Wireguard VPN funktioniert, aber nur auf lokales Netz --- Internet geht nicht

[halloween]

Hi,
hab eine Opnsense bei mir zuhause und mein MacBook als Wireguard Roadwarrior eingerichtet.

Ich komme vom Macbook aus von unterwegs auf alle internen Adressen.

Wenn ich im MacBook im WG-Client aber 0.0.0.0/0 hinzufüge zur vorhandenen IP 192.168.0.0/24 dann geht zwar alles interne weiterhin, aber es ist kein Internetzugriff mehr möglich.

Wo könnte der Fehler liegen? Wo soll ich zu suchen anfangen? Im Opnsense Live-Firewall-View ist nichts auffälliges...

Hab eigentliche eine Wireguard any-to-any Regel in der Opnsense.

[tiermutter]

Gibt es eine outbound NAT Regel für Wireguard?

[halloween]

Die Anleitung aus den how-tos in den opnsense-Docs (punkt 5, 5a, 5b) hab ich nun dazu befolgt. Schnittstelle zugewiesen usw und auch die outbound nat erstellt, aber leider immer noch das selbe Ergebnis.

Muss ich vielleicht auf dem Notebook noch den DNS unter Interface angeben?

Aktuell schaut das so aus:

Code Select Expand

[Interface]
PrivateKey = privatecode123
Address = 10.xx.xx.x/32

[Peer]
PublicKey = publiccode123
AllowedIPs = 0.0.0.0/0, 192.168.0.0/24
Endpoint = abc.dyndns.de:51820

[tiermutter]

Mach allowed IPs unter Windows mal 0.0.0.0/1, 0.0.0.128/1
Um dns Probleme auszuschließen versuch erstmal zB 8.8.8.8 anzupingen.

[halloween]

Ich hab in der Opnsense alle DNS-Anfragen zum pihole umgeleitet, alles andere in der Firewall gesperrt. Einzig der pihole darf dann auf die opnsense port 53 zugreifen und unbound fragt direkt bei den root-servern nach.

Hab die IP des pihole DNS bei interface hinzugefügt und auch deine Vorschläge auf dem Notebook unter allowed IPs hinzugefügt.

Keine Änderung.

Pingen versuche ich, wenn ich herausgefunden habe, wie das auf meinem Macbook funktioniert...

EDIT: Hab mir WhatRoute installiert... Wireguard aus -> ping an 8.8.8.8 klappt
Wireguard an -> egal wohin ich pinge, immer timeout. Auch an Adressen, die auf Port 80 erreichen kann (Webinterface der opnsense, pihole, usw)

[tiermutter]

Was ergibt denn ein traceroute?

Die allowed IPs solltest du dennoch anpassen, wenigstens aber das subnetz vom LAN rausnehmen, das ist in 0.0.0.0/0 ja enthalten...

[Patrick M. Hausen]

Pingen versuche ich, wenn ich herausgefunden habe, wie das auf meinem Macbook funktioniert...

Terminal starten. (1)

ping 8.8.8.8


(1) Liegt in /Programme/Dienstprogramme.

Oder Cmd ("Propeller") und die Leertaste drücken, ins Suchfeld T E R M I ... eingeben, sobald "Terminal" vervollständigt wird, auf Enter hauen.

Das ist ein komplettes BSD unter der Haube, da sind alle üblichen Unix-Tools einfach da.

[halloween]

Hab oben mein EDIT eingefügt mit dem Ping...

Hab alles rausgenommen ausser 0.0.0.0/0 und trotzdem geht nach wie vor nichts. Ping selbes Ergebnis wie oben.

Wireguard aus -> pings gehen
Wireguard an -> pings gehen nicht, selbst zur lokalen ip der opnsense nicht.

opnsense hat 192.168.0.1 aber unter wireguard bekommt die ja eine 10.xx.xx.1 zugewiesen, weil mein macbook hat unter wireguard 10.xx.xx.2. Aber selbst dahin kann ich nicht pingen.

[Patrick M. Hausen]

Hast du denn zusätzlich zu der Wireguard-Konfiguration auch eine Firewall-Regel (oder mehrere), die den Traffic auch tatsächlich erlauben? Das geschieht nicht automatisch.

[halloween]

Unter WAN hab ich die Regel drin für den Zugriff von extern zur opnsense mit Port 51820

CDann hab ich noch Wireguard (Gruppe) und WireguardServer (das hab ich durch das opnsense how-to --> "aktivieren der Schnittstelle" dazubekommen)

Unter wireguard (gruppe) hab ich die 15 automatisch generierten Regeln drin und eine von wireguard (gruppe) port any zu any/any (allow-regel).

Unter Firewall "WireguardServer" - das ist der Name der Schnittstelle- sind nur die 15 automatisch erstellten Regeln drin.

[Patrick M. Hausen]

Unter wireguard (gruppe) hab ich die 15 automatisch generierten Regeln drin und eine von wireguard (gruppe) port any zu any/any (allow-regel).

Das *sollte* eigentlich funktionieren.

[tiermutter]

... und traceroute?

[tiermutter]

... und bitte mal Screenshot vom outboud NAT.
Du hast geschrieben dass Du Step 5a und 5b gemacht hast, 5b ist aber nur notwendig wenn 5a nicht gemacht wurde (oder für IPv6 ULA im Tunnel).

[halloween]

Screenshot siehe Anhang

traceroute liefert nur * wenn ich per Wireguard verbunden bin, egal ob auf Ziele im Internet oder lokale IPs.


Punkt 5b ist ja das erstellen der Outbound NAT Regel, also brauche ich die garnicht oder wie?

[knebb]

Moin,

wie sind denn die Routen gesetzt?

Auf der OPNSense, insbesondere aber auf Deinem Mac.
Also die Ausgabe von `route -n get 1.1.1.1` und `route -n get $IP_DES_LOKALEN_LAN` jeweils mal mit, mal ohne WG-Verbindung.

Und dann könnte es hilfreich sein, auf dem roten Interface mal per Paketaufzeichnung die ICMP-Pakete der `ping` zu überprüfen- gehen die da überhaupt raus oder wo landen die?

/KNEBB