Wireguard Roadwarrior - kein Handshake

cwt · October 02, 2022, 09:53:36 AM

Hallo zusammen.

Ich bekomme keinen Handshake im Wireguard Setup auf der Sense mit den Clients hin.

Grundlegendes zum Setup:

- OPNsense 22.7.4-amd64
- Die Sense sitzt als "Exposed Host" hinter 2 FritzBoxen (Option "Block private Networks" ist im jeweiligen WAN-Interface [WAN1 & WAN2] deaktiviert)

Das Setup habe ich nach dem offiziellen HowTo durchgeführt. Also von der Installation des Plugins, anlegen von Local und Endpoints, WG-Interface ohne IP, entsprechende Regel auf WAN, Restart des Wireguard Servers, usw. Der einzige Unterschied ist der IP-Bereich (10.20.30.0/24 anstatt 10.10.10.0/24) sowie der Port (59999). Sowohl das Subnet als auch der Port werden anderweitig weder auf der Sense noch im dahinterliegenden LAN/VLAN verwendet.

Der Client scheint sich auch zu verbinden, allerdings findet (wie im Titel erwähnt) kein Handshake statt. Der Client (mit Windows, Android und iOS getestet) sendet brav, bekommt aber nix zurück.

Laut Packet Capture kommt auch auf Port 59999/UDP des WAN etwas an:

Quote09:32:16.137290 IP XX.XX.XX.XX.22941 > 192.168.24.1.59999: UDP, length 148

Das wiederholt sich gleichbleibend ohne Änderung in der Paketgröße, solange der verbundene Client den Handshake versucht.

Bin etwas ratlos :-\

Danke im Voraus 8)

tiermutter · October 02, 2022, 10:06:21 AM

Du musst beim peer den Port angeben, wenn dieser vom Standard abweicht.

cwt · October 02, 2022, 10:50:24 AM

Der Port in der Config des Peers ist gesetzt:

Quote[Peer]
PublicKey = XXX
PresharedKey= XXX
Allowed IPs = XXX.XXX
Endpoint = mydomain.de:59999

Oder bezieht sich das auf den Endpoint Port in der Config von WG auf der Sense?

Bob.Dig · October 02, 2022, 11:39:18 AM

Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

tiermutter · October 02, 2022, 12:21:31 PM

Quote from: cwt on October 02, 2022, 10:50:24 AM
Oder bezieht sich das auf den Endpoint Port in der Config von WG auf der Sense?

Jap.

cwt · October 04, 2022, 12:21:48 PM

Nachdem ic

Quote from: Bob.Dig on October 02, 2022, 11:39:18 AM
Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

Nix spezielles.. Beispiel vom Windows Client:

QuoteName: Peer1
Public Key: VH2Yp1Yo7wWWgUbFU4hv4DMj9NupwN3++DJ5oM2y2lg=
[Interface]
PrivateKey = XXXXXXX
Address = 10.20.30.2/24
DNS = my.local.unbound.dns.ip

[Peer]
PublicKey = 7NhL4ej1pKZowbChrJG8+QrGEFw+Gv/rcRTLZCn1PD4=
PresharedKey = XXXXXXXXX
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mydomain.de:59999

Verwende ich einen Wireguard Server im LAN/VLAN (VM oder LXC) abseits von OPNsense mit entsprechendem NAT auf die IP, funktioniert alles ohne Probleme...

tiermutter · October 04, 2022, 12:31:39 PM

Den Port hast Du jetzt angegeben?

AllowedIPs = 0.0.0.0/0, ::/0
Ist unter Windows meiner Erfahrung nach keine gute Idee (dürfte aber nichts mit dem Handshake zu tun haben, sondern nur mit dem Routing).
Ich verwende hier
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
weil Windows die default Route nicht überschreibt, was mit dieser Konstellation quasi umgangen wird.

Bob.Dig · October 04, 2022, 01:10:02 PM

Keine Ahnung, warum ich auf Englisch geantwortet habe.
Versuch doch mal 8.8.8.8 anstatt my.local.unbound.dns.ip.

Außerdem beim Windows Client die eigene IP-Adresse mit /32 eingeben, also 10.20.30.2/32

Wireguard Roadwarrior - kein Handshake

cwt

October 02, 2022, 09:53:36 AM

tiermutter

October 02, 2022, 10:06:21 AM #1

cwt

October 02, 2022, 10:50:24 AM #2

Bob.Dig

October 02, 2022, 11:39:18 AM #3

tiermutter

October 02, 2022, 12:21:31 PM #4

cwt

October 04, 2022, 12:21:48 PM #5

tiermutter

October 04, 2022, 12:31:39 PM #6

Bob.Dig

October 04, 2022, 01:10:02 PM #7 Last Edit: October 04, 2022, 01:15:03 PM by Bob.Dig