[SOLVED] Routing in einem site2site wireguard tunnel

[skydiablo]

moin, folgender aufbau:

Code: [Select]

+---------+
| SERVER 1|
+---------+
   |10.50.0.7
   |
   |LAN 10.50.0.0/24
   |
   |10.50.0.114
+--------------+
|OPNsense 1    |
+---+----------+
    |       |10.90.0.4
    |WAN    |
    |       |
    |       |Wireguard
    |       |VPN
    +       |10.90.0.0/24
INTERNET    |
   +        |
   |        |
   |        |
   |WAN     |
   |        |10.90.0.1
 +-+--------+
 |OPNsense 2|
 +----------+
     |192.168.90.0.1
     |
     |LAN 192.168.90.0/24
     |
     |
 +---+-----+
 | SERVER 2| 192.168.90.50
 +---------+

server 1 will server 2 erreichen. aktuell geht es nicht, kann kein ping von server 1 zu server 2 absetzen. setze ich den gleichen ping vom OPNsense 1 ab und gebe das wireguard interface als source an, geht der ping durch. gebe ich das LAN interface an, geht es nicht.

routing auf OPNsense 1 schaut so aus:

Code: [Select]

Proto Destination Gateway Flags Use MTU Netif Netif (name) Expire
ipv4 default 10.99.0.1 UGS 8852 1500 em0 wan
ipv4 10.50.0.0/24 link#2 U 1770 1500 em1 lan
ipv4 10.50.0.114 link#2 UHS 0 16384 lo0 Loopback
ipv4 10.90.0.0/24 wg0 US 0 1420 wg0 s2s
ipv4 10.90.0.1/32 wg0 US 0 1420 wg0 s2s
ipv4 10.90.0.4 link#8 UH 0 1420 wg0 s2s
ipv4 10.99.0.0/24 link#1 U 66252 1500 em0 wan
ipv4 10.99.0.10 link#1 UHS 0 16384 lo0 Loopback
ipv4 10.99.0.11 link#1 UHS 0 16384 lo0 Loopback
ipv4 127.0.0.1 link#5 UH 48 16384 lo0 Loopback
ipv4 192.168.90.0/24 wg0 US 12 1420 wg0 s2s

firewall rules auf dem OPNsense 1 habe ich für das LAN & s2s interface mal jeweils ein in und out wildcard rule gesetzt, damit sollte hier nichts im wege stehen.

auf dem server 1 habe ich eine entsprechende route gesetzt:

Code: [Select]

# ip route
default via 10.10.10.1 dev vmbr0 proto kernel onlink
10.10.10.0/24 dev vmbr0 proto kernel scope link src 10.10.10.53
10.50.0.0/24 dev vmbr50 proto kernel scope link src 10.50.0.7
10.90.0.0/24 via 10.50.0.114 dev vmbr50
100.64.0.0/24 dev vmbr1 proto kernel scope link src 100.64.0.53
192.168.90.0/24 via 10.50.0.114 dev vmbr50

das s2s interface erreiche ich vom server 1 aus:

Code: [Select]

# ping 10.90.0.4
PING 10.90.0.4 (10.90.0.4) 56(84) bytes of data.
64 bytes from 10.90.0.4: icmp_seq=1 ttl=64 time=0.656 ms
64 bytes from 10.90.0.4: icmp_seq=2 ttl=64 time=0.543 ms
64 bytes from 10.90.0.4: icmp_seq=3 ttl=64 time=0.444 ms
^C
--- 10.90.0.4 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 47ms
rtt min/avg/max/mdev = 0.444/0.547/0.656/0.090 ms

aber das remote s2s interface nicht mehr:

Code: [Select]

# ping 10.90.0.1
PING 10.90.0.1 (10.90.0.1) 56(84) bytes of data.
^C
--- 10.90.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 13ms

geschweige denn das eigentliche ziel:

Code: [Select]

# ping 192.168.90.50
PING 192.168.90.50 (192.168.90.50) 56(84) bytes of data.
^C
--- 192.168.90.50 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 139ms

ist sicherlich was ganz triviales  , aber irgendwie macht es nicht click bei mir?! bin für jeden tip dankbar!

grüße,
volker.

EDIT1:

ein packed capture zeigt dass der ping am LAN & s2s interface vom OPNsense 1 vom server 1 ankommt, dann kann ich den ping nicht mehr sehen, am OPNsense 2 kommt am s2s interface nichts mehr an:

Code: [Select]

# OPNsense 1 - s2s interface, gibt aber kein response hier drauf...
Interface Capture output
s2s
wg0 08:11:53.865945 IP 10.50.0.7 > 192.168.90.50: ICMP echo request, id 64372, seq 427, length 64


[Gauss23]

Allowed IPs sind aber richtig konfiguriert in den WireGuard Endpoints?

Die Routen hast Du manuell gesetzt?

Hast Du Dich an einem Tutorial orientiert?

Hier wäre eins:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_Site-to-Site_einrichten

[micneu]

sowas ähnliches wollte ich auch fragen
1. bitte mal die konfig deiner firewall regel im wireguard interface (screenshot)
2. bitte die konfig deines wireguard servers und client (screenshot)

[skydiablo]

okay, super vielen dank für eure hilfe! einfach nochmal alles ganz in ruhe schritt für schritt durch gehen hat den gewünschten erfolg gebracht. ich hatte auf der OPNsense 2 seite im wireguard allowed IPs nicht das remote-LAN netz (10.50.0.0/24) eingetragen, sondern das wireguard netz (10.90.0.0/24) (warum auch immer )!

vielen herzlichen dank!