FritzBox Wireguard nach OPNsense läuft nicht

[peabody]

Hallo zusammen,
ich hoffe hier kann mir jemand helfen. Ich versuche gerade von funktionierenden IPSec Verbindungen (Site2Site) auf WireGuard umzustellen und bekomme es einfach nicht zum laufen. Orientiert habe ich mich an diesem Post aus dem Forum: https://forum.opnsense.org/index.php?topic=33087.msg160912#msg160912

Der Vollständigkeit hier ein Bild wie der Endausbau aussehen soll. Aktuell ist alles mit IPSec realisiert.
Ein funktionierendes WireGuard Roadwarriror Netz gibt es an Standort 2. Die IPSec Verbindung habe ich an beiden Standorten zum testen deaktiviert.

Code: [Select]

                         +---------------+                       
                         |  Standort 3   |                       
                         |  172.30.0.0/24|                       
                         |  FritzBox     |                       
                         +---------------+                       
                       /                  \                     
                      /                    \                     
                     /                      \                   
                    /                        \                   
                   /                          \                 
                  /                            \                 
                 /                              v               
+---------------v                               +---------------+
| Standort 1    | <-----------------------------| Standort 2    |
| 172.19.0.0/24 |                               | 172.29.0.0/24 |
| OPNsense      |                               | OPNsense      |
+---------------+                               +---------------+
                                                                       

Hier geht es erstmal um Standort 3 nach Standort 2

An Standort 2 sieht die Konfiguration so aus:

Instance


Peer Config


Auf der FritzBox an Standort 3 habe ich mir folgende config ausgeben lassen. FritzOS ist die 7.57.

Code: [Select]

[Interface]
PrivateKey = PRIVAT
ListenPort = 58037
Address = 172.30.0.1/24,dyndns.de
DNS = 172.30.0.1
DNS = fritz.box

[Peer]
PublicKey = PUBLIC_KEY_OPNSESNE
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.29.0.0/24
Endpoint = opnsense.de:51821
PersistentKeepalive = 25


Grundsätzlich scheint das auch alles zu funktionieren:





Bei den Firewall Einstellungen auf der OPNsense habe ich einiges versucht:


Die Verbindung baut sich auf aber ich kann keinen Ping an die Fritzbox Senden also an die 172.30.0.1.
Ebenso wenig hat Standort 1 nach Standort 2 geklappt aber evtl haben wir hier das gleiche Problem.
Auf der OPNsense an Standort 2 findet er bei einem Trace Route auch keine Route:

Code: [Select]

traceroute to 172.30.0.1 (172.30.0.1), 64 hops max, 48 byte packets traceroute: sendto: Host is down traceroute
Ich hoffe jemand hier hat noch eine Idee.

Beste Grüße

[meyergru]

Basiswissen Netzwerk: Deine Tunnel-Subnetze sind disjunkt.

Ergänzend: Ich denke, um die drei Sites miteinander zu verbinden, benötigst Du zwar drei Tunnelnetze, die hängen aber nicht am Standort, sondern an der Verbindung. Damit kennt jeder Standort zwei von drei Tunnelnetzen. Diese sind dann in je einer Wireguard-Konfiguration enthalten.

Konkreter:

Standort 1: 172.29.0.1/24 (zu Standort 2) 172.30.0.1/24 (zu Standort 3)
Standort 2: 172.29.0.2/24 (zu Standort 1) 172.31.0.2/24 (zu Standort 3)
Standort 3: 172.30.0.3/24 (zu Standort 1) 172.31.0.3/24 (zu Standort 2)

[peabody]

OK das ist ja tendenziell kein Thema, je Standort einen weiteren Tunnel anzulegen.

Ich habe ja aktuell nur Standort 3 nach Standort 2 eingerichtet und schon hier bekomme ich es nicht hin das hier die Verbindung korrekt funktionert.

Hast du hier eine Idee? Oder eine Anpassung die ich vornehmen kann? 

[meyergru]

Hast du hier eine Idee? Oder eine Anpassung die ich vornehmen kann?

Lies nochmal meinen ersten Satz...

[peabody]

Sorry aber das ist doch schon etwas her und war auch nicht wirklich meine Stärke. Ich bräuchte wirklich etwas Hilfe, was ich umstellen sollte, oder was ich noch konfigurieren müsste. Ich stehe hier wirklich auf dem Schlauch. Nur mit dem Wort disjunkt komme ich leider nicht weiter.

[Monviech (Cedrik)]

Warum verwendest du denn nicht einfach weiter IPsec wenn es läuft? IPsec ist nicht irgendwie abgekündigt worden oder so.

Bitte nicht falsch verstehen, genauso wie IPsec seine Tücken hat, hat Wireguard auch seine Tücken. Wenn etwas funktioniert und stabil ist, sollte man einen guten Grund haben es zu ändern. Bitte erkläre mal was dein Ziel ist.

[peabody]

Die Settings sind in dem neuen Release jetzt auch nach legacy geschoben worden (müsste ich also auch irgendwann angehen). Bei der FritzBox ist auch nur IKE möglich und kein v2. Ansonsten ist es nur Spielerei und ich könnte auf eine Technologie (IPSec) verzichten.

[Monviech (Cedrik)]

Du musst das ganze Wireguard einfach nur wie vorher das IPsec Konfigurieren.

Bei Wireguard *kann* auf der OPNsense in "Instances" bei "Tunnel Address" kein Wert drinstehen. Dadurch benutzt du Wireguard wie ein "Policy Based IPsec" VPN, ohne Transportnetz.

Das bedeutet, du lässt auf den OPNsensen einfach Tunnel Address leer, und setzt bei "Peers" in allowed IPs das Netz der Fritzbox rein. Dadurch wird der OPNsense gesagt "Um die Fritzbox zu erreichen, route durch z.B. wg1". Auf der Fritzbox ist das genau so konfiguriert.

Du musst bei deiner Konfiguration einfach nur aufpassen, dass jede Fritzbox und OPNsense nur eine Route zum nächsten Router kennt.

[peabody]

Hallo zusammen und erstmal Danke für die Hilfe.
Ich bin ein riesen Stück weiter gekommen und es läuft auch fast alles.
Betonung liegt auf fast...

Das Interface an Standort 1 sieht jetzt so aus:


Ich habe ein paar Einstellungen getestet und neben 172.19.0.1/24 oder einer Tunnel IP würde alles laufen. Aber ich habe es jetzt wie vorgeschlagen so belassen.

Die peers sehen so aus (ohne Tunnel IP):


Die Firewall ist aktuell so eingestellt:


Hier noch die FritzBox:

Code: [Select]

[Interface]
PrivateKey = SECRET=
ListenPort = 50364
Address = 172.30.0.1/24
DNS = 172.30.0.1
DNS = fritz.box

[Peer]
PublicKey = SECRET=
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.29.0.0/24
Endpoint = opnsense123.de:51821
PersistentKeepalive = 25
[Peer]
PublicKey = SECRET=
PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AllowedIPs = 172.19.0.0/24
Endpoint = opnsense123.de:51821
PersistentKeepalive = 25
Ich kann in den Netzen jetzt fast alle Geräte erreichen.

Standort 1 erreicht Standort 2 und 3
Standort 2 erreicht Standort 1 und 3
....

Das einzige was nicht funktioniert ist ... ich erreiche weder die FritzBox noch die OPNsense Box, also von Standort 1 nicht die 172.29.0.1 oder die 172.30.0.1

Ich habe mal ein tracert erstellt:

Code: [Select]

C:\Users\User>tracert 172.29.0.6

Routenverfolgung zu 172.29.0.6 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    24 ms    16 ms    16 ms  172.29.0.6

Ablaufverfolgung beendet.

C:\Users\User>tracert 172.30.0.6

Routenverfolgung zu pihole.url.de [172.30.0.6]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2    23 ms    26 ms    19 ms  pihole.url.de [172.30.0.6]
  3    36 ms    35 ms    31 ms  pihole.url.de [172.30.0.6]

Ablaufverfolgung beendet.

C:\Users\User>tracert 172.30.0.1

Routenverfolgung zu fritzbox.url.de [172.30.0.1]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  opnsense.url.de [172.19.0.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3  ^C
C:\Users\User>ping 172.30.0.1

Ping wird ausgeführt für 172.30.0.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 172.30.0.1:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\Users\User>ping 172.29.0.1

Ping wird ausgeführt für 172.29.0.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 172.29.0.1:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\Users\User>

Wenn jetzt jemand noch einen Tipp hat, wie ich die IPs 172.29.0.1 und 172.30.0.1 erreichen könnte wäre ich sehr dankbar.

[chemlud]

jumphost im jeweiligen lokalen netz?

[peabody]

jumphost im jeweiligen lokalen netz?

Ich habe mir noch eine virtuelle Testumgebung aufgesetzt und dort funktioniert es ohne Probleme. Muss also ein Setting sein welches ich gerade nicht finde.

[peabody]

Abschlussmeldung.
Es läuft jetzt alles.

Der letzte Fehler hat sich im Routing versteckt.
Das ist ein Screenshot von Standort2. Nachdem ich die Gelb markierten Zeilen gelöscht habe lief es.