Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen

[opnboi]

Ups, der Vigor fehlt ja zwischen OPNsense und WAN - wird geändert :)

[Gauss23]

Danke für die Antwort, ich möchte aber nicht, dass die FritzBox die Verbindung aufbaut - wozu habe ich mir denn dann den Vigor 165 gekauft?

Es ist doch quasi richtig eingerichtet und läuft auch alles, bis eben zu diesem "Schluckauf" den gilt es zu beseitigen...

Vom Vigor hast Du bisher nichts erzählt und steht auch nichts im Netzwerkplan.
Ist der im Bridge-Mode?

Du sagtest doch, dass es schon mal funktioniert hat. Hilft ein Reboot der OPNsense kurzzeitig? Du kannst Dir die installierten SPD unter VPN: IPsec: Security Policy Database anzeigen lassen. Fehlt das Netzwerk da?

[opnboi]

Jap sorry, hatte den Vigor im Netzwerkplan vergessen - ist jetzt aber drin und auch hier in dem Post mit angehangen.

Der Vigor läuft im FullBridge Modus - also nur als "dummes" Modem...


Genau, es funktioniert eine ganze Weile, bis es zu diesem omiösen "Schluckauf", wo der Zugang zum Internet für die Clients quasi ausfällt. Nach einem Reboot der OPNsense geht es erstmal wieder...

VPN: IPsec: Security Policy Database schaut momentan so aus --> Anhang VPN_SPD.png

Momentan klappt der Zugriff via WireGuard auch wie gewünscht...

[Gauss23]

Dann schau doch bitte nochmal wenn es nicht mehr geht, ob sich die Ansicht ändert.

[opnboi]

Hätte ich nach deinem Hinweis mit dem SPD-Reiter auch gemacht :)

Nun heisst es warten  8)

Vermute aber mal ganz stark, dass der zweite Eintrag dann verschwunden ist...

Aber fällt dann kurzzeitig gleich das ganze DNS aus?
Ist im Unbound was falsch konfiguriert?

[lfirewall1243]

Hätte ich nach deinem Hinweis mit dem SPD-Reiter auch gemacht :)

Nun heisst es warten  8)

Vermute aber mal ganz stark, dass der zweite Eintrag dann verschwunden ist...

Aber fällt dann kurzzeitig gleich das ganze DNS aus?
Ist im Unbound was falsch konfiguriert?

Auf welcher Version bist du

Bei 20.7.x gab es meine ich Mal Unbound Probleme

[Gauss23]

Hast Du für WireGuard ein Interface unter Interfaces: Assignments angelegt? Wenn ja, evtl mal mit "Prevent interface removal" testen. Vielleicht klappt ja kurz die WireGuard Verbindung zusammen und das Interface verschwindet kurz. Damit dann vielleicht auch die Routen dahin...nur so ein Gedanke.

[opnboi]

Auf welcher Version bist du

Bei 20.7.x gab es meine ich Mal Unbound Probleme

21.1.1 - die OPNsense wurde letzte Woche sauber mit 21.1 aufgesetzt...

Hast Du für WireGuard ein Interface unter Interfaces: Assignments angelegt? Wenn ja, evtl mal mit "Prevent interface removal" testen. Vielleicht klappt ja kurz die WireGuard Verbindung zusammen und das Interface verschwindet kurz. Damit dann vielleicht auch die Routen dahin...nur so ein Gedanke.

Angelegt ja, aber nur um den kompletten Traffic zu tunneln, wie hier beschrieben:

https://wiki.opnsense.org/manual/how-tos/wireguard-client.html#step-2c-assignments-and-routing

Interface ist auch nicht aktiv (sehe also keinen separaten Eintag unter Firewall/Rules) und vorm Löschen geschützt...

[opnboi]

So, das Problem ist wieder da, seit wann weiss ich nicht, der Hänger war vermutlich nachts...

Der Eintrag unter "VPN: IPsec: Security Policy Database" ist noch vorhanden...

Sehr merkwürdig :o

[opnboi]

Mittlerweile wird nicht mal mehr der IPsec-Tunnel aufgebaut, selbst nach Reboot der OPNsense...

€dit:

Nach Reboot der FritzBox steht der IPsec Tunnel wieder und der Traffic aus dem WireGuard geht auch erstmal wieder über den IPsec Tunnel - erstmal ;D