Wireguard Multiwan

[mimugmail]

Nein, da es ja wie gesagt eine Kernel Route ist, kein pf.

[alh]

Und könnte man etwas mit NAT probieren, so dass eine andere Route zum Zug kommt? Evtl. bei den ankommenden Verbindungen auf WAN2 die Source-IP auf die Interface-IP ändern?

[mimugmail]

Du kannst dich gern austoben, ich schaffs selbst zeitlich leider nicht.  :(

[alh]

Habe nur leider keine Ahnung wie man das in OPNsense macht, da ich nur Outbound-NAT gefunden habe. In dem Fall wäre es ja ein Inbound-NAT, oder?

[mimugmail]

Ja, also eher ein Port-Forward

[alh]

Ein Port-Forward verändert aber nicht die Source-IP... aber genau das wird ja benötigt, so dass eine andere Route als die Default-Route greift.

Ich werde mal folgendes probieren:

- WG-Instanz auf 51821
- Port Forward von WAN2:51820 auf 127.0.0.1:51821
- Outbound NAT auf WAN2 von nicht-privaten IPs auf 127.0.0.1:51821

Anderer/besserer Vorschlag?

[AndreK]

Hallo,

Ich habe aktuell das gleiche Problem. Hast du es zum laufen bekommen?

Gruß Andre

[alh]

Jein. Ich habe einfach die VPN-Leitung als Default-Gateway inkl. Default-Gateway-Switching festgelegt und den restlichen Internetverkehr über ein Multi-WAN in der gewünschten Reihenfolge geleitet. Alle anderen Versuche schlugen fehl.

[KernelMaker]

Gibt es hier schon neue Erkenntnisse?

Ich stehe vor dem selben Problem. Ich würde gern einen WireGuard Tunnel über ein zweites WAN (LTE Backup) realisieren, welches im Normalzustand nicht das Default Gateway ist.

Der Plan ist eine Art Heartbeat für die LTE Verbindung. "Solange der Tunnel steht, ist die Verbindung OK".

Also WG0 -> WAN1 (Glasfaser)
WG1 -> WAN2 (LTE)

unabhängig vom gesetzten Default Gateway.
Bei OpenVPN, IPsec und GRE kann man das ausgehende Interface festlegen. Sowas vermisse ich hier. Wenn ich den Thread richtig verstanden habe, ist aber genau das technisch bei WG nicht möglich, korrekt?

[alh]

So habe ich es verstanden, ja. WireGuard nimmt immer die default-Route.

[JeGr]

Man kann ein Ziel definiert über ein spezifisches Gateway routen. Dann kann man bspw. Wireguard dazu "zwingen" eben nicht das Default GW zu nutzen, sondern dediziert über das ausgewählte WAN. Aber damit kann nicht "ein Tunnel via WAN1 und ein zweiter Tunnel via WAN2" zum gleichen Ziel realisiert werden - es sei denn das Ziel hätte 2 separate IP Adressen. Alles andere haut noch nicht hin, weil Wireguard ohne Interface oder IP Bindung agiert und einfach auf "alles" hört und lauscht und sich sonst an der normalen Kernel Routing Tabelle orientiert.

Cheers

[alh]

D. h. für RoadWarriors alles mit sprt 51280 (als Beispiel) über Gateway X routen in der Firewall? Frage deshalb, weil ich es damals nicht hinbekommen habe...

[JeGr]

Ich hatte das mal auf die Schnelle gebaut aber nur für den simplen Case, dass ich bei 2 WANs Wireguard eben auf dem nicht-default WAN haben wollte. Dazu dann einfach die Gegenstelle (die Firma zum Test) per statische Route via WAN2 geroutet (einfach neue statische Route mit /32 für die IP hinzugefügt), geprüft, dass die IP auch wirklich via WAN2 raus geht und dann Wireguard konfiguriert. Er hat zwar dann ein zwei Mal versucht WAN1 zu nutzen wenn die Anfrage von der anderen Seite zuerst kam, sie haben sich dann aber nach ein paar Sekunden immer auf WAN2 verständigt und darüber den Traffic abgewickelt. Tatsächlich mehrere Tunnel mit der gleichen IP über andere WANs dürfte schwer werden, da ich mir vorstellen kann, dass WG an Policy based Regeln/Routen vorbei geht und die komplett ignorieren dürfte. Somit fällt "pro Port" wahrscheinlich raus.

[chw0]

Interessantes Thema :) Gibt es hierzu was neues oder ist das Verhalten noch wie beschrieben?