Wireguard site to site tunnel routing Problem ?

Started by boris-fx, July 06, 2023, 12:37:37 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 06, 2023, 12:37:37 PM
Hallo an alle  8)

Habe Standort A mit einer opensense und weiteren Standort B mit pfsense (beide Bare Metal), bisweilen waren alle Standorte pfsense, will aber in Zukunft opensense einsetzen. Auch bin ich neu bei Wireguard, bisher ovpn - ohne Probs....

Zu meinem Problem:
- Wireguard Site to Site Verbindung steht, die Tunneladressen lassen sich von beiden Seiten anpingen und zwar auf den firewalls selbst als auch von den jeweiligen lans aus.
- An beiden Standorten interfaces wg1 angelegt / Rule - alles erlaubt
- Ansonsten funzt leider nix - kein ping auf die pfsense oder opensense von der jeweils anderen seite, heisst die jeweiligen lans sind nicht erreichbar.....

Am Standort B pfsense, gibt es einen weiteren Tunnel + weiteres Interface wg0 an welchen RoadWarrior - mehrere Peers angebunden sind Notebooks, Androids original WG client usw... Das funktioniert hervorragend und wg iss sau schnell  :)

Folgendes versucht z.B. Standord B, Peer
Allowed Ips : 10.15.15.2/32, 192.168.0/24
oder
Allowed Ips : 10.15.15.2/32, 192.168.1/24
oder
Allowed IPs : 0.0.0.0/0

geht alles nicht. Hab auch mal n Gateway angelegt, Outbound Nat usw.. Was ich so gefunden habe an möglichen Lösungen - bisher ohne Erfolg.....

traceroute bleibt am Firewall hop hängen...
traceroute mit der Tunneladresse funzt....

Vermute ein routing prob, vielleicht könnt Ihr mir einen Hinweis geben was das Problem ist, ansonsten stelle ich gerne weitere Infos zur Verfügung.

PS: Ich weiß das ich nichts weiß
Ich weiß das ich nichts weiß
July 06, 2023, 12:42:11 PM #1
Du musst noch Routen hinterlegen bei pfSense und bei OPNsense mal prüfen, ob noch erforderlich.
July 06, 2023, 03:24:36 PM #2 Last Edit: July 06, 2023, 03:27:09 PM by boris-fx
Ach so - ich dachte das geschieht automatisch über die Allowed IPs an der Peer Konfiguration.....

Ok vielen Dank werde ich prüfen.

Ich weiß das ich nichts weiß
July 06, 2023, 03:54:54 PM #3
Quote from: boris-fx on July 06, 2023, 03:24:36 PM
Ach so - ich dachte das geschieht automatisch über die Allowed IPs an der Peer Konfiguration.....
Tut es auch. "Allowed IPs" in WireGuard sind im Wesentlichen Routen.

Wie sehen denn die Regeln der jeweiligen LANs aus? Ist dort vielleicht explizit ein Gateway gesetzt? Oder RFC1918-Netze ausdrücklich verboten? Ich würde dort mal anfangen zu suchen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 06, 2023, 06:00:47 PM #4
Also ich kam erst jetzt dazu - kurzer Test hierzu, an pfsense Standort B :
- Gateway gesetzt auf wg1
- Static Route : Network 192.168.1.0/24, Gateway wg1

Ok, das funktioniert kann den Standort A anpingen. Davon abgesehen wäre/ ist das so korrekt ?
Vielen Dank - @Bob.Dig

@pmhausen
Vielen Dank für die Antwort, hatte das auch so verstanden das die Allowed IPs quasi die Routen sind....
Ok ich werde das überprüfen - aaaarghh könnte tatsächlich sein das hier ein GW gesetzt ist wegen Netz-Ausfallsicherheit und 5g Modem 2x GWs.......
Ich weiß das ich nichts weiß
July 07, 2023, 07:20:16 AM #5 Last Edit: July 07, 2023, 07:22:48 AM by boris-fx
Ok,pfsense, Standort B:
Gateway wan2: IPV4, dynamic, Default GW: wan2
(Seit Umstellung auf Glasfaser habe ich das wan1 gw aufgelöst - kein multi-wan mehr vorhanden)

Lan Interface (issn VLAN):  Static IP, Upstream GW: None, Block privat networks: unticked, Block Bogon: unticked

Rules Lan interface (default, any): GW: default, source: Lan net, proto: any, dest: any
(das habe ich aufgrund des Problems so eingestellt - sonst anders)

opensense: kein Unterschied zu oben.....

Wenn das GW und Static Routes an der pfsense Standort B gesetzt ist läuft es in beide Richtungen - Static Routes : deaktiviert läuft nicht......

Ich weiß das ich nichts weiß
July 07, 2023, 09:40:44 AM #6
Quote from: boris-fx on July 07, 2023, 07:20:16 AM
Wenn das GW und Static Routes an der pfsense Standort B gesetzt ist läuft es in beide Richtungen - Static Routes : deaktiviert läuft nicht......
Und wo ist jetzt die Frage?
Bei pfSense musst Du die Routen selber setzen.
July 07, 2023, 10:27:40 AM #7
OK - wenn man bei pfsense die Routen selbst setzen muss - ist die Frage beantwortet - wusste ich nicht, dachte das reicht über die Allowed IPs....Wie bei opensense....

Das hat mich ganz schön Zeit gekostet - hätte ich mal früher bei euch angefragt - in der Regel lese ich mich so tief ein bis ich das selbst hinbekomme....

Vielen Dank.

Dann habe ich nur noch die Frage ob ich dies so wie in #4 beschrieben korrekt eingerichtet habe ?

- Gateway erstellt/ gesetzt auf wg1
- Static Route : Network 192.168.1.0/24, Gateway wg1
Ich weiß das ich nichts weiß
July 07, 2023, 11:33:01 AM #8
Quote from: boris-fx on July 07, 2023, 10:27:40 AM
Dann habe ich nur noch die Frage ob ich dies so wie in #4 beschrieben korrekt eingerichtet habe ?
Sehe nirgends, dass Du explizit erwähnt hättest, welcher Standort welche Range nutzt. Aber wenn es nur damit funktioniert, dann hast Du es doch nachweislich richtig gemacht.
July 07, 2023, 12:16:34 PM #9
Alles klar.  Nochmals Danke.
Ich weiß das ich nichts weiß
Print
Go Up Pages1
User actions