Wireguard über PPPoE mit Vlan

Started by MenschAergereDichNicht, December 02, 2021, 11:36:21 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
December 06, 2021, 11:33:26 PM #15 Last Edit: December 08, 2021, 08:02:01 AM by MenschAergereDichNicht
Mein nächster Schritt wäre vermutlich Wireguard komplett zu entfernen und neu einzurichten.
Ich hatte die Konfiguration ja von meinem alten Router übernommen der hinter der Fritzbox hing.

Ich schrecke noch etwas davor zurück, weil ich die Regeln für das Interface nicht einzeln sichern kann.
Evtl. schaue ich mal ob ich die Regeln in der Backup-Datei finde. Dann könnte ich sie dort auch wieder eintragen.
December 06, 2021, 11:35:45 PM #16
Die Weiterleitung an das WG-Interface habe ich absichtlich noch nicht ausprobiert, weil Wireguard für mich aktuell kein kritischer Dienst ist und ich erstmal versuche das so hinzubekommen wie es meiner Meinung nach laufen sollte.
December 16, 2022, 11:33:51 PM #17 Last Edit: December 17, 2022, 12:07:25 AM by Hover
Hallo MenschAergereDichNicht!

Kurze Frage hast Du es noch hinbekommen? Ich habe scheinbar das gleiche oder ein ähnliches Problem.

Ich habe ein Wireguard Setup für die kleine Firma von einem Bekannten eingerichtet, ich habe es genauso gemacht wie hier in der Anleitung: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Allerdings erfuhr ich dann vor Ort, dass eine Telekom DSL Leitung mit einem DrayTek Vigor 130 zum Einsatz kommt. Hier kann man sich nur per PPPoE einwählen, wenn man für das WAN Interface ein VLAN mit dem Tag 7 anlegt. Das war mir vorher so nicht bewusst und hat mir mein remote Administrations-Konzept etwas zerrissen. Ich bekomme es auf absolut nicht hin eine Wiregurad Verbindung zur OPNsense aufzubauen. Erst dachte ich es liegt an meinen Firewall-Regeln (die müssten ja analog zur Anleitung sein nur eben für das angelegte VLAN statt dem WAN Interfacce) aber daran scheint es nicht zu liegen. Mit den MTUs hatte ich jetzt wegen deinem Posting auch noch mal probiert, derzeit habe ich auf dem pppoe-vlan 1492 und für WG 1432. Ebenso mit dem Hardware CRC offloading, das ich auch deaktiviert habe.

Aber wirkt alles nicht und ich sehe das Problem jetzt nicht so ganz.

LG
Hovy
December 17, 2022, 12:08:52 AM #18
Mittlerweile habe ich noch ein WG Interface für das von dem wireguard-go plugin angelegem Interface angelegt und hier einen Zugriff zu allen Netzen erlaubt (inkl. sich selbst) aber ich kann gar nicht erst eine Verbindung aufbauen.
December 17, 2022, 10:49:15 AM #19
@Hover, bitte mehr informationen
- bitte mal einen grafischen netzwerkplan
- bitte mal screenshots von deiner wireguard konfiguration (server/client)
- scrennshost deiner firewall regeln
- der telekom anschluß hat wirklich eine ipv4 und kein CGN (feste ip oder dyndns)?
hast du es mal alternativ mit openvpn versucht?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 19, 2022, 03:03:48 AM #20 Last Edit: December 19, 2022, 03:10:11 AM by Hover
Klar, gerne.

Ich bin im wesentlichen diesem Tutorial gefolgt: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten#

Ich habe bei mir zuhause selbst ein ähnliches Setup aber bei einem anderen Provider. In dem Fall um den es hier geht wird ein DrayTek Vigor 130 Modem zur Einwahl bei der Deutschen Telekom verwendet. Dafür musste ich leider ein VLAN für das WAN Interface anlegen das die VLAN ID 7 hat. Dadurch sind die Regel für WAN hier auf das VLAN Interface "DrayTekTKom" angewendet worden.

Netzplan
https://ibb.co/vh3LT6j

VLAN Interface für Telekom Einwahl
https://ibb.co/X32C1V8

WG Local Config
https://ibb.co/TRDbSnZ

WG Endpoint Config
https://ibb.co/6RDbqBY

Firewallregeln VLAN
https://ibb.co/cyLgBGs

Firewall Regeln WG Interface [mehr aus Verzweifelung weil ich keine Lösung finde]
https://ibb.co/NFBMqrx

Firewall Regeln WG (Group) [mehr aus Verzweifelung weil ich keine Lösung finde]
https://ibb.co/t3bSYk5

Firewall Regeln WAN [Als Test als ich keine Lösung fand]
https://ibb.co/98KGK6J

Das seltsame ist das ich noch nicht mal einen Handshake laut Wiregurad log kriege aber z.B. die ICMP Regel im WAN VLAN einwandfrei funktioniert wenn ich sie aktiviere. Ich wundere mich etwas da ich ein ziemlich ähnliches Setup hier zuhause habe und auch schon anderorts aufgesetzt habe. Aber noch nie auf einer Telekom Leitung, diese hat sogar eine statische IP und einen TLD subdomain der auf diese zeigt.

Auch die Client configs sind an sich jetzt nicht besonders.
Code Select
[Interface]
Address = 10.1.0.4/32
PrivateKey = [cut]

[Peer]
PublicKey = [cut]
AllowedIPs = 10.1.0.0/24, 192.168.59.0/24, 192.168.9.0/24
Endpoint = gw.domain.de:51820

In dem Thread hier ging es ja darum das es scheinbar ein Problem mit den CRC Checks oder den MTUs gibt bei Wireguard und einem ähnlichen Setup. Frage ist halt ob das hier ein Bug ist oder ich Tomaten auf den Augen habe.  Initial hatte ich es intuitiv genau so wie in dem oben geschriebenen Tutorial gemacht. Nur eben mit dem VLAN Interface von für das WAN. Kann es sein das es ein generelles Problem mit T-Kom Setup mit Vigor 130 Modem und Wireguard gibt?

Hovy

Edit: Mit OpenVPN habe ich es noch nicht probiert ich war jetzt erstmal irritiert warum es mit Wiregurad nicht geklappt hat.




December 19, 2022, 08:18:11 AM #21
Quote from: Hover on December 19, 2022, 03:03:48 AM
Kann es sein das es ein generelles Problem mit T-Kom Setup mit Vigor 130 Modem und Wireguard gibt?
Nein. Habe ich an mehreren Standorten am Laufen. Allerdings lasse ich immer den Vigor das VLAN Tag setzen.

Sonst kann ich an deiner Konfiguration jetzt auf den ersten Blick nichts Falsches erkennen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 21, 2022, 01:28:52 AM #22
QuoteAllerdings lasse ich immer den Vigor das VLAN Tag setzen.

Ahh, ich denke genau daran wird es liegen, dadurch ändert sich ja einiges an den Firewall-Regeln und soweit ich weiß ist das Wireguard-Go Plugin nur Userspace, das führt natürlich zu weiteren Einschränkungen.


Ich bin seit über 20 Jahren nicht mehr bei der Telekom und die Modems die ich bisher hatte, hatten alle immer direkt PPPoE unterstützt.

Könntest du mir vllt einen Screenshot machen wie du es konfiguriert hast in deinem Vigor 130? Nur um sicher zu gehen? Ich kann da leider gerade nur remote auf die Infrastruktur zugreifen und müsste dann vllt jemanden anweisen das so einzustellen.

LG
Hovy
December 21, 2022, 07:47:57 AM #23
An den Firewall-Regeln ändert sich dadurch eigentlich nichts, nur an der Interface-Konfiguration. Sonst ist irgendetwas falsch.

Mein WAN: ein PPPoE auf einem phys. Interface
Dein WAN: ein PPPoE auf einem VLAN auf einem phys. Interface

Firewall-Regeln beziehen sich immer auf das abstrahierte WAN.

Ich schick den Screenshot, wenn ich im Büro bin. Zugriff auf den Vigor gibt's nur direkt vor Ort.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 21, 2022, 09:24:39 AM #24
Sodele ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 21, 2022, 12:56:24 PM #25
Hallo pmhausen,

danke Dir, die Oberfläche von dem Vigor 130 sieht etwas anders aus aber vermute mal die Einstellungen werden ähnlich sein.

Frohe Weihnachten und einen guten Rutsch!
Hovy
Print
Go Up Pages 1 2
User actions