Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerke per Wireguard verbinden
« previous
next »
Print
Pages: [
1
]
Author
Topic: Netzwerke per Wireguard verbinden (Read 3486 times)
Z0idberg
Newbie
Posts: 11
Karma: 0
Netzwerke per Wireguard verbinden
«
on:
December 16, 2020, 11:56:28 pm »
Hallo zusammen,
ich bin schon seit einiger Zeit auf der Suche nach einer Lösung, aber bis jetzt hat nichts funktioniert. Daher wende ich mich an Euch mit der etwas verzweifelten Hoffnung auf Hilfe
Hier die Beschreibung des Problems
Ziel:
Zwei Netzwerke über Internet und Wireguard zusammenschalten und so es zu erlauben, dass man aus Netzwerk A auf Netzwerk B zugreifen kann und andersherum
Setup:
Netzwerk A:
OPNSense auf Proxmox incl. Wireguard-Plugin agiert als WG Server
IP Range für WG: 10.0.0.1/24
IP Range für Netzwerk: 192.168.178.0/24
Netzwerk B:
Raspberry Pi hinter Fritzbox als WG client
IP Range für Netzwerk: 192.168.2.0/24
Netzwerkadresse des Pi 192.168.2.49 und WG Adresse 10.0.0.5
OPNSense config:
Gateway ist 10.0.0.5 (der Pi im Netzwerk B) und als interface WG0
Static Route für 192.168.0.2/24 nutzt den Gateway
Outbound NAT (aktiviert und deaktiviert proviert): Source any mit interface und NAT Adress WG zu 192.168.2.0/24
WG Client config auf Raspberry Pi in Netzwerk B:
[Interface]
Address = 10.0.0.5/24
ListenPort = 51820
PrivateKey = xxx
DNS = 192.168.178.2, 192.168.2.1
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE; iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j A>
PostDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE; iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j>
[Peer]
PublicKey = xxx
AllowedIPs = 192.168.178.0/24, 10.0.0.0/24
Endpoint = xxx.dyndns.org:51820
PersistentKeepalive=25
Status und Problem:
Aus Netzwerk B kann ich Netzwerk A perfekt erreichen. Hier funktioniert alles wie es soll. Nur aus Netzwerk A kann ich Netzwerk B nicht erreichen. Ich kann auch einfach nicht nachvollziehen, ob die definierte Route überhaupt verwendet wird. Auch kann 10.0.0.1 (OPNSense in Netzwerk A) 10.0.0.5 (Pi in Netzwerk B, der den Gateway geben soll) erreichen, nur scheint OPNSense den nicht als Gateway zu verwenden.
Falls Ihr mehr Infos braucht, sagt gerne Bescheid.
Ich würde mich über jeden Input und jede Hilfe freuen!
Vielen Dank und viele Grüße
Thorsten
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Netzwerke per Wireguard verbinden
«
Reply #1 on:
December 17, 2020, 12:18:19 am »
Netzwerk B benutzt was als default Gateway? Ich nehme an die Antwortpakete aus Netzwerk B nehmen den falschen Weg. Von welchem Client hast du denn versucht von Netzwerk B auf A zuzugreifen? Du sagtest ja das ginge. Das war nicht zufällig der Pi?
Du bräuchtest auf der Fritzbox eine statische Route zu Netzwerk A und dem WireGuard Netz über den Pi als Gateway.
Logged
„The S in IoT stands for Security!“
Z0idberg
Newbie
Posts: 11
Karma: 0
Re: Netzwerke per Wireguard verbinden
«
Reply #2 on:
December 17, 2020, 12:01:15 pm »
Ich habe im Netzwerk B auf der Fritzbox eine statische Route eingerichtet: 192.168.178.0/24 geht durch den Pi (192.168.2.49) der es durch 10.0.0.5 zu 10.0.0.1 (OPNSense in Netzwerk A) routet.
Das klappt auch problemlos! Also in die Richtung ist alles super. Auch von jedem beliebigen Gerät des Netzwerks.
Nur andersherum: Netzwerk A zu Netzwerk B funktioniert nicht. Weder von irgend einem Gerät im Netzwerk oder nicht mal vom OPNSense selber.
Es scheint so zu sein, dass OPNSense die Route nicht richtig übernimmt. Wenn ich Traceroute 192.168.2.xx verwende geht es zum OPNSense und dann ist es tot. Er zeigt auch nicht, dass es überhaupt zu 10.0.0.5 geht, wie es eingestellt ist.
Hoffe das ist verständlich was ich hier so tippe
Logged
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: Netzwerke per Wireguard verbinden
«
Reply #3 on:
December 17, 2020, 12:34:23 pm »
Poste doch mal die Wireguard-Config Deiner OPNsense. Das mit dem Gateway und der Route sieht für mich nicht richtig aus. Das muss über die "allowed networks" in WireGuard gemacht werden, genau so wie auf der Seite mit dem Pi auch.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Z0idberg
Newbie
Posts: 11
Karma: 0
Re: Netzwerke per Wireguard verbinden
«
Reply #4 on:
December 17, 2020, 12:54:58 pm »
Anbei Screenshots von der Server-Config und dem Endpoint für den Pi.
Vielleicht noch zu den Allowed IPs: Wenn ich 192.168.2.0/24 auf dem Pi eingetragen hatte, war der Pi nicht mehr erreichbar aus dem lokalen Netzwerk, weil es wohl den Traffic zu 192.168.2.xx über WG geroutet hatte.
PS: Auf der Serverseite hatte ich Disable routes aktiviert und deaktiviert gehabt. Scheint keinen Einfluss zu haben.
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Netzwerke per Wireguard verbinden
«
Reply #5 on:
December 17, 2020, 06:05:48 pm »
WireGuard ist IPsec ähnlich. Es gibt in dem Sinne auch keinen "Server". Beide Seiten sind Peers.
Im Peer/Endpoint auf der OPNsense mal:
192.168.2.0/24, 10.0.0.0/24 bei Allowed-IPs eingetragen? Das wäre das Pendant zu Deiner Config auf dem Pi.
Logged
„The S in IoT stands for Security!“
Z0idberg
Newbie
Posts: 11
Karma: 0
Re: Netzwerke per Wireguard verbinden
«
Reply #6 on:
December 17, 2020, 07:01:49 pm »
Habe ich jetzt auch probiert. Ändert aber auch nix.
Gibt es denn einen guten Weg herauszufinden, ob er überhaupt die Route nutzt, die ich definiert habe?
Traceroute zeigt nur an, dass er über den OPNSense geht und dann ist die Verbindung tot.
Der Pi im Netzwerk B zeigt auch keinen eingehenden Traffic an. Die Firewall lässt alles raus.
Irgend eine Idee wie ich zumindest etwas weiter eingrenzen kann, woran es liegt?
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Netzwerke per Wireguard verbinden
«
Reply #7 on:
December 17, 2020, 08:11:07 pm »
Disable routes hast du aber wieder deaktiviert?
System:Route:Status mal posten. Ist dann die Route drin?
Hast du ein Interface assigned?
Logged
„The S in IoT stands for Security!“
Z0idberg
Newbie
Posts: 11
Karma: 0
Re: Netzwerke per Wireguard verbinden
«
Reply #8 on:
December 17, 2020, 08:53:39 pm »
Ja, habe den Haken hier wieder weg gemacht. Bzw. es sowohl mit als auch ohne probiert.
Kein Erfolg...
Was mit nur aufgefallen ist: Wenn ich meine eigene Route nach 192.168.2.xx deaktiviere und nur die von WG automatisch erstellte drin lassen, dann geht er über WAN Richtung 192.168.2.xx, was natürlich nicht klappt.
Also Interface assigned: Ich denke Du meinst beim Gateway, oder? Da habe ich WG assigned. Aber auch mal LAN probiert, aber dann war WG auf dem Rasperry Pi tot...
Logged
Z0idberg
Newbie
Posts: 11
Karma: 0
Re: Netzwerke per Wireguard verbinden
«
Reply #9 on:
December 21, 2020, 01:16:49 pm »
Ich bin nun ein gutes Stück weiter:
192.168.2.0/24 als allowed ip beim local endpoint in OPNSense und im Pi eingetragen.
Nun klappt das Routing erstmal wie es soll. Ich kann aus dem Netzwerk A auf das Netzwerk B nun auch zugreifen.
Jetzt kommt aber eine neue seltsame Sache:
Dienste zum Datenaustausch funktionieren nicht: rsync oder NFS Shares hängen nach kurzer Zeit (ein paar Sekunden).
Mal wieder gleiches Spiel: Aus Netzwerk B in Richtung Netzwerk A ist alles ok.
Irgend eine Idee? Firewall zeigt soweit ich das sehen kann nichts auffälliges. Auch geht ja die prinzipielle Erreichbarkeit der Dienste, nur scheint es sehr schnell einen Timeout zu geben...
Nochmal vielen Dank für Ideen
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Netzwerke per Wireguard verbinden