Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wireguard als Corona VPN - Probleme
« previous
next »
Print
Pages: [
1
]
Author
Topic: Wireguard als Corona VPN - Probleme (Read 3430 times)
DauerFest
Newbie
Posts: 8
Karma: 0
Wireguard als Corona VPN - Probleme
«
on:
March 18, 2020, 09:18:07 pm »
Hilfe,
ich habe WireGuard als RoadWarrior / Server - Konfiguration (nach Anleitung Thomas Krenn) bis durch den Tunnel ans Laufen bekommen. Allerdings endet ein Ping vom Client auf das Firmennetz im OpnSense, ich komme nicht ins Firmennetz.
Was habe ich vergessen, hat jemand Ideen oder schaut mal auf meine Konfiguration?
Axel
«
Last Edit: March 19, 2020, 12:34:05 pm by DauerFest
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wireguard
«
Reply #1 on:
March 18, 2020, 09:24:01 pm »
Ist es denn erlaubt? Wie siehst du das der Ping an der Firewall ankommt?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
DauerFest
Newbie
Posts: 8
Karma: 0
Re: Wireguard
«
Reply #2 on:
March 18, 2020, 09:32:16 pm »
Hallo mimugmail,
ich mache vom Client ein Ping auf die
lokale
Adresse des Routers im Firmennetz. Auch kann ich vom Client über den Tunnel auf das Webinterface von OPNsense zugreifen. Aber Pings auf andere Ziele im Firmennetz sind nicht möglich.
Bei Firewall: Log Files: Live View ist alles grün...
Ping für die WAN-Schnittstelle ist deaktiviert.
Axel
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wireguard
«
Reply #3 on:
March 18, 2020, 09:39:59 pm »
Haben die Clients die OPNsense als Standardgateway eingetragen? Erlaubt die Windowsfirewall der internen Clients Pings vom VPN Netz?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
DauerFest
Newbie
Posts: 8
Karma: 0
Re: Wireguard
«
Reply #4 on:
March 18, 2020, 09:47:29 pm »
Die Firewall ist aus.
Der Standardgateway dürfte doch eigentlich kein Rolle spielen, da die Verbindung vom Client uber das OPNsense initiiert wird.
Wir habe bisher zwei LANCOM-Router eingesetzt die beide VPN IPSEC machen und im Firmennetz ist jeweils nur einer als Standardgateway eingetragen. Trotzdem kann über beide Router auf alle Worstations und Server zugegriffen werden.
Aber ich probiere das mit dem Standardgateway mal aus.
Kann man irgendwo einen Trace einschalten mit dem man den Traffic des WireGuard im OPNsense verfolgen kann? Bin noch blutiger OPNsense - Neuling...
Axel
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wireguard
«
Reply #5 on:
March 18, 2020, 09:53:05 pm »
Der Client braucht entweder OPN als Gateway oder eine Route vom Tunnelnetz zu OPN
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
DauerFest
Newbie
Posts: 8
Karma: 0
Re: Wireguard
«
Reply #6 on:
March 18, 2020, 10:19:02 pm »
Sorry, war ein Verständnisfehler. Du hattest nach dem Standardgateway vom CLIENT/HomeOffice-Warrior gefragt...
In Zahlen:
Firmennetzwerk 172.16.0.0/18
Client 192.168.100.x/24
Tunnel vom OPN 198.51.100.254
Tunnel vom Client 198.51.100.1
IP des OPN im Firmennetzwerk 172.16.0.249
Config des Clients:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXX
Address = 198.51.100.1/32
DNS = 172.16.0.2
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 172.16.0.0/18
Endpoint = XXX.XXX.XXX.XXX:4445
Bei route print gibt es folgende Ausgabe:
172.16.0.0 255.255.192.0 Auf Verbindung 198.51.100.1 5
Ping auf 172.16.0.249 klappt, andere IPs im Netz 172.16.0.x nicht erreichbar
Logged
fvonderhoeh
Newbie
Posts: 17
Karma: 1
Re: Wireguard
«
Reply #7 on:
March 18, 2020, 11:05:17 pm »
Wie mimugmail bereis geschrieben hat, die Clients im Firmennetzwerk benötigen entweder die OPN als GW oder eine Route zu 192.168.100.x/24 über 172.16.0.249 - wenn ich deine Daten richig interpretiert habe.
Logged
DauerFest
Newbie
Posts: 8
Karma: 0
Re: Wireguard
«
Reply #8 on:
March 18, 2020, 11:45:34 pm »
OK, das war es!
Weshalb das bei dem Gespann LANCOM/IPSEC kein Problem ist, wenn das Defaultgateway nicht der Router mit dem VPN-Tunnel ist, weiß ich nicht.
War aber so bequem, weil nicht der ganze Traffic der Firma auch noch über den Router ging, der das VPN abwickelte.
Danke nochmal
Axel
Logged
DauerFest
Newbie
Posts: 8
Karma: 0
Re: Wireguard
«
Reply #9 on:
March 19, 2020, 11:55:44 am »
Update:
mit dem default gateway ist es etwas komplex, da wir in einer AD-Domäne arbeiten. Also in Kürze:
- lokale IP des OPNservers (172.16.0.249) im Windows Server -> DHCP-Rolle als Router eingetragen
- Da der Domaincontroller/DHCP-Server/DNS-Server eine statische IP hat, eine permanente Route auf das Subnetz des Tunnels eingetragen:
route add 198.51.100.0 MASK 255.255.255.255.0 172.16.0.249 -P
Das ganze könnte man natürlich umgehen, wenn die einzelnen Tunnel auf Adresse im lokalen Netzwerk (198.51.100.X -> 172.16.X.X) im OPN übersetzt werden könnten. Geht das? Ist das evtl. die Endpoint Address?
Außerdem noch ein dickes Problem: Wie kann ich der Verbindung beim HomeOffice Warrior einen DNS-Suffix geben?
Ich bastel aus den Erfahrungen mal ein HowTo, da Coronal bedingt sich z.Zt. viele damit beschäftigen müssen...
Axel
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: Wireguard als Corona VPN - Probleme
«
Reply #10 on:
March 19, 2020, 02:46:22 pm »
wenn du dein howto fertig hast (bitte mit bildern, wo was eingetragen wird). bitte eine info.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Wireguard als Corona VPN - Probleme
«
Reply #11 on:
March 19, 2020, 04:33:11 pm »
Jo, immer her damit, ich verlinke es dann auch gern bei mir
https://www.routerperformance.net/opnsense/opnsense-and-wireguard/
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wireguard als Corona VPN - Probleme