Mit Wireguard-Client im Internet surfen

[guest23716]

Ein wenig kenne ich mich schon aus.
Ich hatte mal Wireguad separat auf einem kleinen Debian Server laufen.
Das hat sehr gut geklappt.

Ich frage mich gerade, warum die Antwort so schwierig zu sein scheint. :-)
Wireguard gilt doch als einfach zu installierendes VPN ...

Was mein Anliegen ist, wird eigen schon im ersten Schreiben deutlich ;-)

[mimugmail]

Das der Bauer nicht schwimmen kann muss nicht an der Badehose liegen.

Alle, inklusive dir, raten hier nur.

Also bitte Screenshots von

OPN: local instance, endpoint, outbound nat, assigned ifs, Gateways
Client: wg config

[guest23716]

O, jetzt wird es respektlos und beleidigend.
Ich komme von pfsense, weil die Community von OPNsense als freundlich gilt - bist Du die eine Ausnahme?

Ich frage mal bei administrator.de
Vielleicht können die mir weiter helfen ;-)

Aber danke für Deine Zeit.
Ich habe gelernt, dass ich betonen muss, dass meine Installation zu Hause steht.

[Gauss23]

Wow da ist ja jemand zart besaitet.

Auch wenn Du das vermutlich nicht mehr liest:
Deine Angaben waren eben sehr widersprüchlich. Daher hat mimugmail das einzig richtige getan und Dich nach den Fakten gefragt, was ich vielleicht von Anfang an hätte tun sollen.

Was mein Anliegen ist, wird eigen schon im ersten Schreiben deutlich ;-)

Steht in Widerspruch zu:

Ziel:
Mit Wireguard-Client im Internet surfen

Was bisher läuft:
Ich habe nach dieser Anleitung Wireguard unter OPNsense installiert:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Der Tunnel wird aufgebaut und ich kann mit meinem Client (Smartphone) meine Server zu Hause erreichen, was schon mal sehr schön ist.

Problem:
Ich kann nicht mit dem Client im Internet surfen.

Wahrscheinlich wurde die Frage hier schon beantwortet, aber meine Suche ergab leider keinen Erfolg. Für einen Tipp oder einen weiter führenden Link wäre ich dankbar.

Vielen Dank schon mal

Das fett gedruckte liest sich leider so, als ob Du Dich von außen mit einem Endgerät zu Deiner OPNsense verbindest und Deine Server zu Hause erreichen kannst. Nur eben das Surfen ging nicht. Daher mein Hinweis auf fehlende NAT Regel auf dem WAN Interface, damit eben auch Pakete aus dem WireGuard VPN über die sense ins Internet geführt werden.

Und dann postest Du:

Hallo,

entschuldige, ich arbeite mich gerade in die Themen Opnsense und Wireguard ein.
Deshalb ist für mich vieles nicht selbstverständlich.

Nein, das hast Du richtig verstanden :
Ich möchte mit einem Client zu Hause über meine Opnsense mit Hilfe von Wireguard surfen.

Und mir sind die Einstellungen nicht klar.
Deshalb wäre ich dankbar, wenn man mir eine eindeutige Antwort geben könnte
(also eine, die idiotensicher ist :-)

Also nix mit Client von außen, sondern ein Client, der schon in Deinem Netz ist und dieser soll eine WireGuard Verbindung von einem anderen Dienstleister nutzen. Was hat das mit dem Ausgangsposting zu tun? Du vermischst hier Themen und rennst dann heulend weg, weil wir nach Fakten fragen?

Viel Erfolg bei administrator.de. Vielleicht schilderst Du denen Dein Problem mal strukturiert.

[guest26304]

Kommentare zur Person haben in einem solchen öffentlichen Forum meiner Meinung nach nichts zu suchen.
Die kann man seinem persönlichen Tagebuch anvertrauen (wenn man da ein dringendes Bedürfnis verspürt) ;-)

Um denen einen Denkanstoß zu geben, die evtl. vor dem gleichen Problem stehen, wie ich stand, möchte ich meine Lösung als Denkanstoß hier geben:

Es musst tatsächlich zu den oben bereits zitierten Lösung von "Krenn":
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

... eine NAT > Outbound   Regel erstellt werden und
einen Eintrag in Services > Unbound > Access Lists
um über die VPN_Verbindung mit einem Client um Internet zu surfen.

Code: [Select]

[Wireguard und OPNsense

Wireguard Plugin installieren
System > firmware > Plugin
> os-wireguard installieren

Wireguard Local konfigurieren
Dashboard neu laden, damit der Wireguard Eintrag unter VPN angezeigt wird
VPN > Wireguard > Local
> +
> Name: OPNsense
> Listen Port: 51820
> DNS Server: 192.168.1.1   # Adresse der Firewall
> Tunnel Address: 10.11.0.1/24, fd42:42:42::1/64

> save
> unter: bearbeiten ist zu sehen, dass der private und öffentliche Schlüssel generiert wurde

Wireguard Client (z.B.: Smartphone) konfigurieren
> Wireguard-App installieren
> +
> Neu Erstellen
> Name: xiaomi
> Adressen: 10.11.0.2/24, fd42:42:42::2/64
> DNS-Server 10.11.0.1
> MTU: 1420   # bei ipv6 mindestens 1280

> gedrehter Pfeil: privater und öffentlicher Schlüssel werden generiert

> Teilnehmer hinzufügen
> öffentlicher Schlüssel: > öffentlicher Schlüssel vom Server (unter: Local) <
> Endpunkt: dyndns:51820
> Erlaubte IPs: 0.0.0.0/0, ::/0

Firewallregel WAN
Firewall > Rules > WAN
> +
> Action: Pass
> TCP/IP Version: IPv4+IPv6
> Protocol: UDP
> Source: any
> Destination: WAN adress
> Destination port range: (other) > 51820 > from + to
> Description: Allow Wiregard Traffic

> save > Apply

Wireguard Endpoint konfigurieren
> VPN > Wireguard > Endpoints
> Name: xiaomi
> Public Key: > öffentlicher Schlüssel vom Client (Smartphone) <
> Allowed IPs: 10.11.0.2/32, fd42:42:42::2/128

> save

ACHTUNG:
unter: VPN > Wireguard > Local
> bearbeiten
> Peers: xiaomi (s.o.)   # angelegten Endpoint hier anwählen

> save

Wireguard enablen
> VPN > Wireguard > General
> enable: Haken setzen

> save

Firewallregel Wireguard
> vorher WAN-Regel „bearbeiten“ ohne etwas zu ändern > save > Apply   
# dann erscheint unter Firewall > Rules > Wireguard

IPv4
Firewall > Rules > Wireguard
> +
> Action: Pass
> Interface: WireGuard
> TCP/IP Version: IPv4
> Protocol: any
> Source: Wireguard net   # oder: Single host or network > 10.11.0.0/24
> Destination: any
> Destination any
> Description: Allow Wiregard Traffic

> save > Apply

IPv6  # Regel kann kopiert werden und nur auf IPv6 ändern
Firewall > Rules > Wireguard
> +
> Action: Pass
> Interface: WireGuard
> TCP/IP Version: IPv6
> Protocol: any
> Source: Wireguard net
> Destination: any
> Destination any
> Description: Allow Wiregard Traffic

> save > Apply

siehe:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Firewallregel: Outbound NAT

IPv4
Firewall > NAT > Outbound
    • Hybrid outbound NAT rule generation
      > save > Apply

    • Add

      > Interface: WAN
      > TCP/IP Version: IPv4
      > Protocol: any
      > source address: Wireguard net

      > alles andere: any

      > save > Apply

IPv6   # Regel kann kopiert werden und nur auf IPv6 ändern
Firewall > NAT > Outbound
    • Hybrid outbound NAT rule generation
      > save > Apply

    • Add

      > Interface: WAN
      > TCP/IP Version: IPv6
      > Protocol: any
      > source address: Wireguard net

      > alles andere: any

      > save > Apply

Access Liste konfigurieren
IPv4
Services > Unbound DNS > Access Lists

> +   Add

> Access Lis Name: Wireguard
> Action: Allow
> Networks: 10.11.0.0/24

> Description: Allow Wireguard DNS IPv4

IPv6
Services > Unbound DNS > Access Lists

> +   Add

> Access List Name: Wireguard
> Action: Allow
> Networks: fd42:42:42::0/64

> Description: Allow Wireguard DNS IPv6

... das sind jetzt nur Stichpunkte, man muss sicherlich im Thema sein, um diese zu verstehen.
Wer sich allerdings länger mit dem Thema Wireguard beschäftigt und sich die ausführlich Anleitung bei "Krenn" ansieht, wird hier schnell die Anregungen verstehen und diese auf sein "Setting" anpassen können.