Wireguard Site2Site-Stabilität + Roadwarrior Setup

Started by Layer8, June 22, 2021, 10:43:37 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
June 22, 2021, 10:43:37 PM Last Edit: June 24, 2021, 08:36:57 PM by Layer8
Hallo zusammen,

habe zwei Telekom-DSL-Anschlüsse, beide 100/40Mbit, beide mit bridged Modems die laut Sync-Statistik stabile Leitungen haben und auch keine merkbaren Internetverbindungsprobleme (PPPoE-Reconnects oder ähnliches).

Beide Sites haben OPNsense als Router. Site 1 läuft virtuell in einer VMware-Umgebung, Site 2 bare metal auf einer PC Engines APU. Beide sites sind auf der aktuellen OPNsense-Version mit Wireguard 1.7-Plugin. Da ich den Tunnel erst seit ein paar Tagen installiert hab, kann ich nicht sagen ob es mit früheren Versionen besser lief.

Grundstäzlich funktioniert meine Wireguard Site2Site-Konfig, das heißt ich kann von beiden Sites Hosts auf der jeweils anderen Site erreichen. Irgendwann geht dann aber nix mehr durch den Tunnel und ich muss Wireguard disablen und wieder enablen, damit wieder was durch läuft.

Läuft Wireguard bei euch stabil? Habt ihr Ansätze, wie ich das debuggen kann?

Viele Grüße und danke für eure Hilfe.
June 23, 2021, 06:07:44 AM #1
Keepalives Intervall in Endpoints auf 5 stellen
June 23, 2021, 07:31:50 AM #2
Ich habe auch einen 100/40 Anschuß beim Gilb mit einem Vigor 166 als Modem. Kein WG, sondern openVPN. Aber ich habe auch mehrfach am Tag den Eindruck, dass unterhalb einer neuen IP-Vergabe die Verbindung kurz zurückgesetzt wird.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
June 23, 2021, 07:58:26 AM #3
Hallo,

mit OpenVPN hatte ich bei einem Setup auch alle paar Tage bzw. Wochen ärger. Nach der Umstellung auf Wireguard mit einem Keepalive von 25 läuft es seit Monaten stabil. Daher würde ich diesen Vorschlag zunächst mal probieren: Keepalive auf einen Wert unter 60 stellen, ggf. etwas probieren.

Gruß
June 24, 2021, 08:25:29 PM #4
Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?










June 25, 2021, 08:07:14 AM #5
Quote from: Layer8 on June 24, 2021, 08:25:29 PM
Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?
Weiß dein Client denn welche Netze alle über das Wireguard sollen?
Wahrscheinlich musst du noch 0.0.0.0 als Remote Netzwerk hinterlegen, damit auch alles darüber geroutet wird.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
June 25, 2021, 04:11:34 PM #6
Ja, der Client müsste alles über den WG-Tunnel schicken, weil 0.0.0.0/0 als Zielnetz hinterlegt ist.

Meine Konfig sieht so aus.
June 25, 2021, 04:12:24 PM #7
Und so aufm Client.
June 25, 2021, 04:21:47 PM #8
Okay dann aktivere Mal das logging auf der OPNsense.

Kommt da im Liveview was während du einen Ping versuchst ?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
June 25, 2021, 08:05:05 PM #9
Das ganze sieht dann so aus wie im Anhang. Ich hab vom Handy aus 1.1.1.1 und 10.1.1.101 gepingt - und eigentlich auch 10.1.1.233 (was die LAN-IP von der Sense ist), was aber nicht auftaucht.

Pong kam bei allen außer 1.1.1.1.



June 25, 2021, 08:12:30 PM #10
Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?
June 25, 2021, 09:22:07 PM #11
Quote from: Layer8 on June 25, 2021, 08:12:30 PM
Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ein INterface kann man schon immer assignen .. wie kommst du darauf?
June 26, 2021, 08:36:51 AM #12
Quote from: Layer8 on June 25, 2021, 08:12:30 PM
Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ginge immer schon.
Das habe ich mich schon immer gefragt.
June 26, 2021, 09:00:55 AM #13
Stimmt, hab mich geirrt und den Changelog-Eintrag bei v1.7 falsch in Erinnerung gehabt.

Die Frage dahinter und mein Problem bleiben. :-/
June 26, 2021, 09:03:37 AM #14
Ja, Changelog war für mich auch unklar. Da mein WG Setup eh funktioniert, habe ich dem wenig Aufmerksamkeit geschenkt, aber immerhin tät mich interessieren was mit 1.7 anders ist. Lt. Changelog sollte der zusätzliche Interface nicht notwendig sein. Ist aber...?
Print
Go Up Pages1 2
User actions