OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!

[Stephan1984]

Moin Moin,

nachdem nun eine Woche rum ist und ich immer noch vor meinem Problem stehe (leider haben keine Foreneinträge/Guides geholfen), frag ich nun verzweifelt in die Runde.

Problem/IST-Zustand:

* Die OPNsense ist direkt hinter einem VDSL2-Modem von Zyxel und dahinter sind 1 FritzBox & 1 FritzRepeater,
   jeweils als AccessPoint (natürlich auch mit WLAN)

* Internet & Festnetztelefone (Telekom) funktionieren tadellos

* Eine WireGuard Instanz zu meinem VPN-Anbieter TorGuard ist nach dieser Anleitung eingestellt
   https://forum.opnsense.org/index.php?topic=21205.0

   & funktioniert nach dieser auch angewendet auf einen einzelnen Client (RasPi), der im LAN   
   (OPNsense->FritzBox->RasPi) 192.168.1.0/24 hängt

Mein Problem:

Ich erreiche den auf dem RasPi (und natürlich bei dem TorGuard/VPN-Anbieter geöffneten Port) meinen WebServer nicht.
Meine Logs werde ich später noch hinzuposten, aber es scheint so, dass der RasPi nicht in den Tunnel nach Außen erreichbar ist.

Wäre stark wenn ihr mir weiterhelfen könnt.
Ich geh stark davon aus, dass es lediglich eine Firewall-Regel ist, die hier fehlt.

Danke schon mal für Lösungsansätze oder vielleicht sogar die ganze Kuh...

[lfirewall1243]

Mach Mal bitte einen grafischen Netzwerkplan.
Ich verstehe noch nicht ganz von wo nach wo der Raspi nicht erreichbar ist.

[chemlud]

Wenn WireGuard auf dem Raspi läuft und der Tunnel steht, braucht die OPNsense eigentlich keine weiteren Regeln auf dem LAN, denn sie sieht den Traffic nicht, der als reply vom Raspi in den Tunnel geht (die Antwort geht direkt auf dem Raspi in das WG Interface).

Kannst du denn von dem Raspi durch den WG-Tunnel das www erreichen?

[Stephan1984]

Das ging fix mit dem Feedback, hätte ich nicht gedacht. 

Jetzt bin ich wieder vor Ort und kann mich voll drauf konzentrieren.
Hier nun auch ein "Netzwerkplan" (nicht schön, aber selten).

Der Raspi bekommt den VPN-Tunnel von der OPNsense zugewiesen und erzeugt ihn nicht selbst.

PS:

Zum Testen habe ich meinen Laptop auch in der Alias unter Firewall eingetragen, wodurch der natürlich auch mit im Tunnel nach Außen kommuniziert.
Das musste ich nun umstellen, da ich gemerkt habe, dass ich das Bild des "Netzwerkplans" nicht hochladen konnte...

[Stephan1984]

Hier eine Aufnahme der Liveansicht der Protokolldateien.

Es handelt sich beim Raspi tatsächlich um den Port 35953
und die IPs die zugreifen wollen sind externe Clients.
Die 10.13.128.89 ist die TorGuardInterfaceAdresse

[Stephan1984]

Die detaillierte Regelinformation betitelt die Standard Deny Regel

[Tigerl]

Ich bin mir nicht sicher, aber ich glaube gelesen zu haben, daß die fritzbox kann nur wlanaccess kann.
Das heißt der Pi kann nur über wlan, wenn Du wlanaccess betreibst.
Besser wäre firewall zu switch, switch kabel fritzbox als wlanaccess, switch pi, oder pi wlan.
https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html

Ps.: Nimm mal die fritzbox zwischen raus

[chemlud]

Also du machst WG von der OPNsense. Das ist ja schon mal neu... ;-)

Welche FW-Regeln hast du auf dem WireGuard Tab in der OPNsense?

Ich würde auch mal mit einem verkabelten Client direkt an der OPNsense probieren, da fällt der Fritz-AP als Fehlerquelle weg...

[Stephan1984]

Hallo Tigerl,

das hatte ich auch schon probiert und den Raspi direkt unten an den unmanaged Switch vor der OPNsense gehängt. Das Ergebnis bleibt das Gleiche.
Die FritzBox macht halt das WLAN im Wohnzimmer und ich hab u.a. den Raspi an einem der LANports angeschlossen.

OPNsense->unmanaged Switch->Fritzbox->Raspi (alles über Kabel verbunden)

PS: Wo finde ich denn im OPNsense die Default Deny Rule?

[chemlud]

PS: Wo finde ich denn im OPNsense die Default Deny Rule?

Gar nicht. Das bedeutet, dass es keine Regel gibt, die diesen Traffic erlaubt, daher wird er geblockt.

[Tigerl]

Die Lanports der Fritzbox sollten nicht mehr gehen.
Lan1 ist jetzt Wan Eingang - der Rest geht nur über Wlan.
Das hilft aber jetzt nicht bei VPN.

Hab's aber nicht ausprobiert.

[Stephan1984]

Hallo chemlud,

habe nun zusammen mit einem Kollegen die Regeln definiert und sie werden auch nicht mehr von der Firewall blockiert. Leider geht es ( auch nach einem Neustart der OPNsense) nicht, dass ich den Server auf dem Pi erreiche.

Zusätzlich wurde Wireshark angeschmissen, ergab aber leider kein Ergebnis, da er weder über WLAN, noch direkt über LAN (an der FritzBox angeschlossen) überhaupt den Traffic vom RasPi anzeigt. Lediglich die Kommunikation zum Laptop wurde ersichtlich.

Wie müsste denn, bzw. wo müsste denn eine Firewall-Regel eingesetzt werden, um von Lokal (dem RasPi) über den VPN-Tunnel nach Außen kommunizieren zu dürfen?

[Stephan1984]

@Tigerl:

bei der 7590 kann man den WAN-Eingang benutzen und hat somit im IP-Client Modus alle normalen LAN-Anschlüsse zur Verfügung.
Bin gerade selbst noch über LAN an der FritzBox dran, währendessen mein Handy über deren WLAN ins Internet geht.

[Stephan1984]

TESTUPLOAD

[Tigerl]

Ich habe auch die 7590.
Meine Aufteilung ist:
7590 Modem Telefon Wlan Lan Internet als Sicherheit
Lan 4 als Exposed Host opnsense als firewall - 16port switch - fritzaccesspoint 2400 per Kabel an den switch.
Der Exposed Host gibt mir die möglichkeit die firewall der fritzbox zu umgehen.
Ich habe also 2 Netzwerke. Das Fritzboxnetzwerk dient mir zur Sicherheit falls bein Rumspielen was schief geht.
Server Docker usw. laufen über nginx proxy manager.

Ps.: Hab dies hier noch gefunden.
https://forum.opnsense.org/index.php?topic=9348.0