WireGuard - zwar Verbunden aber kein Traffic

[Lixe]

Hallo,

ich versuche gerade einen Wireguard VPN aufzusetzten. Die Verbindung klappt auch laut "List Config" und es werden wohl auch Daten übertragen. Allerdings kann ich weder auf die Firewall zugreifen, noch auf das Internet. Handshakes bleiben bei 0.

Ich habe das Interface wg0 zugeordnet mit dynamischer IP. Firewallregeln habe ich ebenfalls erstellt.

Hier mal ein paar Screenshots




Opnsense -> List Config
peer: coxDErP4i...
  endpoint: 185....:59421
  allowed ips: 10.100.100.4/32
  transfer: 14.45 KiB received, 8.98 KiB sent


Handshakes:
wg0   coxDE...   0


Clientkonfig:
[Interface]
PrivateKey = UB0LIU....
Address = 10.100.100.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = 6x1dGb53....
AllowedIPs = 0.0.0.0/0
Endpoint = meinDNS:51820
PersistentKeepalive = 25

[mimugmail]

Also wenn die Handshakes auf 0 sind wird nichts übertragen.
Hast du auf WAN den Port erlaubt? Siehst du da Traffic ankommen?

[Roger2k]

Ich glaube, da stimmt was mit den IPs nicht. Mach mal bei "Edit Endpoint" "10.100.100.4/32" rein und in der Clientconfig dann auch "10.100.100.4/32", statt "10.100.100.2/24".
Außerdem muss in der Firewall unter "WAN" Port "51820/UDP" auf "diese Firewall" erlaubt werden.

[Lixe]

Danke für die Antworten.

WAN UDP Freigabe besteht, ich sehe unter List Config auch dass der Peer verbunden ist



peer: coxDErP4i..
  endpoint: 185.*.*.*:49493
  allowed ips: 10.100.100.4/32
  transfer: 740 B received, 460 B sent

Ich bekomme trotzdem keinen Traffic über den Tunnel. Sonst noch jemand ne Idee?

[mimugmail]

Packet capture auf dem WG interface und hier posten bitte. Wenn bei sent und receive was steht kanns nicht mehr viel sein

[sv_stk]

Hallo
ich habe einen nahezu identischen Sachverhalt/Problem mit meiner Wireguard Konfiguration. Wie von mimugmail gepostet habe ich das VPN (WG) interface gesnifft.
Folgender Output:
7:22:23.004713 IP 100.64.0.11.22244 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:23.108644 IP 100.64.0.11.24473 > 8.8.8.8.53: UDP, length 44
VPN
wg0
17:22:24.447853 IP 100.64.0.11.26073 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:24.995814 IP 100.64.0.11.17859 > 8.8.8.8.53: UDP, length 39
VPN
wg0
17:22:25.008506 IP 100.64.0.11.22244 > 8.8.8.8.53: UDP, length 36
VPN
wg0
17:22:26.456994 IP 100.64.0.11.26073 > 8.8.8.8.53: UDP, length 36
********
Die DNS Anfrage des Client kommt anscheinend an aber dann geht es aber nicht weiter bzw. zurück

Im Firewall Log sehe ich auch Einträge:

Oct 18 17:46:22
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,27359,0,DF,17,udp,58,100.64.0.11,8.8.8.8,21858,53,38
Oct 18 17:46:22
filterlog: 120,,,0,wg0,match,pass,in,4,0x0,,64,27359,0,DF,17,udp,58,100.64.0.11,8.8.8.8,21858,53,38
Oct 18 17:46:21
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,27231,0,DF,17,udp,63,100.64.0.11,8.8.8.8,17552,53,43
Oct 18 17:46:21
filterlog: 120,,,0,wg0,match,pass,in,4,0x0,,64,27231,0,DF,17,udp,63,100.64.0.11,8.8.8.8,17552,53,43
Oct 18 17:46:20
filterlog: 63,,,0,pppoe0,match,pass,out,4,0x0,,63,26979,0,DF,17,udp,58,100.64.0.11,8.8.8.8,10938,53,38
****
Habt Ihr einen Tipp? Welche Konfiguration definiert den Rückweg? Auf dem VPN (WG) interface sehe ich nur eingehenden aber keine ausgehenden Netzwerkverkehr.

[mimugmail]

Screenshot von outbound Nat bitte

[sv_stk]

[sv_stk]

anbei der Screenshot

[mimugmail]

Kannst du statt WireGuard Netzwerk das Tunnel Netz manuell rein nehmen?

[sv_stk]

anbei der Screenshot der Änderung

[Lixe]

Wie kann ich denn so ein Packet Capture einstellen? Geht das übers Webinterface oder über SSH? Hab das noch nie gemacht

[sv_stk]

Ja über das Web-Interface

Schnittstellen -> Diagnose -> Paketaufzeichnung

Dort wählst Du die entsprechen Schnittstelle - meine Schnittstelle habe ich VPN genannt und startest die Aufzeichnung. Danach kannst Du dir das  im Webinterface anschauen

[mimugmail]

Hast du irgendwelche PBR Regeln?

[sv_stk]

Was sind PBR Regeln?

Gesendet von meinem SM-N950F mit Tapatalk