wireguard routing problem

Started by bforpc, April 09, 2020, 03:36:33 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 09, 2020, 03:36:33 PM Last Edit: April 09, 2020, 03:43:42 PM by bforpc
Hallo Group,

meine letzte Hoffnung auf Hilfe, nach Tagelangen versuchen und Recherchen ;-)
Meine Wireguard Site-to-Site Verbindung funktioniert nicht wie gewünscht. Vorgegangen bin ich nach dieser Anleitung: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_Site-to-Site_einrichten
(inkl. Regeln)

Ich habe an 2 Standorten jeweils einen Proxmox mit einer virtuellen opnsense VM.
Die opnsense hat jeweils eine dedizierte NIC für die Verbindung ins WAN und eine fürs Intranet.

Standort A (WireGuard Server)
wan = (öffentliche IP)
lan = 192.168.1.101 / 24

Standort B (WireGuard Client)
wan = 192.168.10.2 ->Fritzbox 192.168.10.1 ->(öffentliche IP) - die Fritzbox reicht alles an die opnsense durch ("exposed Host")
lan = 192.168.2.102 / 24

Die allowed IP's sind jeweils das Netz der Gegenseite plus die Adresse des Tunnels (/32) der Gegenseite.

Die Verbindung kommt zustande. An der Konsole der opnsense (Standort B)  kann ich alle Rechner am Standort A erreichen.
Rechner am Standort B können keinen Rechner am Standort A erreichen.
Niemand vom Standort A kann irgendjemanden am Standort B erreichen.

Ein tcpdump auf der opnsense Konsole am Standort B und A bei einem Ping von einem Rechner am Standort B (192.168.2.1) an einen Rechner am Standort A (192.168.1.1) zeigt:
opnsense B:
Code Select
13:26:42.331828 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 1, length 64
13:26:43.331253 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 2, length 64

Der sendet raus, bekommt aber nichts zurück

opnsense  A:
Code Select
15:26:42.359330 IP 192.168.2.1 > 192.168.1.1: ICMP echo request, id 19012, seq 1, length 64
15:26:42.359527 IP 192.168.1.1 > 192.168.2.1: ICMP echo reply, id 19012, seq 1, length 64

Hier kommt also etwas an und wird zurück gesendet, jedoch kommt es bei der opnsense B nicht an.


Sende ich einen Ping von der Konsole der opnsense am Standort B, dann sieht der dump an der Konsole des Standortes A so aus:
Code Select

15:37:56.457657 IP 10.10.11.2 > 192.168.1.1: ICMP echo request, id 14660, seq 0, length 64
15:37:56.457704 IP 192.168.1.1 > 10.10.11.2: ICMP echo reply, id 14660, seq 0, length 64

Zu beachten: Hier kommt die PING Anfrage aus der Tunnel Adresse und wird dorthin wieder zurück gesendet.
Das Netz hinter der opnsense sendet aber wie oben zu sehen ist über die LAN Adresse. Das kann ja so nicht gehen.

Wo könnte der Fehler liegen?

Bfo
April 10, 2020, 09:05:38 PM #1
Prüfe doch mal unter Firewall->Log->Live View ob da was geblockt wird.
April 15, 2020, 08:17:16 AM #2
Nein. Nichts.

Bfo
May 28, 2020, 11:25:56 AM #3
Versuch doch mal auf beiden Seiten bei den allowed IP's die EIGENE Tunnel IP hinzuzufügen
May 28, 2020, 02:14:31 PM #4
Poste doch mal bitte deine WireGuard configure (natürlich ohne public/private keys (bitte als bild)


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
Print
Go Up Pages1
User actions