Welcher Eintrag genau in "Allowed IPs" damit OSPF über Wireguard funktioniert?

[Layer8]

Moin,

ich wollte vom statischen Routing zwischen zwei Sites auf OSPF mit FRR über Wireguard umsteigen. Das hat mich einiges an Zeit gekostet, weil sich die OSPF-Neighbours ewig nicht gefunden haben.

Ich hab im Interface von OSPF im Network Type von "none" über "Broadcast multi-access network"  und "Point to Point network" etc. alles ausbrobiert, aber nichts hat geholfen, obwohl ich von beiden Seiten von Clients aus die Tunnelendoints der Remotesite pingen konnte und statisches Routing auch funktioniert hat.

Die Neighbours haben sich erst gefunden, als ich in Wireguard bei Allowed IPs alle Einträge rausgeworfen hab und nur noch die  0.0.0.0/0 eingetragen habe (der Network Type von OFSP ist  dabei nun übrigens auf Broadcast eingestellt).

Wieso? Was schickt OSPF da über den Tunnel, bzw. wieso sehen sich die Neighbours erst, wenn über den Wireguard-Tunnel alles ( 0.0.0.0/0 ) drüber darf?  Und wieso machts keinen Unterschied, ob man none, Broadcast oder Point to Point als Network Type nutzt?  Welches Netz müsste ich da exakt eintragen, damit OSPF sauber durch geht?

Ich hätte erwartet, dass sich eigentlich nur die zwei TEPs im Tunnel erreichen müssen und OSPF als Firewallregel erlaubt werden muss, damit sich die Neighbors finden. Dem scheint wohl nicht so zu sein.

Ja, ich weiß, Firewallregeln sind jetzt das Mittel der Wahl. Aber geht das auch etwas granularer, so dass man auch im Tunnelsetup schon einschränken kann, was da grundsätzlich alles an Netzen drüber darf? Ich hätte nämlich gerne, dass auch bei Nutzung von OSPF bei Allowed IPs im Wireguard Tunnel nicht 0.0.0.0/0 steht, sondern nur das Netz in dem sich die zwei Tunnelendpunkte befinden, sowie z.B. der Netzbereich der sich auf der anderen Seite befinden (z.B. ein /16 Bereich oder so).


Vielen Dank für die Erleuchtung.