Wireguard Site2Site-Stabilität + Roadwarrior Setup

[Layer8]

Hallo zusammen,

habe zwei Telekom-DSL-Anschlüsse, beide 100/40Mbit, beide mit bridged Modems die laut Sync-Statistik stabile Leitungen haben und auch keine merkbaren Internetverbindungsprobleme (PPPoE-Reconnects oder ähnliches).

Beide Sites haben OPNsense als Router. Site 1 läuft virtuell in einer VMware-Umgebung, Site 2 bare metal auf einer PC Engines APU. Beide sites sind auf der aktuellen OPNsense-Version mit Wireguard 1.7-Plugin. Da ich den Tunnel erst seit ein paar Tagen installiert hab, kann ich nicht sagen ob es mit früheren Versionen besser lief.

Grundstäzlich funktioniert meine Wireguard Site2Site-Konfig, das heißt ich kann von beiden Sites Hosts auf der jeweils anderen Site erreichen. Irgendwann geht dann aber nix mehr durch den Tunnel und ich muss Wireguard disablen und wieder enablen, damit wieder was durch läuft.

Läuft Wireguard bei euch stabil? Habt ihr Ansätze, wie ich das debuggen kann?

Viele Grüße und danke für eure Hilfe.

[mimugmail]

Keepalives Intervall in Endpoints auf 5 stellen

[chemlud]

Ich habe auch einen 100/40 Anschuß beim Gilb mit einem Vigor 166 als Modem. Kein WG, sondern openVPN. Aber ich habe auch mehrfach am Tag den Eindruck, dass unterhalb einer neuen IP-Vergabe die Verbindung kurz zurückgesetzt wird.

[robgnu]

Hallo,

mit OpenVPN hatte ich bei einem Setup auch alle paar Tage bzw. Wochen ärger. Nach der Umstellung auf Wireguard mit einem Keepalive von 25 läuft es seit Monaten stabil. Daher würde ich diesen Vorschlag zunächst mal probieren: Keepalive auf einen Wert unter 60 stellen, ggf. etwas probieren.

Gruß

[Layer8]

Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?

[lfirewall1243]

Vielen Dank. Site2Site Scheint jetzt stabil zu laufen. Hab jetzt auf beiden Seiten den Keepalive auf 25 gesetzt. Scheint geholfen zu haben.

Was ich so gar nicht nicht ans laufen bekomme, ist die Roadwarriorkonfig auf einem Android Device (Samsung Note 9).

Vorgegangen bin ich unter Anderem nach der Anleitung:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Der Verbindungsaufbau steht. Ich seh auf der Sense die peers und die Handshakes.

Ich kann vom Handy aus:
- Die Interface-Adresse vom Wireguardserver pingen
- Das Interface-Adresse vom LAN-Interface der opnsense pingen
- einen Client der im LAN-Netz ist pingen

Umgekehrt kann ich vom PC oder der opnsense aus die Interface-Adresse vom Wireguardclient auf dem Android-Device pingen.

Vom Android Device kann ich auch das Webinterface von der opnsense über die IP des LAN-Interface aufrufen.

Ich bekomme vom Android-Device aber keinen Ping in Netze, die nicht direkt an der Sense angeschlossen sind. Das heißt ich kann vom Note 9 die sense von der zweiten site nicht pingen und auch nicht 1.1.1.1 oder 8.8.8.8.

Namensauflösung geht auch nicht vom Android Device.

Firewall -> Rules -> Wireguard hat einen Eintrag, der lautet:
IPv4 * * * * * *

Hat jemand eine Idee?

Weiß dein Client denn welche Netze alle über das Wireguard sollen?
Wahrscheinlich musst du noch 0.0.0.0 als Remote Netzwerk hinterlegen, damit auch alles darüber geroutet wird.

[Layer8]

Ja, der Client müsste alles über den WG-Tunnel schicken, weil 0.0.0.0/0 als Zielnetz hinterlegt ist.

Meine Konfig sieht so aus.

[Layer8]

Und so aufm Client.

[lfirewall1243]

Okay dann aktivere Mal das logging auf der OPNsense.

Kommt da im Liveview was während du einen Ping versuchst ?

[Layer8]

Das ganze sieht dann so aus wie im Anhang. Ich hab vom Handy aus 1.1.1.1 und 10.1.1.101 gepingt - und eigentlich auch 10.1.1.233 (was die LAN-IP von der Sense ist), was aber nicht auftaucht.

Pong kam bei allen außer 1.1.1.1.

[Layer8]

Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

[mimugmail]

Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ein INterface kann man schon immer assignen .. wie kommst du darauf?

[kosta]

Seit Wireguard 1.7 kann man ja scheinbar ein Interface auf wg0 etc. assignen. Das war wohl mit 1.6 nicht möglich bzw. notwendig.

Wofür ist dieses Assignement, wenn man dem WG-Server ja eigentlich unter "VPN -> Wireguard -> Local -> Tunnel Adress" schon eine IP zuteilt?

Ginge immer schon.
Das habe ich mich schon immer gefragt.

[Layer8]

Stimmt, hab mich geirrt und den Changelog-Eintrag bei v1.7 falsch in Erinnerung gehabt.

Die Frage dahinter und mein Problem bleiben. :-/

[kosta]

Ja, Changelog war für mich auch unklar. Da mein WG Setup eh funktioniert, habe ich dem wenig Aufmerksamkeit geschenkt, aber immerhin tät mich interessieren was mit 1.7 anders ist. Lt. Changelog sollte der zusätzliche Interface nicht notwendig sein. Ist aber...?