Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
« previous
next »
Print
Pages: [
1
]
2
Author
Topic: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!! (Read 5185 times)
Stephan1984
Newbie
Posts: 16
Karma: 0
OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
on:
March 27, 2021, 12:07:48 pm »
Moin Moin,
nachdem nun eine Woche rum ist und ich immer noch vor meinem Problem stehe (leider haben keine Foreneinträge/Guides geholfen), frag ich nun verzweifelt in die Runde.
Problem/IST-Zustand:
* Die OPNsense ist direkt hinter einem VDSL2-Modem von Zyxel und dahinter sind 1 FritzBox & 1 FritzRepeater,
jeweils als AccessPoint (natürlich auch mit WLAN)
* Internet & Festnetztelefone (Telekom) funktionieren tadellos
* Eine WireGuard Instanz zu meinem VPN-Anbieter TorGuard ist nach dieser Anleitung eingestellt
https://forum.opnsense.org/index.php?topic=21205.0
& funktioniert nach dieser auch angewendet auf einen einzelnen Client (RasPi), der im LAN
(OPNsense->FritzBox->RasPi) 192.168.1.0/24 hängt
Mein Problem:
Ich erreiche den auf dem RasPi (und natürlich bei dem TorGuard/VPN-Anbieter geöffneten Port) meinen WebServer nicht.
Meine Logs werde ich später noch hinzuposten, aber es scheint so, dass der RasPi nicht in den Tunnel nach Außen erreichbar ist.
Wäre stark wenn ihr mir weiterhelfen könnt.
Ich geh stark davon aus, dass es lediglich eine Firewall-Regel ist, die hier fehlt.
Danke schon mal für Lösungsansätze oder vielleicht sogar die ganze Kuh...
«
Last Edit: March 27, 2021, 12:12:17 pm by Stephan1984
»
Logged
lfirewall1243
Hero Member
Posts: 1386
Karma: 45
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #1 on:
March 27, 2021, 12:31:24 pm »
Mach Mal bitte einen grafischen Netzwerkplan.
Ich verstehe noch nicht ganz von wo nach wo der Raspi nicht erreichbar ist.
Logged
(Unoffial Community) OPNsense Telegram Group:
https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
chemlud
Hero Member
Posts: 2487
Karma: 112
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #2 on:
March 27, 2021, 01:36:49 pm »
Wenn WireGuard auf dem Raspi läuft und der Tunnel steht, braucht die OPNsense eigentlich keine weiteren Regeln auf dem LAN, denn sie sieht den Traffic nicht, der als reply vom Raspi in den Tunnel geht (die Antwort geht direkt auf dem Raspi in das WG Interface).
Kannst du denn von dem Raspi durch den WG-Tunnel das www erreichen?
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #3 on:
March 27, 2021, 03:36:25 pm »
Das ging fix mit dem Feedback, hätte ich nicht gedacht.
Jetzt bin ich wieder vor Ort und kann mich voll drauf konzentrieren.
Hier nun auch ein "Netzwerkplan" (nicht schön, aber selten).
Der Raspi bekommt den VPN-Tunnel von der OPNsense zugewiesen und erzeugt ihn nicht selbst.
PS:
Zum Testen habe ich meinen Laptop auch in der Alias unter Firewall eingetragen, wodurch der natürlich auch mit im Tunnel nach Außen kommuniziert.
Das musste ich nun umstellen, da ich gemerkt habe, dass ich das Bild des "Netzwerkplans" nicht hochladen konnte...
Logged
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #4 on:
March 27, 2021, 03:45:03 pm »
Hier eine Aufnahme der Liveansicht der Protokolldateien.
Es handelt sich beim Raspi tatsächlich um den Port 35953
und die IPs die zugreifen wollen sind externe Clients.
Die 10.13.128.89 ist die TorGuardInterfaceAdresse
Logged
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #5 on:
March 27, 2021, 03:50:38 pm »
Die detaillierte Regelinformation betitelt die Standard Deny Regel
Logged
Tigerl
Newbie
Posts: 3
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #6 on:
March 27, 2021, 04:11:52 pm »
Ich bin mir nicht sicher, aber ich glaube gelesen zu haben, daß die fritzbox kann nur wlanaccess kann.
Das heißt der Pi kann nur über wlan, wenn Du wlanaccess betreibst.
Besser wäre firewall zu switch, switch kabel fritzbox als wlanaccess, switch pi, oder pi wlan.
https://www.heise.de/tipps-tricks/FritzBox-als-Access-Point-nutzen-so-geht-s-4338684.html
Ps.: Nimm mal die fritzbox zwischen raus
«
Last Edit: March 27, 2021, 04:15:43 pm by Tigerl
»
Logged
chemlud
Hero Member
Posts: 2487
Karma: 112
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #7 on:
March 27, 2021, 04:17:55 pm »
Also du machst WG von der OPNsense. Das ist ja schon mal neu... ;-)
Welche FW-Regeln hast du auf dem WireGuard Tab in der OPNsense?
Ich würde auch mal mit einem verkabelten Client direkt an der OPNsense probieren, da fällt der Fritz-AP als Fehlerquelle weg...
«
Last Edit: March 27, 2021, 04:19:26 pm by chemlud
»
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #8 on:
March 27, 2021, 04:19:46 pm »
Hallo Tigerl,
das hatte ich auch schon probiert und den Raspi direkt unten an den unmanaged Switch vor der OPNsense gehängt. Das Ergebnis bleibt das Gleiche.
Die FritzBox macht halt das WLAN im Wohnzimmer und ich hab u.a. den Raspi an einem der LANports angeschlossen.
OPNsense->unmanaged Switch->Fritzbox->Raspi (alles über Kabel verbunden)
PS: Wo finde ich denn im OPNsense die Default Deny Rule?
Logged
chemlud
Hero Member
Posts: 2487
Karma: 112
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #9 on:
March 27, 2021, 04:22:24 pm »
Quote from: Stephan1984 on March 27, 2021, 04:19:46 pm
PS: Wo finde ich denn im OPNsense die Default Deny Rule?
Gar nicht. Das bedeutet, dass es keine Regel gibt, die diesen Traffic erlaubt, daher wird er geblockt.
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Tigerl
Newbie
Posts: 3
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #10 on:
March 27, 2021, 05:15:33 pm »
Die Lanports der Fritzbox sollten nicht mehr gehen.
Lan1 ist jetzt Wan Eingang - der Rest geht nur über Wlan.
Das hilft aber jetzt nicht bei VPN.
Hab's aber nicht ausprobiert.
«
Last Edit: March 27, 2021, 05:34:36 pm by Tigerl
»
Logged
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #11 on:
March 27, 2021, 05:42:09 pm »
Hallo chemlud,
habe nun zusammen mit einem Kollegen die Regeln definiert und sie werden auch nicht mehr von der Firewall blockiert. Leider geht es ( auch nach einem Neustart der OPNsense) nicht, dass ich den Server auf dem Pi erreiche.
Zusätzlich wurde Wireshark angeschmissen, ergab aber leider kein Ergebnis, da er weder über WLAN, noch direkt über LAN (an der FritzBox angeschlossen) überhaupt den Traffic vom RasPi anzeigt. Lediglich die Kommunikation zum Laptop wurde ersichtlich.
Wie müsste denn, bzw. wo müsste denn eine Firewall-Regel eingesetzt werden, um von Lokal (dem RasPi) über den VPN-Tunnel nach Außen kommunizieren zu dürfen?
Logged
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #12 on:
March 27, 2021, 05:44:07 pm »
@Tigerl:
bei der 7590 kann man den WAN-Eingang benutzen und hat somit im IP-Client Modus alle normalen LAN-Anschlüsse zur Verfügung.
Bin gerade selbst noch über LAN an der FritzBox dran, währendessen mein Handy über deren WLAN ins Internet geht.
Logged
Stephan1984
Newbie
Posts: 16
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #13 on:
March 27, 2021, 05:52:51 pm »
TESTUPLOAD
Logged
Tigerl
Newbie
Posts: 3
Karma: 0
Re: OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!
«
Reply #14 on:
March 27, 2021, 06:07:12 pm »
Ich habe auch die 7590.
Meine Aufteilung ist:
7590 Modem Telefon Wlan Lan Internet als Sicherheit
Lan 4 als Exposed Host opnsense als firewall - 16port switch - fritzaccesspoint 2400 per Kabel an den switch.
Der Exposed Host gibt mir die möglichkeit die firewall der fritzbox zu umgehen.
Ich habe also 2 Netzwerke. Das Fritzboxnetzwerk dient mir zur Sicherheit falls bein Rumspielen was schief geht.
Server Docker usw. laufen über nginx proxy manager.
Ps.: Hab dies hier noch gefunden.
https://forum.opnsense.org/index.php?topic=9348.0
«
Last Edit: March 27, 2021, 06:20:39 pm by Tigerl
»
Logged
Print
Pages: [
1
]
2
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPNsense WireGuard Firwall-/Outbound-Einstellungen - VERZWEIFLUNG!!!