Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

[hdkirschbaum]

Nach langem Probieren wende ich mich an Euch. Auf meiner OPNsense habe ich einen Wireguard -Server .
installiert.
Wiregard -Netz / Tunnel ist :10.10.0.0/24

Die OPNsense ist hinter der Fritzbox und folgende Interfaces:

WAN: 192.168.179.11
Lan 1 : 192.168.1.1
LAN 2 : 192.168.2.1
Wireguard-Server: 10.10.0.1

Die Instanz und die Peers wurden nach Anleitung eingerichtet und der Tunnel von Extern steht.

Ich kann ohne Probleme von Extern -  hier dargestellt als Notebook (10.10.0.2) - auf das Netzwerk hinter dem Interface LAN1 zugreifen, z.B. Aufruf des Apache auf Raspberry.

Was nicht klappt ist der Zugriff über den Tunnel auf das Netz hinter LAN2. Im Heimnetzwerk kann ich problemlos von Netz 192.168.1.0/24 auf 192.168.2.0/24 und umgekehrt zugreifen.

Warum klappt der Zugriff auf LAN1 und nicht auf LAN2. Bei einem log auf interface sieht man, es kommt nichts an, es wird nichts blockiert. Ich vermute es liegt irgendwie an forwarding oder NAT.

Ich bin sicher, für Euch Experten wird es leicht sein, mir eine Lösung / Tipp zu geben.

Jetzt schon einmal vielen Dank

hdkirschbaum

Code: [Select]

                                                                                                                           
                                                                                                                         
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           
  Wireguard   .------------.                                                                                               
  Client      + Notebook   |                                                                                               
  10.10.0.2   '-----:------'                                                                                               
                    :                                                                                                       
     ────────────────────────────────────                                                                                   
                    :                                                                                                       
      Tunnel10.10.0.0/24      Internet                                                                                     
                    :                                                                                                       
                    :                                                                                                       
     ───────────────────────────────────                                                                                   
                    :                                                                                                       
                    :                                                                                                  -   
              .-----+-----.                                                                                                 
 192.168.178.1| Fritzbox  |                                                                                                 
              '-----+-----'                                                                                                 
                    |                                                                                                       
                WAN |192.168.178.11                                                                                         
                    |                                          Mailserver                                           -       
              .-----+------.                 .------------.    Nextcloud                                                   
Wireguard     |  OPNsense  +------LAN-2------+ Miniserver |    MySQL                                                       
Server        '-----+------'   192.168.2.1   '------------'                                                                 
10.10.0.1           |                                                                                                       
              LAN 1 | 192.168.1.1                                                                                           
                    |                                                                                                       
              .-------------                                                                                               
              | LAN-Switch |                                                                                               
              '-----+------'                                                                                               
                    |                                                                                                       
          |---------+--------|                                                                                             
          |                  |                                                                                             
          |                  |                                                                                             
    .------------.   .------------.                                                                                         
    + Client     |   +  Client    |                                                                                         
    '-----:------'   '-----:------'                                                                                         
                                                                                                                           
                                                                                                                           
                                                                                                                           
                                                                                                                           


[lewald]

Was ist bei Allowed IP eingetragen?
Beim Peer und beim WG Client

[Bob.Dig]

Und wie sehen die Firewallregeln aus?

[hdkirschbaum]

Peer:
allowed adress:10.10.0.2/32

Client 10.10.0.2
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
bei windows ist kein  Haken bei "Blockiere Verkehr außerhalb des Tunnels"

wird der Haken gesetzt, dann
AllowedIPS =  0.0.0.0/0, ::/0

[hdkirschbaum]

Vielen Dank für die schnellen Antworten.
Hier meine Meine Firewall Regeln

Interface Wireguard:
IPv4 TCP/UDP   *   *   *   *   *   *      Allow WireGuard devices access to anywhere      
IPv4 UDP   WireGuard net   *   192.168.1.1   5310   *   *      ADGuard DNS

Interface LAN2 (hier NAS)
Protocol   Source   Port   Destination   Port   Gateway   Schedule      Description       
Automatically generated rules   
        IPv4 TCP/UDP   *   *   *   *   *   *      wiregard access to NAS      
        IPv4 TCP/UDP   NAS net   *   *   587 (SUBMISSION)   *   *      Allow SMTP ohne Surfshark      
        IPv4 ICMP   NAS net   *   This Firewall   *   *   *      NASnrt_To_Firewall_Ping      
        IPv4 TCP/UDP   192.168.2.100   *   This Firewall   6556   *   *      Checkmk allow      
        IPv4 *   NAS net   *   *   *   *   *      Allow alltraffic      
        IPv6 *   NAS net   *   *   *   *   *      Default allow LAN IPv6 to any rule

NAT For Ward
Interface   Proto   Address   Ports   Address   Ports   IP   Ports   Description      
LAN   TCP   *   *   LAN address   22, 80, 443   *   *   Anti-Lockout Rule   
         LAN   UDP   LAN net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS      
         WireGuard   UDP   WireGuard net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS      
         WAN   TCP   *   *   WAN address   22 (SSH)   192.168.2.100   22 (SSH)   NAT SSH to Miniserver

Zusätzlich muß ich erwähnen, daß ich über einen VPN-Server "Surfshark" ins Internet gehe.
In OPNsense ist ein "Surfshark - client" eingerichtet; Port 51280.
Unabhängig ob ich den Traffic über "surfshark" leite oder nicht (client auf OPNsense disabled) kann ich nicht von Extern auf das 2. subnetz zugreifen.

Gruß
hdkirschbaum

[chemlud]

...und die Routen auf dem Notebook? :-)

[hdkirschbaum]

Hier der Code auf dem Notebook:

[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1

[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

[lewald]

Nun wenn es nur um Zugriff auf die interne Netze geht würd ich folgendes machen.

AllowedIPs = 192.168.1.0/24 , 192.168.2.0/24

Ist das auf dem Notebook ein Original WG Client?

[chemlud]

Nun wenn es nur um Zugriff auf die interne Netze geht würd ich folgendes machen.

AllowedIPs = 192.168.1.0/24 , 192.168.2.0/24
...

Ich würde noch die remote tunnel IP dazu nehmen, aber ansonsten: Full support... :-)

[lewald]

Jup der muss natürlich auch rein.

[hdkirschbaum]

Vielen Dank für die vielen Tipps.
Ich glaube der Tipps von @lewald und @chemlud waren die Lösung. Ich habe  alle möglichen Allowed IPS eingetragen, ebenso den Tunnel selbst. Zusätzlich wurde DNS erweitert mit 8.8.8.8.
Siehe Code

Somit scheint das Problem gelöst zu sein. Zur allgemeinen Information, Client.conf für mein Smartphone klappte die Verbindung ohne die o.a. Erweiterungen, auch die Verbindung auf das 2. Subnetzt. Es scheint wohl eine Eigenart von Windows auf meinem Notebook zu sein.

Nochmals vielen Dank für Eure Hilfe!!!!
Gruß
hdkirschbaum

Code: [Select]

[Interface]
PrivateKey =
Address = 10.10.0.2/32
DNS = 192.168.1.1, 8.8.8.8

[Peer]
PublicKey =
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

[hdkirschbaum]

Guten Morgen oder besser schlechter Morgen,

nach der Freude, daß gestern der Zugriff auf alle sunetze vom Notebook geklappt hat, heute morgen die große Enttäuschung. Nach dem Booten des Notebooks und Aktivieren von wireguard konnte kein subnetz erreicht werden.
Ichvermute, das liegt nicht an OPNsense sondern an windows.
Ich versuche heraus zu kriegen, woran dieses Verhalten liegt.

Vielleicht hat jemand noch einen Tipp....auch wenn es vielleicht an Windows liegt.
Schade !!!!
Gruß
hdkirschbau

[hdkirschbaum]

Ich glaube , ich habe die Lösung gefunden.

Zunächst habe ich auf dem Notebook Wireguard-client deinstalliert und neu installiert. Anschließen habe ich das das WLAn als "Privates Netzwerk" eingerichtet. 

Hinweis wurde aus der website
https://www.andysblog.de/wireguard-server-unter-windows-einrichten
entnommen. Da steht:

"Eine Einschränkung scheint es zu geben: Die Clients können zwar auf den WireGuard-Server zugreifen (z.B. ping, rdp, usw.) aber umgekehrt vom Server auf die Clients klappt dies nicht. Die Netzwerkkategorie auf dem VPN-Client ist dabei richtig konfiguriert (Privates Netzwerk) und die gewünschten Dienste sind in der Firewall zugelassen."

Zusätzlich wurde in der Windows-Firewall als "Eingehende Regel" wiregauard.exe zugelassen.

Ja Windows ist halt nicht Linux.

Der code von Wireguard-client wurde Schritt für Schritt angepasst. Es klappt nun mit o.a. Code, selbst ohne die internen Subnetze als AllowedIPS anzugeben.

Selbst nach einem Reboot des Notebooks, läuft alles wie gewünscht.
Vielen Dank für die Unterstützung.
hdkirschbaum

Code: [Select]

[Interface]
PrivateKey = xxxxxxx
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = xxxxxxxxx
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = xxxxxxxxxx


[uneu]

Hier der Code auf dem Notebook:

[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1

[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

Mein Vorschlag:
DNS = 10.10.0.1, 192.168.1.1

... bist Du in einem vertrauenswürdigen Netzwerk:
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24

... wenn aber Bahnhof, Flughafen oder sonstwo:
AllowedIPs = 0.0.0.0/0

Gruß Udo

[meyergru]

Nur so eine Vermutung: https://www.chip.de/news/Schwere-Update-Panne-bei-Microsoft-Windows-kappt-VPN-Verbindungen_185256435.html

Aber wenn's wieder geht, ist ja alles gut...