[Gelöst] Wireguard: Keine Verbindung

[Jens Falk]

Hallo,

wie im Thomas Krenn-Wiki beschrieben, habe ich Wireguard installaiert und konfiguriert:

https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der PublicKey des Client wurde bei Endpoints in PublicKey eingetragen.

Der PublicKey aus der Local Configuration steht im Client unter Peer

Weitere Einträge beim Client unter Peer

AllowedIps = 10.11.0.0/24, 172.16.0.0/24
Endpoint = meine ip:4445

unter Interface

Private Key
Adress = 10.11.0.20/32

Verwendet wird der Wireguard-Client. Vor OPNsense ist eine Fritzbox und OPNsense hat die IP 192.168.178.2. Auf der Fritzbox ist OPNsense vollständig freigeben, Exposed Host.

Ich habe die Konfiguration mehrfach überprüft.

Leider bekomme ich keine Verbindung ins Netz, was könnte das Problem sein?

Freundliche Grüße

Jens Falk

[Gauss23]

Bekommst Du irgendeine Fehlermeldung?

Ein gern gemachter Fehler ist, das Vergessen den Peer in der Local Config in der OPNsense zu aktivieren:
VPN: WireGuard
auf Local
den Eintrag editieren
bei Peers nachschauen, ob der Peer auch aktiviert ist.

Oder bedeutet Verbindung ins Netz, dass die WireGuard Verbindung aufgebaut wird, dann aber kein Verkehr läuft? Dann ist es was mit den Firewall Regeln. Falls Du per WireGuard allen Traffic ins Internet schieben willst, musst Du eine Outbound NAT Regel anlegen: WAN Interface, Source is das WG Netz

[Jens Falk]

Danke für die Antwort

Peer(s) wurde richtig ausgewählt und ist aktiv.
Ich gehe davon aus, dass keine Verbindung hergestellt wird, weil:

List Configuration zeigt nur:

interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 4445

peer: xxx
  allowed ips: 10.11.0.20/32

[Gauss23]

Auf dem WAN Interface ist Port 4445 aber freigegeben?
IPv4 UDP   *   *   WAN address   Port_WireGuard  4445 *   *

Und der Client kann dort wo er ist auch auf Port 4445 raustelefonieren?

[Jens Falk]

Genauso ist es!

Beim Client ist die FW aus (windows 10) und ich habe es mit zwei Notebooks getestet.

[mimugmail]

Screenshots von local instance und endpoint bitte :)

[Jens Falk]

Sehr gern.

[mimugmail]

Sofern die Keys passen siehts gut aus.
Am Endpoint selbst machst du dann 0.0.0.0/0 als allowed IPs?

[Jens Falk]

Nein, im Windows-Client ist

AllowedIPs = 10.11.0.0./24, 172.16.0.0/24 konfiguriert.

erreicht soll der Server 172.16.0.25. OPNsense hat selbst 172.16.0.1.

[mimugmail]

WireGuard Firewall ist auf accept? Siehst du die Pakete eingehend auf dem WG Interface ankommend?

[Jens Falk]

Ja, erlauben: IPv4 *    10.11.0.0/24    *    *    *    *    *    ermöglicht Wireguard Verkehr

Wo bzw. prüfe ich ob Pakete ankommen? Der windows-Client sagt 0 Traffic.

List Configuration zeigt nur:

interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 4445

peer: xxx
  allowed ips: 10.11.0.20/32

weder lates handshake, noch transfer

[Gauss23]

Auf dem WAN Interface die Regel, die den WireGuard Verkehr erlauben soll mit Logging ausstatten. Dann solltest Du im Live View die Pakete sehen.

[Jens Falk]

Vielen Dank an Euch!

Das Problem war, dass man auf der Fritzbox nicht nur Exposed Host aktivieren muss, sondern weiterhin "selbständige Portfreigaben ... erlauben" und dann muss man noch die Portfreigabe einstellen.

Dann habe ich das hier wohl falsch verstanden:

https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/016/hilfe_exposed_host

[weboba]

Hallo,
deine Lösung mit den zusätzlichen Freigaben in der Fritzbox hat mir geholfen. Ich hatte das gleiche Problem. Es muss aber an der kombination Fritzbox-Opnsense liegen. Ich hatte vorher openWRT an der Fritzbox, nur als exposed Host, und damit keine Probleme.
Was solls, jetzt läuft es. Danke.