Wireguard S2S Probleme

[jelly-b92]

Hallo allerseits
Ich habe seit längerer Zeit zwei Standorte mit jeweils einer OPNSense auf einem APU Board erstellt und funktionierte bis jetzt tadellos.
Bis anhin nutze ich Wireguard als VPN und zum jeweiligen Standort zu verbinden.
Jetzt möchte ich allerdings die beiden FW per Wireguard als S2S VPN konfigurieren und laut Dokumentation von OPNSense sollte ja das kinderleicht sein.

Ich habe also eine neue WG Instanz erstellt (wg1) und die jeweiligen local und endpoints eingerichtet. (theoretisch das gleiche wie bei der wg0 Instanz nur mit anderen listener Ports.
Jedoch hatte ich beim ersten mal gewisse Fehler und habe darauf hin die WG1 Instanz nochmals komplett entfernt.

Nun beim zweiten Mal, habe ich die Instanz nochmals sauber aufgesetzt nur leider sehe ich dann keine Instanz, kein WG Interface (ich kann auch keines zuweisen weil es in der Liste nicht erscheint) und auch keine FW Rules für WGS2S / WG1 im Dashboard bzw. im "List Configuration" Tab.

Nach mehrmaligen Reloaden der Büchse und des WG Service hat sich leider nichts verändert.
Ich sehe über die Shell folgende Fehlermeldung wenn ich den WG Service neu starte:

# service wireguard start
wg-quick: `wg0' already exists

• ifconfig wg create name wg1
  [!] Missing WireGuard kernel support (ifconfig: SIOCIFCREATE2: Invalid argument). Falling back to slow userspace implementation.
  
• wireguard-go wg1
  ┌──────────────────────────────────────────────────────┐
  │                                                      │
  │   Running wireguard-go is not required because this  │
  │   kernel has first class support for WireGuard. For  │
  │   information on installing the kernel module,       │
  │   please visit:                                      │
  │         https://www.wireguard.com/install/           │
  │                                                      │
  └──────────────────────────────────────────────────────┘
  
• wg setconf wg1 /dev/stdin
  
• ifconfig wg1 inet 10.10.12.2/24 alias
  
• ifconfig wg1 mtu 1420
  
• ifconfig wg1 up
  
• route -q -n add -inet 10.10.12.2/32 -interface wg1
  
• rm -f /var/run/wireguard/wg1.sock
  
  Hat jemand das gleiche Problem oder eine Ahnung wie ich das lösen kann?
  
  OS: OPNsense 22.7_4
  

[lewald]

Geh mal auf Firewall->Rules->Wan

Gehe auf edit einer vorhandenen Rule.
Dann save ohne etwas zu ändern. Dann apply Rules.

Jetzt sollte unter firewall->Rules-> WireGuard (Group) auftauchen.
Auf dem Wan muss noch der Port für Wireguard geöffnet werden.
Dann am besten noch den Wireguard kmod installieren.

https://fingerlessgloves.me/2021/03/31/hello-wireguard-kmod-on-opnsense/

Der OpenVPN kram sollte auch aus gemacht werden. Und danach ein Reboot. Sonst funktioniert das Routing evtl.nicht. Wenn Wireguard die gleichen Netze definiert hat.

[jelly-b92]

Hallo Lewald

Danke für die Antwort.
Leider hat dein Lösungsansatz nichts gebracht.

Ich warte lieber bis OPNSense dies als offizielles Paket raus bringt und bis dahin nutze ich einen IPSec Tunnel.

Gruss
Jelly

[micneu]

- bitte mal von beiden standorten einen grafischen netzwerkplan

[Patrick M. Hausen]

Ich warte lieber bis OPNSense dies als offizielles Paket raus bringt und bis dahin nutze ich einen IPSec Tunnel.

os-wireguard ist ein offizielles Paket. Und das läuft hier über mehrere Standorte verteilt mit einem nicht gerade unkomplexen Setup einwandfrei. Inkl. eines HA-Paares am zentralen Ort im Rechenzentrum.

Problematisch ist bei WireGuard neben der etwas knappen Dokumentation zum einen, dass es kein vernünftiges Logging/Debugging gibt. Zum anderen werden die Tunnel gerne ohne Fehlermeldung sang- und klanglos wieder beendet, wenn man irgendwo Überlappungen bei seinen IP-Adressen/Routen/Netzen hat.

Daher ist der Hinweis von @micneu schon richtig - bitte mal einen Plan, sonst ist's Kaffeesatzleserei.

Gruß
Patrick

[JeGr]

>  Inkl. eines HA-Paares am zentralen Ort im Rechenzentrum.

Und wie läuft Wireguard ohne Interface/IP Binding im HA-Setup? :) Ohne Zusatzhilfe bleibt die Verbindung beim Failover doch beim alt-Master kleben?