Regel für Wireguard client zu anderem wireguad Netz

[bforpc]

Hallo,

mein primäres opnsense Netz ist 192.168.1.0/24, das wg Tunnel Netz ist 10.10.10.10/24. Die Wireguard Clients haben Zugriff auf das 1er Netz und umgekehrt. Soweit so gut.
Ich benötige nun von WG Clienten Zugriff auf einen bestimmten WG Client und sein Netz (192.168.2.0/24).
Welche Regel muss hier erstellt werden (und in welchem Bereich)?

Bfo

[mimugmail]

Auf dem Enpoint des Clients von der Quellle muss auf jeden Fall ins Tunnel Netz auch das Netz des Ziel Clients.
Dann die Firewall im WG rules tab

[bforpc]

Könntest du das bitte etwas ausführlicher erklären?

Bfo

[mimugmail]

Nur wenn du Screenshots postest, sonst schreib ich nen Wolf und es ist ganz anders als gedacht

[bforpc]

Moin,

in der Anlage 2 Screenshots. Der eine vom WG Server und der andere von dem WG Client, welcher sein Netz auch für andere WG Clients öffnen soll.


Bfo

[mimugmail]

Screenshot vom Endpoint der  192.168.2.0 hinter sich hat bitte

[bforpc]

Am Client?
Da gibt es keinen Screenshot, hier die Config des Clienten:

Code Select Expand


cat /etc/wireguard/wg0.conf
#CB
[Interface]
PrivateKey = [private key]
Address = 10.10.10.2/32
[Peer]
PublicKey = [public key der opnsense]
Endpoint = [ip der opnsense]:51820
AllowedIPs = 192.168.1.0/24, 10.10.10.0/24


Bfo

[mimugmail]

Sollte es hier nicht 10.10.10.3/32 sein?

Und am Server auch /32?

[bforpc]

Hallo,

wieso, bzw.was würde das bringen? Klar kann ich am Server sagen, dass der Client die .3 ist und dem client sagen, dass er die 3. ist, aber was wäre der Unterschied?
Und was hat das mit meinem Wunsch zu tun, das 192.168.2.0/24er Netz in anderen wireguard Clients zu netzen?

Bfo

[mimugmail]

Vergiss es, Denkfehler, der andere Client ist identisch, nur halt 1er Netz oder?

[bforpc]

Äh ... ja...
Letztendlich soll ein WG Client welcher hinter sich das Netz 192.168.2.0/24 hat, für alle anderen WG Clients erreichbar sein.

Bfo

[mimugmail]

Muss ich mal nachstellen, wüsste nicht wieso das nicht gehen sollte

[bforpc]

Ok, meine Frage war nicht, ob das geht, sondern was (an Konfigurationen) dafür notwendig ist.
Womit wir am Ursprung meiner Frage wären :-)
btw: Wireguard funktioniert einfach und problemlos bis jetzt zu den einzelnen Clienten.

Bfo

[mimugmail]

Ok, dann haben wir uns missverstanden.
Also eine zentrale OPNsense, 2 Clients, und die Clients wollen sich untereinander sehen.

D.h. du setze die jeweils anderen Netze in den Endpoints selber und an der Firewall legst du die Endpoints mit ihren realen Netzen an.

Dann mit tcpdump auf wg0 schauen ob die Pakete ankommen und gehen.

An sich ist das ja nichts anderes wie ein Site-2-Site wie hier:
https://forum.opnsense.org/index.php?topic=15889.msg72875;topicseen#msg72875

[bforpc]

Jetzt haben wir uns (fast) verstanden.
Status:

• Ich habe die WireGuard als Firewall in meinem "HausNetz" (192.168.1.0/24).
• Ein "besonderer" Wireguard Client (192.168.2.1) , verbindet sich zur Firewall. Dieser Client kann auf das "Hausnetz zugreifen.
• Aus dem "Hausnetz" kann niemand auf das Netz 192.168.2.0/24 oder auf die IP 192.168.2.1 zugreifen
• Kein anderer Wireguard Client kann auf das Netz 192.168.2.0/24 oder auf die IP 192.168.2.1 zugreifen

Wunsch:

• Das Hausnetz "HausNetz" soll entweder auf 192.168.2.0/24 oder notfalls auf 192.168.2.1 zugreifen können
• Alle anderen wiregurad Clients sollen auch auf  192.168.2.0/24 oder notfalls auf 192.168.2.1 zugreifen können

Weitere Infos:

• Auf der Firewall hat der Wireguard Dienst das Transfernetz 10.10.10.0/24[l/i]
  

Die wg0.conf vom "besonderen" Wireguard client sieht so aus:

Code Select Expand


[Interface]
PrivateKey = [key]
Address = 10.10.10.2/32

[Peer]
PublicKey = [key]
Endpoint = [firewall]:51820
AllowedIPs = 192.168.1.0/24, 10.10.10.0/24
PersistentKeepalive = 25


Der Endpoint dieses Clienten an der Fireawall hat diese "allowed IP's"

Code Select Expand

192.168.1.0/24, 192.168.2.0/24, 10.10.10.0/24

Bfo