Wireguard Roadwarrior - kein Handshake

[cwt]

Hallo zusammen.

Ich bekomme keinen Handshake im Wireguard Setup auf der Sense mit den Clients hin.

Grundlegendes zum Setup:

- OPNsense 22.7.4-amd64
- Die Sense sitzt als "Exposed Host" hinter 2 FritzBoxen (Option "Block private Networks" ist im jeweiligen WAN-Interface [WAN1 & WAN2] deaktiviert)

Das Setup habe ich nach dem offiziellen HowTo durchgeführt. Also von der Installation des Plugins, anlegen von Local und Endpoints, WG-Interface ohne IP, entsprechende Regel auf WAN, Restart des Wireguard Servers, usw. Der einzige Unterschied ist der IP-Bereich (10.20.30.0/24 anstatt 10.10.10.0/24) sowie der Port (59999). Sowohl das Subnet als auch der Port werden anderweitig weder auf der Sense noch im dahinterliegenden LAN/VLAN verwendet.

Der Client scheint sich auch zu verbinden, allerdings findet (wie im Titel erwähnt) kein Handshake statt. Der Client (mit Windows, Android und iOS getestet) sendet brav, bekommt aber nix zurück.

Laut Packet Capture kommt auch auf Port 59999/UDP des WAN etwas an:

09:32:16.137290 IP XX.XX.XX.XX.22941 > 192.168.24.1.59999: UDP, length 148

Das wiederholt sich gleichbleibend ohne Änderung in der Paketgröße, solange der verbundene Client den Handshake versucht.

Bin etwas ratlos 

Danke im Voraus 

[tiermutter]

Du musst beim peer den Port angeben, wenn dieser vom Standard abweicht.

[cwt]

Der Port in der Config des Peers ist gesetzt:

[Peer]
PublicKey = XXX
PresharedKey= XXX
Allowed IPs = XXX.XXX
Endpoint = mydomain.de:59999

Oder bezieht sich das auf den Endpoint Port in der Config von WG auf der Sense?

[Bob.Dig]

Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

[tiermutter]

Oder bezieht sich das auf den Endpoint Port in der Config von WG auf der Sense?

Jap.

[cwt]

Nachdem ic

Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

Nix spezielles.. Beispiel vom Windows Client:

Name: Peer1
Public Key: VH2Yp1Yo7wWWgUbFU4hv4DMj9NupwN3++DJ5oM2y2lg=
[Interface]
PrivateKey = XXXXXXX
Address = 10.20.30.2/24
DNS = my.local.unbound.dns.ip

[Peer]
PublicKey = 7NhL4ej1pKZowbChrJG8+QrGEFw+Gv/rcRTLZCn1PD4=
PresharedKey = XXXXXXXXX
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mydomain.de:59999

Verwende ich einen Wireguard Server im LAN/VLAN (VM oder LXC) abseits von OPNsense mit entsprechendem NAT auf die IP, funktioniert alles ohne Probleme...

[tiermutter]

Den Port hast Du jetzt angegeben?

AllowedIPs = 0.0.0.0/0, ::/0
Ist unter Windows meiner Erfahrung nach keine gute Idee (dürfte aber nichts mit dem Handshake zu tun haben, sondern nur mit dem Routing).
Ich verwende hier
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
weil Windows die default Route nicht überschreibt, was mit dieser Konstellation quasi umgangen wird.

[Bob.Dig]

Keine Ahnung, warum ich auf Englisch geantwortet habe.
Versuch doch mal 8.8.8.8 anstatt my.local.unbound.dns.ip.

Außerdem beim Windows Client die eigene IP-Adresse mit /32 eingeben, also 10.20.30.2/32