Wireguard blockt gesamte Internetverbindung in der FW

[bread]

Hi mal wieder,

ich habe Wireguard einegrichtet und kurioserweise komm ich mit einem Client im LAN nicht mal mit nem ping raus, wenn Wireguard auf der FW an ist. Also der Client hat nichts mit Wireguard zu tun, einfach lokaler Client.

Folgende Regeln sind aktiv:
Floating - PrivateNetworkDevices --> ! Private_Networks
Floating - Private_Networks ICMP --> any
LAN - LAN net --> Private_Networks net
PiHole - PiHole --> This Firewall DNS
WAN - any --> WAN address (WG Port)
WireGuard - WireGuard net --> WireGuard address DNS
WireGuard - WireGuard net --> ! Private_Networks
WLAN - WLAN net --> PiHole

Bei Normalization:
WireGuard (group) - any --> any Wireguard MSS Clamping IPv4

Das wars.
Und wenn ich WireGuard starte, cutet er mir die Verbindung für ALLE!
Kein Client kann pingen, aber auch die FW selbst nicht.

WTF???

Ich hab mir den Umstieg von ipfire einfacher vorgestellt 

[Patrick M. Hausen]

Wie sieht denn "AllowedIPs" für diese Wireguard-Verbindung aus?

[bread]

Wie sieht denn "AllowedIPs" für diese Wireguard-Verbindung aus?

bisher als Standard genullt. Wollte das erst nachdem alles funktioniert anpassen und mich informieren, was da am sinnvollsten ist. Aber der Peer ist ja nicht mal verbunden, da klappt noch etwas nicht.

ACH CRAZY!! Du Genie! 
Wenn ich den Peer deaktiviere, geht alles. Wie zum Teufel kann das denn sein?

Dann mal gleich bei der Gelegenheit die Frage in Bezug auf AllowedIPs:
kommt da die eigene IP des Peers rein und die IP von PiHole (in meinem Fall) und gut ist?

Setze ich die beiden IP-Ranges von VPN-Client-Netz und PiHole-Netz (10.1.1.1/24, 192.168.4.1/24) dann bekomme ich Bad Address beim Verbindungsversuch in der ClientApp.

Edit:
Ah! Es sind wieder die Prefixes... es wird Zeit sich damit tiefer zu beschäftigen.
10.1.1.1/32, 192.168.4.1/32
Dann verbindet er sich schon mal.
Auch wenn noch keine Daten fließen. Aber immerhin! 

[Patrick M. Hausen]

Per Default in Wireguard - nicht OPNsense-spezifisch - ist die "AllowedIPs" Liste gleichzeitig eine Anweisung, welche Netze über den Tunnel zu routen sind.

Wenn da also 0.0.0.0/0 drin steht - jetzt mal wild geraten  - dann geht jedweder Verkehr durch den Tunnel. Also schießt man sich damit evtl. auch lokale Verbindungen ab.

Was genau willst du mit der WG-Verbindung denn erreichen? Du könntest bei der "Instance" den Haken bei "Disable Routes" setzen und dann z.B. über Firewall-Regeln gezielt Traffic durch den Tunnel schicken.

[bread]

Wenn da also 0.0.0.0/0 drin steht - jetzt mal wild geraten  - dann geht jedweder Verkehr durch den Tunnel. Also schießt man sich damit evtl. auch lokale Verbindungen ab.

Aber das ist ja die Einstellung auf dem Client. Auf dem Server habe ich den Punkt AllowedIPs gar nicht gesehen.
D.h. der Client sagt dann der FW, dass sie ihren ganzen Verkehr durch WG routen soll?? Das ist ja crinch, wie die Jugend heute sagen würde! 

Ich glaub, ich habe diese AllowedIPs-Sache noch nicht wirklich verstanden.

Was genau willst du mit der WG-Verbindung denn erreichen? Du könntest bei der "Instance" den Haken bei "Disable Routes" setzen und dann z.B. über Firewall-Regeln gezielt Traffic durch den Tunnel schicken.

Ich will einfach einen Road Warrior, nen Handy, der das Internet mit dem PiHole Zuhause nutzt.

"Disable Routes" habe ich jetzt mal bei der Instance gesetzt.
AllowedIPs beim Client sind jetzt wie folgt:
10.1.1.1/32, 192.168.4.1/32, 192.168.5.1/32
Die IP-Range des VPN-Servers, des PiHoles und des WANs

Entsprechende Regeln sind (wie oben ersichtlich) gesetzt.

Kein Datenfluss.

[Patrick M. Hausen]

Für einen Roadwarrior setzt du beim Peer dessen IP-Adresse mit /32 in die AllowedIPs.

[bread]

Für einen Roadwarrior setzt du beim Peer dessen IP-Adresse mit /32 in die AllowedIPs.

Hab ich gemacht, kein Datenfluss.
Muss nicht die PiHole-Adresse noch als AllowedIPs rein und die Adresse des WAN net?
Client muss ja drauf zugreifen können.

Edit:
OK, mein DynDNS ist tot. Muss erstmal schauen, was da los ist.

[tiermutter]

Aber nicht [Peer] Allowed IPs bei Client und Server verwechseln.
Das sind zwei unterschiedliche Sachen.

Gab es schon hier mit dem Vorschlag die Beschreibung in der Sense anzupassen:
https://forum.opnsense.org/index.php?topic=39938.msg195670#msg195670

Und vor wenigen Stunden erst wieder hier (vermutlich):
https://forum.opnsense.org/index.php?topic=41260.msg202333#msg202333

[bread]

Aber nicht [Peer] Allowed IPs bei Client und Server verwechseln.

Das dachte ich auch, aber wo ist die Einstellung von AllowedIPs für den Server??

Danke für die Links, werd mir mal anschauen.

[tiermutter]

Allowed IPs beim Server hat nichts mit "erlaubten" oder gerouteten IPs zu tun, auch wenn es dämlicherweise so heißt. Die Routingoption gibt es serverseitig nicht, sondern nur im Client.

[bread]

Allowed IPs beim Server hat nichts mit "erlaubten" oder gerouteten IPs zu tun, auch wenn es dämlicherweise so heißt. Die Routingoption gibt es serverseitig nicht, sondern nur im Client.

Also Server hat gar keine AllowedIPs-Einstellung? Ich fand nämlich keine.
Irgendwie check ich die Sache mit den AllowedIPs gar nicht, egal wieviel ich schon darüber gelesen habe.

Gibts irgendwo DIE beste Beschreibung dafür?

[tiermutter]

Eigentlich finde ich die Beschreibung vom ersten Link (mein Vorschlag wie es lauten sollte) schon ganz gut.

Server: Ist die Host (!) IP die dem Client zugewiesen wird, findet sich auch in der Client Config wieder, heißt hier aber "Addresses".

Client: Sind die Adressbereiche die über den Tunnel geroutet werden, diese Einstellung gibt es serverseitig nicht.

[Patrick M. Hausen]

Auf der Server-Seite kommt die beim Peer rein.

[tiermutter]

... bedeutet hier dann aber, dass das die IP ist, die dem Client zugewiesen wird.

Nach was suchen wir denn jetzt? Von "allowed IPs" dürfen wir nicht reden, da das ja an jeder Stelle was anderes bedeutet 

[bread]

Jungs, ich verstehe nicht ganz. Ich sehe KEINE AllowedIPs oder Addresses beim Server (Edit Instance). Es gibt nur Tunnel Address, also die IP vom Server selbst, wie ichs verstehe.

Und beim Client gibts sie in der App, sowie bei der Peer-Einstellung.
Dort habe ich jetzt die IP vom Client selbst. Das ist vermutlich falsch, denn da muss die IP vom Server mit /32 kommen oder nicht? Und wenn ich mein PiHole erreichen will und ins Internet über VPN will, dann muss ich doch noch die IP von Pihole /32 und die IP von WAN mit /32 beim Client anfügen oder nicht?

Edit:
ach, Server-Side ist gemeint die Einstellung vom Peer auf der OPNsense, richtig?
Und ich suche es beim Interface.
Client-Side ist dann die App auf dem Android z.B.

CLIENT SIDE:
[Peer]
AllowedIPs = IPs to be routed via VPN

Was bedeutet das konkret?