Site to Site VPN WireGuard Verkehr umleiten

Started by shadow010, December 24, 2023, 03:22:55 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 24, 2023, 03:22:55 AM Last Edit: December 29, 2023, 12:35:12 AM by shadow010
Hallo Zusammen

Ich habe gesehen das einige ändliche Probleme haben wie ich, nur werde ich leider aus den Antworten nicht schlau. Ich möchte dass gewisse Clients hinter Firewall B via Firewall A inst Internet gehen.

Ich habe ein Haus mit zwei Firewalls die WireGuard für eine Site to Site VPN nutzen. Der eine Teil bewohne ich und der andere Teil ist für mein Gewerbe.
zum Setup:
Firewall Site A (WireGuard 10.100.100.1/24): 192.168.23.1/24 ist das Netz welches auch von Seite B erreichbar ist z.B. Drucker 192.168.23.100
Firewall Site B (WireGuard 10.100.100.2/24): 192.168.14.1/24 ist das Netz welches auch von Seite A erreichbar ist z.B. Ping auf Client 192.168.14.105
Heisst die beiben Netze funktionieren und kommunizieren auch ein wand frei miteinander.

Nun will ich aber dass der Client 192.168.14.100 der hinter der Firewall B sitzt ins Internet via WAN der Firewall A geht. Beide Firewalls haben ein Gateway. z.B. Firewall A:
Schnittstlle: WireGuard_S2S_SiteB (schnittstelle wg1)
IP-Adresse: dynamic
Ferner Gateway: Hacken gesetzt
Deativiere Gatewayüberwachung: Hacken gesetzt

Da der Client 192.168.14.100 hinter der Firewall B sitzt und der Schnittstelle LAN_PrivateClients angehöhrt dachte ich mir ich erstelle eine Regel:
Schnittstelle: LAN_ PrivateClients
Protokoll: TCP/UDP selbe Regel nochmals für ICMP
Quelle: 192.168.14.100
Gateway: WireGuard_S2S_SiteA

Das aleine ist aber nicht die lösung weil ich nach wie vor über die Firewall B inst Internet gehe.

Dann habe ich gelesen dass ich ein NAT - Ausgehend machen muss. Dabei soll Hybride eingeschaltet werden.
Folgende Regel habe ich erstellt:
Schnittstelle: WAN <- wieso WAN müsste das nicht WireGuard_S2S_SiteA sein, geht aber auch nicht)
Umleitung / Ziel: mit Schnittstellenadresse und WireGuard_S2S_SiteA Adresse versucht.
Leider beides ohne Erfolg.

könnt Ihr mir weiter helfen?

Gruss und Danke
December 26, 2023, 02:55:10 AM #1
Hallo zusammen

Leider bin ich immer noch nicht weiter und hoffe auf Hilfe! Eigentlich möchte ich ja ein Sekektives Routing und habe mit dazu auch schon diese Anleitung konzultiert: https://forum.opnsense.org/index.php?topic=27449.0
Was genau muss ich aber am EndPoint SiteA machen damit der Traffic von SiteB hinausgeht?

Gruss und Danke
December 26, 2023, 02:49:59 PM #2
Hallo zusammen

Ich habe nun auf meinem ESXi zwei OPNsense installiert mit je einem Win10Pro Client dahinter welche das Szenario Selective Routing simulieren sollen.

*** Firewall Site B Konfigutration ***
in der Allgemeinen Konfiguration:
Code Select
DNS überschreiben: Hacken gesetzt
Resolver aktivieren: Hacken gesetzt

WireGuard installiert und unter Peer folgendes:
Code Select
Aktiviert: Hacken gesetzt
Name: Peer2SiteA
Öffentlicher Schlüssel: Key von SiteA Instance
Zugelassene IPs: 0.0.0.0/0
Endpoint adress: (Wan IP der SiteA OPNsense) 192.168.1.113
Endpoint port: 51820
Instances: SiteB
Keepalive interval: 25

unter Instance SiteB
Code Select
Aktiviert: Hacken gesetzt
Name: SiteB
Öffentlicher Schlüssel generiert und kopiert für SiteA später
Höhrender Port: 51820
Tunnel address: 10.0.8.2/32
Peers: Peer2SiteA
Disable routes: Hacken gesetzt
Gateway: 10.0.8.1

Interface if_wg1_SelectiveToSiteA:
Code Select
Schnittstelle aktivieren: Hacken gesetzt
Beschreibung: WG Selektive zu Seite A

VPN - WireGuard - Einstellungen bei aktiviert Hacken gesetzt und Sense neu gestartet

System - Gateway - Einzeln
Code Select
Name: WG_Gateway2SiteA
Beschreibung: WG_Gateway2SiteA
Schnittstelle: if_wg1_SelectiveToSiteA
Addressfamilly: IPv4
IP-Adresse: 10.0.8.1
Ferner Gateway: Hacken gesetzt
Deaktiviere Gatewayüberwachung: Hacken ENTFERNT
Diesable Hostroute kein Hacken
Monitor-IP 10.0.8.1
Priority: 255

Firewall - Aliases
Code Select

Aktiviert: Hacken gesetzt
Name: WG_Destination_URLs
Typ: Hosts
Inhalt: www.google.com, google.com
Beschreibung: Liste der weitergeleiteten URLs

zweiter Alias zum Testen für google IP-Range: (mir ist bewusst das für google der Range grösser ist)
Code Select

Aktiviert: Hacken gesetzt
Name: WG_Destination_Netzwerk
Typ: Netzwerke
Inhalt: 8.8.8.0/24
Beschreibung: Liste de rweitergeleiteten Netzwerke

Firewall - Regeln - LAN - Hinzufügen
Code Select
Schnittstelle: LAN
TCP/IP: IPv4
Quelle: LAN Netzwerk
Ziel: WG_Destination_URLs
Gateway: WG_Gateway2SiteA - 10.0.8.1
das gleiche nochmals aber mit Ziel WG_Destination_Netzwerke

Die beiden Standartregeln(Default allow LAN.. IPv4 und 6) habe ich deaktiviert um zu prüfen ob der traffic wirklich via SiteA hinaus geht.
Die von WireGuard angelegte Regel: if_wg1_selectiveToSiteA sowie die Standartregel WireGuard (Gruppe) habe ich nicht konfiguriert.



***Firewall SeiteA:***
WireGuard installiert:
Code Select
DNS überschreiben: Hacken gesetzt
Resolver aktivieren: Hacken gesetzt

unter Peer folgendes angelegt (benötige ich hier überhaupt ein Peer?)
Code Select

Aktiviert: Hacken gesetzt
Name: PeerVonSiteB
Öffentlicher Schlüssel: Key von SiteB Instance
Zugelassene IPs: 10.0.8.2/32
Endpoint adress: (WAN IP der SiteB OPNsense) 192.168.1.108
Endpoint port: 51820
Instances: SiteASelectiveRouting
Keepalive interval: 25

Instance hinzugefügt:
Code Select

Aktiviert: Hacken gesetzt
Name: SiteASelectiveRouting
Öffentlicher Schlüssel generiert und kopiert für SiteA später
Höhrender Port: 51820
Tunnel address: 10.0.8.1/32
Peers: Peer2SiteB
Disable routes: kein Hacken gesetzt
Gateway: leer

Schnittstelle - Zuweisen
Code Select

Schnittstelle aktivieren: Hacken gesetzt
Beschreibung: if_Wg_SelectiveRouting

VPN - WireGuard - Einstellungen bei aktiviert Hacken gesetzt und Sense neu gestartet

System - Gateway - Einzeln
Code Select

Name: WG_GatewaySiteA
Beschreibung: WG_Gateway from SiteB
Schnittstelle: if_wg_SelectiveTRouting
Addressfamilly: IPv4
IP-Adresse: dynamic
Upstream Gateway: Hacken gesetzt ?????? (Falsch?)
Ferner Gateway: kein Hacken
Deaktiviere Gatewayüberwachung: Hacken gesetzt
Diesable Hostroute: kein Hacken
Priority: 255

Firewall - Regeln - if_Wg_SelectiveRouting - Hinzufügen
Code Select
Schnittstelle: if_Wg_SelectiveRouting
TCP/IP: IPv4
Quelle: jegliche
Ziel: jegliche
Gateway: WAN_DHCP - 192.168.1.1
das gleiche nochmals aber mit Ziel WG_Destination_Netzwerke

Die von WireGuard angelegte Regel: WireGuard (Gruppe) habe ich nicht konfiguriert. Das LAN auf dieser Firewall habe ich auch nicht weiters konfiguriert da nicht relevant.

Könnt Ihr mir sagen wo der Denkfehler liegt?

Gruss und Danke
Print
Go Up Pages1
User actions