zeichnung nicht. Kannst du mit der Hand zeichnen mit Richtungspfeil, IPs und Internet Wolke, Foto dann hier rein

Das Howto mit central Internet breakout hast du gelesen?

[wirehire]

Hallo @Migmugmail

ich habe das mal schnell aufgezeichnet.

Im endeffekt möchte ich ein vpn Gateway haben durch die opnsense im Lan. Wan macht die Fritzbox. Opnsense soll im Lan hängen eine verbindung per wireguard zu meinem wireguard server öffnen und halten. Und wenn ich dann clients den Gateway mitgebe dann direkt alles durch den Tunnel schicken, sodass nicht jeder client extra ein vpn aufmachen muss. Mit openvpn in einer anderen konstalleation hatte ich das auch hinbekommen. Aber hier glaube ich das schon broken by design von mir ist.

Im Anhang der Netzplan.

Danke für deine Hilfe.

[mimugmail]

Sind deine PCs hinter der OPNsense oder in 178?

[wirehire]

Die Pcs sind auch im 192.168.178.0/24 Netz. Die opnsense ist ja auch nur per Lan am Router im gleichen Netz.

[mimugmail]

Hm, das ist nicht das beste Netzdesign, schwer von extern da den Fehler zu finden

[wirehire]

Ich lerne gerne dazu.


wie würdest du spontan es aufbauen wenn du eine fritzbox als Router hast und dahinter mit opnsense einen wireguard (vpn) gateway realisieren würdest wollen?

[wirehire]

 So ich habe noch einmal von vorne angefangen und diesmal die opnsense als wan statt lan anschluß eingestellt und von jedem einen ordentlichen Scrennshot gemacht.

Ich denke das etwas mit dem Rückkanal nicht stimmt. In der Firewall Liveansicht sehe ich ja das die Wireguard Schnittstelle nach außen komminzieren möchte.

Anbei Netzplan, Fritzbox, WAN,NAT,Firewall Rules, Wireguard und Firewall Beispiel.

Eventuell erkennt dann jemand wo mein Fehler liegt.

[wirehire]

der Rest.

[wirehire]

Rest2