WireGuard keine Verbindung trotz Handshake

[Ronny1978]

Wie sehen denn deine Firewall Regeln für die WG Schnittstelle aus? Oder habe ich das überlesen? Du hast ja sicherlich dem Wiregard eine Schnittstelle zugewiesen. Dann gibt es ja auch Regeln dafür, oder? Zugriff DNS, Zugriff Internet usw.

Ich denke, dass dort einfach der Zugriff von der Wiregard Schnittstelle zum LAN nicht erlaubt ist. Ansich sehen die Config's meiner Meinung nach schlüssig aus, wobei ich nicht verstehe, warum x.x.x.x/24 nicht geht und du /22 nimmst? 

[mczocker32]

Die /24 und /22 haben bei mir das selbe Ergebnis. Ich nutze für den WireGuard den LAN Bereich was an sich kein Problem ist wie es scheint. Der ist eben 192.168.0.0/22 und 192.168.3.1 aufwärts dann WireGuard. Auf dem WG1 Interface oder der Gruppe (beides getestet) ist any any freigegeben für IPv4 und IPv6 alle Ports. Ich habe gestern nochmal alles 1:1 wie in der Anleitung konfiguriert also 10.10.10.1/24 usw. und es hat sich nichts getan. Bei einem Portscan sieht man in der Live View wie alles erreicht wird aber der Client bekommt nie eine Rückmeldung. Als ich auf dem LAN eine Regel gemacht habe mit Source WG1 und eine mit Destination WG1 ist gar nichts mehr in der Firewall aufgetaucht. Das einzige was sich bei mir ggf. unterscheiden könnte, wäre meine bridge Konfiguration bei den Ethernet Ports. Ich habe 5 LAN Ports und möchte dort Geräte anschließen können und trotzdem nur ein Interface haben, was an sich ja funktioniert.

[tiermutter]

Ähm...
Die IPs vom Tunnel liegen im Subnetz vom LAN... Du musst für WG ein eigenens Subnetz verwenden!

Ich würde auf jeden Fall erstmal ein anderes Subnet nehmen um weiter zu testen.

Die Docs sagen ausdrücklich:

The tunnel address must be in CIDR notation and must be a unique IP and subnet for your network, such as if it was on a physically different routed interface. The subnet should be an appropriate size that includes all the client peers that will use the tunnel. For IPv4 it should be a private (RFC1918) address, for example 10.10.10.1/24. For IPv6, it could either be a unique ULA /64 address, or a unique GUA /64 address derived from your prefix delegation. Do not use a tunnel address that is a /32 (IPv4) or a /128 (IPv6)

Also willst Du nun weiter auf Deinem WG/LAN-Mix verharren oder willst Du das Problem lösen?

[mczocker32]

Wie bereits erwähnt habe ich es mit genau dieser 10.10.10.1/24 angelegt und es ändert trotzdem nichts an dem Problem.

[tiermutter]

Dann hast Du vielleicht noch ein anderes Problem... nun baust Du Dir aber noch mehr Probleme rein.

[Bob.Dig]

Ersetze alle /22 durch /24. Wenn man wenig Ahnung hat, sollte man es tunlichst vermeiden, seine eigene Extra-Wurst zu braten.

[tiermutter]

Wie wahr... ich sollte gestern Rippchen kurz und heiß grillen, statt wie üblich lange bei niedriger Temperatur... Ergebnis der "Extra-Wurst" war ein brennender Grill, eine brennende Außenküche und alles eingesaut mit Löschpulver. Aber das ist OT 

[Ronny1978]

@mczocker32

Ich muss hier leider den anderen zustimmen. Nicht soviel abweichen, bei Einstellungen die bei allen anderen funktionieren. Ich würde hier wie folgt vorgehen und ggf. noch einmal zurückbauen:

1. Schnittstelle zuweisen -> WG1 oder sowas
2. Wireguard Server einrichten mit einer ANDEREN IP Range wie dein LAN > LAN 192.168.0.0/24 / Wireguard 10.10.10.0/24, zum Beispiel
3. Clients einrichten -> erstmal nur EIN Handy als Beispiel
4. Firewall -> Regeln "schreiben" -> Zugriff auf DNS erlauben/ Zugriff auf LAN erlauben, Internet erlauben
5. Mit dem Handy extern einwählen -> UND TESTEN
6. Regeln verfeinern/härten
7. Dann die restlichen Clients einrichten

Ich habe zum Public-/Privatekey auch noch einen Preshared Key im Einsatz. Ich musste hier aber auch erst ein wenig probieren. Aber es läuft. Ich komme vom Wireguard-Netz ins LAN.

Viel Erfolg.

[mczocker32]

Also gestern habe ich einen neuen Endpoint erstellt mit der 10.10.10.1/24 dann einen Peer mit der 10.10.10.2/24 dem Endpoint den Peer zugewiesen. Allowed IP in der Peerconfig war 10.10.10.2/32. Allowed IPs in der Clientconfig 10.10.10.0/24 und 192.168.0.0/22 da der DNS 192.168.1.5 ist. Aber auch mit 192.168.1.1 oder 10.10.10.1 gab es keinen erfolg. WAN ist 51820 für UDP IPv6 offen. Das WG Interface ist assignt, aktiviert und hat die Regel Pass IPv4+6 *

Es wird laut log alles erreicht, alles gepingt aber keine Rückmeldung auf dem Clientgerät

[tiermutter]

Brauchst du als LAN wirklich ein /22 subnet?
Wenn nicht hier auch auf /24 umstellen, das 22er macht zuletzt nicht nur bei dir Probleme...
https://forum.opnsense.org/index.php?topic=34284.0

[mczocker32]

Das macht bei mir keinen unterschied, habs eben mal getestet. WireGuard selber funktioniert ja auch, dort steht ja es kam gar nicht mehr hoch und es wird ja auch geroutet aber eben nie mit antwort

[Patrick M. Hausen]

tcpdump auf allen Interfaces, gucken, wo es hängen bleibt. Dann suchen, weshalb.

[mczocker32]

Nachdem ich alles durchprobiert habe mit der Erkenntnis dass ich immer auf die OPNsense (WG Interface) und andere WireGuard Clients komme, habe ich den DNS auf die 192.168.3.1 geändert. WG1 = 192.168.3.1/22. Nach dieser Änderung habe ich noch die Allowed IPs im Client auf 0.0.0.0/0 gestellt. Ich konnte nun ins Internet und dies auch im Live View nachvollziehen. Unter test-ipv6 wurde unter IPv6 nun auch DG angezeigt. Da ich zu der Zeit in einem Telekom Netz war, wurde mir dies noch unter IPv6 angezeigt, also habe ich der Allowed IP liste ::/0 hinzugefügt, um auch IPv6 in den Tunnel zu routen. Nun habe ich keine IPv6 aber komme auch nicht ungewollt aus dem Tunnel. Nun kam mir die Frage auf wieso WAN geht aber nicht LAN. Ich habe es mit verschiedensten Freigaben probiert und nichts funktionierte. Da ist mir der einzige Unterschied eingefallen. Die Outbound NAT Freigabe für WAN. Ich habe also eine Outbound freigabe für das Interface LAN gemacht und plötzlich ging es. So konnte ich nun auch den PiHole als DNS nutzen und alles erreichen. Vielleicht habe ich nicht genau geschaut, doch dies gab es in keiner Anleitung, dort ging es immer nur um die WAN Regel. Naja vielleicht hilft das hier jemanden. Die anderen Beiträge verliefen immer im Sande.

[Patrick M. Hausen]

Ist für die Geräte im LAN die OPNsense mit dem Wireguard Tunnel der Defaultgateway oder nicht?

[mczocker32]

Ja die OPNsense ist der Router und default Gateway