Multi Gateway Wireguard bzw VPN

[wirehire]

 
   Hallo,

dank der Hilfe der Community konnte ich mein Wireguard Setup zum laufen bringen. Direkt danach ist es zu einer neuen Idee gekommen wie ich es am besten benutze. Ich bräuchte aber einen Denkanstoß bzw Umsetzungs Idee.

 Ich möchte das nur bestimmte Clients über einen bestimmten VPN rausgehen und der Rest über das normale Internet Leitung.

 Wenn ich mir die Anleitungen anschaue, soll man dieses per hinzufügen von Gateways lösen und diese dann per Rules anbinden.

Ich habe jetzt schon ein paar Sachen probiert aber es kommt einfach nicht soweit das es nur Ansatzweise klappt.

  1. Wireguard disable Routes  (damit keine neue default route erstellt wird)
  2. ich habe ein neues Gateway mit dem Namen WIREGATEWAY erstellt. Nur Namen vergeben , rest so    belassen.

 
 Wie würde ich jetzt dieses Gateway einbinden bzw warum hilft mir das ,weild as Gateway doch keine Adresse  besitzt. Muss ich mir das wie ein Alias bzw ein virtuelles Interface vorstellen?

 Wenn ich den haken von disable routes heruasnheme , kommt ja die 0.0.0.0/1 wg0 und 128.0.0.0/1 wg0 zu der Routing Tabelle hinzu. Also muss ich jetzt wo die Routen nicht gesetzt werden doch diese dierekt über das WAN interface anbinden?

  Ich hoffe das es halbwegs verständlich ist. Am Ende möchte ich das 3 Wireguard VPN laufen die bestimmte interne PCs durchleiten und der Rest die normale Leitung benutzt.

Danke
 

[micneu]

moin, ich habe s mit OpnVPN und einem VPN Provider so gelöst.
Ich habe mal eine PDF Anleitung erstellt.
leider ist sie zu groß für das forum. schreib mich mal per PM an, mit einer email an die ich es senden kann

[mimugmail]

Multi WAN Howto von der offiziellen Doku beschreibt auch wie man mit mehreren Gateways umgeht

[wirehire]

@micneu habe dir eine pm geschrieben.


@mimugmail Danke dir für den Tipp, hatte ich mir auch schon durchgelesen, hat mir aber nicht das resultat gebracht. Aber mir schon mal aufgezeigt wie ich zb Leitungen für Ausfälle konfiguriere. Danke dir!

schaue mir generell auxh Videos usw zur opnsense an, damit ich einfach dazulerne.

ich werde am Ende für alle eine ordentliche Dokumentation schreiben, wenn ich es zum laufen bekomme.

[mimugmail]

Ich muss mal suchen, hatte mal ne Kurzdoku wie man die Gateways macht.

[wirehire]

Dank Euch beiden, bin ich schon sehr nah dran und habe einen kleinen Durchbruch.

Ich habe das Gateway einstellen können und habe für die Schnittstelle wg0 einen manuelle Route gesetzt. Dem client habe ich das Gateway der Sense mitgegegeben.

im WAN habe ich die Regel gesetzt das alles vom Client kommt 192.168.178.249 zu dem wg0_Gateway geht.

Wie kann ich jetzt eine route erstellen das auch wg0 0.0.0.0/0 darf ? die Default Route ist ja 0.0.0.0/0

Momentan kann ich vom Client in das Wireguard Netz und hatte einmal eine statische Route für eine ip gesetzt. Da geht er auch durch den Tunnel.

Ich möchte ja das er alles dann durch den Tunnel gibt , was von der Client IP kommt.

[mimugmail]

Firewall Regel, LAN Tab, source LAN destination ANY, accept und Wireguard  Gateway.

[wirehire]

Das sind die Route wenn beim wg interface disable drin ist damit er nicht die default überschreibt:

default            192.168.178.1      UGS         em0
localhost          link#3                   UH          lo0
172.16.1.6       link#6                   UH          wg0
192.168.178.0/24   link#1             U           em0
r1                         link#1             UHS         lo0


Die Regel auf der WAN (habe ja kein LAN) Schnittstelle habe ich dann so gesetzt:

IPv4 *   192.168.178.249   *   *   *   WireCloud_DHCP

Ich muss doch noch eine Route für das wg setzten oder verstehe ich das falsch?

Beim Test hatte ich :

172.16.1.0/28      wg0                US          wg0 gesetzt

und mal eine feste ip nach draußen, die gingen dann auch durch den Tunnel.

[wirehire]

  Ping ich vom Client die 172.16.1.1 an kommt der reply:

  14:47:02.754293 IP 172.16.1.6 > 172.16.1.1: ICMP echo request, id 59199, seq 21, length 40
  14:47:02.779317 IP 172.16.1.1 > 172.16.1.6: ICMP echo reply, id 59199, seq 21, length 40


  Ping ich zb 8.8.8.8 an geht er nicht in den Tunnel sondern über das normale Interface:

    14:49:50.973632 IP (tos 0x0, ttl 127, id 48911, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.178.249 > 8.8.8.8: ICMP echo request, id 1, seq 32, length 40
    14:49:50.998196 IP (tos 0x0, ttl 52, id 0, offset 0, flags [none], proto ICMP (1), length 60)
    8.8.8.8 > 192.168.178.249: ICMP echo reply, id 1, seq 32, length 40


 

[mimugmail]

Netstat -nr bitte

[wirehire]

Internet:
Destination        Gateway            Flags     Netif Expire
default            192.168.178.1      UGS         em0
127.0.0.1          link#3             UH          lo0
172.16.1.0/28      wg0                US          wg0
172.16.1.6         link#6             UH          wg0
192.168.178.0/24   link#1             U           em0
192.168.178.252    link#1             UHS         lo0

Internet6:
Destination                       Gateway                       Flags     Netif Expire
::1                               link#3                        UH          lo0
fe80::%em0/64                     link#1                        U           em0
fe80::20c:29ff:fec3:7f5d%em0      link#1                        UHS         lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0

[wirehire]

 Habe jetzt mal alles auf Screenshots dokumentiert.


was mir auffält sind die deny Sachen der Firewal.

192.168.178.249:50169   185.33.223.203:443   tcp   Default deny rule

Müsste das dann nicht pass und force GW sein?

[wirehire]

und noch die Firewall Rules:

[mimugmail]

Sollte da nicht noch die Default Route (2 Stück) für wg sein?

[wirehire]

 
 Die beiden Default Rules setzte r ja nur wenn man den haken bei disable Route nicht setzt. Dann geht aber wieder alles darüber und wenn ein weiterer vpn zugang kommt, geht das Routing nicht.

Deswegen war meine Frage wie ich eine zweite rule auf 0.0.0.0 setzten kann.

es kommt dann ja später noch zb ein wg1 interface dazu, wenn ich jeweils den haken nicht setzte würde dann alles nicht mehr gehen, weil sie dann alle die default rule setzten wollen.