OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • gelöst - wireguard endpoint lan subnet wg schnittstelle down
« previous next »
  • Print
Pages: [1] 2

Author Topic: gelöst - wireguard endpoint lan subnet wg schnittstelle down  (Read 4325 times)

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
gelöst - wireguard endpoint lan subnet wg schnittstelle down
« on: April 09, 2021, 08:08:49 am »
 Wenn ich einen Wireguard Server aufsetzte und dem Endpoint zb das LAN Subnetz unter allowed ips angebe, kommt die Schnittstelle nicht mehr hoch. Ich muss doch aber es darunter eintragen, damit die Pakete nicht verworfen werden und der Endpoint (client) in das Subnetz darf oder habe ich dein ein Verstädnnis Problem?

aktuellste Version opnsense 21.1.4

Über Anregungen freue ich mich!
« Last Edit: April 28, 2021, 08:12:34 am by wirehire »
Logged

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #1 on: April 09, 2021, 08:33:33 am »
Die Schnittstelle kommt nicht mehr hoch, weil dein WireGuard Server versucht Routen auf alle Allowed IP's der Endpoints anzulegen.
Die Route auf das LAN Subnetz des Servers gibts aber natürlich schon  :)

Richtig wäre es so:

- In der WireGuard Konfiguration des Servers gibst du unter Endpoint -> Allowed IP's nur die Transfernet IP's des Endpoints an, falls gewünscht auch das lokale LAN Segment *hinter* dem Endpoint.

- Das LAN Subnetz des Servers gehört unter Allowed IP's an die entsprechende Stelle in der Konfiguration des *Endpoint Routers*
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #2 on: April 09, 2021, 08:36:26 am »
Code: [Select]

      WAN / Internet      -----------------------------------------                  Cloudserver WG 10.1.1.1/32 (24)
            :
            :
            :
      .-----+-----.
      |  Fritzbox|   ---------       Fritzbox Netz 192.168.178.0/24
      '-----+-----'
            |
        WAN | IP
            |
      .-----+------.   
      |  OPNsense |    ---- WG 10.1.1.2/32  (24)
      '-----+------'   
            |
        LAN | 10.0.0.0/24

     
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #3 on: April 09, 2021, 08:39:24 am »
Hallo goodomens32,

danke für deine Antwort, das dachte ich mir schon, das sich die Routen beißen, weil die Route ja schon vorhanden ist.

 Auf dem cloudserver , habe ich unter allowed das lan Netz eingetragen (im peer).

Alos muss ich jetzt in der Sense nur das Transfernetz im Endpoint angeben?
Logged

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #4 on: April 09, 2021, 08:43:08 am »
In deinem konkreten Fall:

- In der OPNSense unter Endpoint -> Allowed IP's 10.1.1.1/32 + etwaiges Subnetz hinter "Cloudserver WG"
- Im Cloudserver WG unter Endpoint -> Allowed IP's 10.1.1.2/32 + 10.0.0.0/24
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #5 on: April 09, 2021, 08:44:22 am »

Cloudserver config:

Interface]
Address = 10.1.1.1/32
PrivateKey = 
PostUp = iptables -A  regeln
PostDown = iptables -D regeln
ListenPort = 51820


#SENSE
[Peer]
PublicKey =
Allowed IPs = 10.1.1.2/32, 192.168.178.0/24, 10.0.0.0/24


und in der Sense dann im Endpoint , reicht ein

allowed IPs= 10.1.1.0/24

für das Transportnetz?


Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #6 on: April 09, 2021, 08:46:32 am »
hallo goodomens42,

danke das klärt etwas im meinen Kopf. Für das Fritzbox Netz, muss ich da noch eine route in der FB anlegen für den Rückkanal?
Logged

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #7 on: April 09, 2021, 08:48:55 am »
Quote from: wirehire on April 09, 2021, 08:44:22 am
#SENSE
[Peer]
PublicKey =
Allowed IPs = 10.1.1.2/32, 192.168.178.0/24, 10.0.0.0/24

Die 192.168.178.0/24 wird nur funktionieren, wenn du in der Fritz!Box eine entsprechende Route via die OPNSense einträgst

Quote from: wirehire on April 09, 2021, 08:44:22 am
allowed IPs= 10.1.1.0/24

jo, oder auch einfach 10.1.1.1/32
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #8 on: April 09, 2021, 08:53:32 am »
super die route in der fb wäre dann:

10.1.1.0  255.255.255.0  gw  opnsense  wan ip?

(Transportnetz wireguard)
Logged

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #9 on: April 09, 2021, 01:09:00 pm »
Quote
10.1.1.0  255.255.255.0  gw  opnsense  wan ip?

Genau  8)
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #10 on: April 11, 2021, 06:47:40 pm »
Hallo goodmens42,

Ich wollte dir danke sagen, funktioniert !

Wenn ich jetzt zb einen client alles durch das wg Interface schicken möchte, dann würde ich das über eine NAT Outbound Regel machen? Wäre das der Korrekte weg, also alles was ins Internet geht, über wg.

Schnittstelle      Quelle               Quellport     Ziel      Zielport   NAt-Adresse
Wireguard         CLIENTPC/32        *               *          *              Wireguad Address


Würde man das so machen oder anders per route usw?

Danke und einen schönen Sonntag Abend!
Logged

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #11 on: April 11, 2021, 11:58:48 pm »
Routing und Outbound NAT sind zwei paar Stiefel, letzteres passiert erst, nachdem schon eine Routing Entscheidung getroffen wurde.
Was immer von deinem Client kommt, wird nur dann durch das WireGuard Interface geroutet, wenn die Zieladresse 10.1.1.1/32 ist.
Insofern klappt das nicht so, mit deiner Outboud NAT Regel.

Ich denke, was du willst sollte so gehen:

- Unter "Interfaces -> Assignments" aus dem wg0 Interface eine Schnittstelle machen
- Unter "System -> Gateways -> Single" ein neues Gateway auf dieser Schnittstelle erstellen, als "Far Gateway" markieren, "Upstream Gateway" nicht markieren und die IP 10.1.1.1 zuordnen
- Eine neue Firewall Rule für das Interface LAN erstellen mit Source "CLIENTPC/32", Destination "any" und dem im letzten Schritt erstellten Gateway
- Dafür sorgen, das der externe Wireguard Server unter 10.1.1.1 brav alles was kommt mit NAT ins Internet weiterroutet

Ist jetzt ohne Gewähr weil nicht ausprobiert und grob skiziert :)
Logged

wirehire

  • Full Member
  • ***
  • Posts: 113
  • Karma: 4
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #12 on: April 12, 2021, 08:13:48 am »
Hallo goodomens42,

Danke für die Erklärung! Also findet das NAT , nach Routing stand!

Zum Verständnis , wenn ich die Regel auf LAn setze, reicht das , das er alles drüber routet oder muss der client diese auch eingetragen haben? Und das Outbound NAT lasse ich dann komplett weg?

ich möchte , das der komplette ausgehende Traffic vom Client komplett durch die Wireguard Verbindung geht.

 
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #13 on: April 12, 2021, 09:59:14 am »
Nein.
Der Client muss als Gateway deine OPNsense haben, falls das nicht der Fall ist kannst du auch auf dem Client manuell eine Route hinterlegen, da es für den gesamten WebTraffic des Clients sein soll gehe ich aber von erstem aus. Da brauchst du dann nur die FW Regel

Ausgehendes NAT wird ja entweder dein Wireguard Server machen oder danach Modem, etc.
Solange die Routenden Geräte die lokalen Netze kennen brauchst du da auch kein Ausgehendes NAT
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

juere

  • Jr. Member
  • **
  • Posts: 90
  • Karma: 8
    • View Profile
Re: wireguard endpoint lan subnet wg schnittstelle down
« Reply #14 on: April 12, 2021, 10:26:26 am »
Quote from: wirehire on April 12, 2021, 08:13:48 am
Zum Verständnis , wenn ich die Regel auf LAn setze, reicht das , das er alles drüber routet oder muss der client diese auch eingetragen haben? Und das Outbound NAT lasse ich dann komplett weg?

Die Regel unter LAN sollte den gesamten ausgehenden Traffic von CLIENTPC/32 behandeln (dazu muss, wie lfirewall1243 schreibt der Client die OPNsense als Gateway haben), das Outbound-NAT lässt du (genau wie das lfirewall1243 auch schreibt) weg. Vor dem Übergang ins "Internet" muss bei IPv4 ge-NATed werden, aber das ist Aufgabe des WireGuard Servers 10.1.1.1, nicht die der OPNSense.
Logged

  • Print
Pages: [1] 2
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • gelöst - wireguard endpoint lan subnet wg schnittstelle down
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2