OPNsense - Wireguard läuft nicht so wie gewünscht

[DerProf]

Hallo zusammen!

Ich habe ein erneutes Problem und zwar habe ich zu Hause eine OPNsense mit Wireguard laufen und in einem Rechenzentrum ebenso OPNsense mit Wireguard. Hier möchte ich eine Site-to-Site Verbindung aufbauen um aus meinem Netzwerk durch VPN ins RZ zu kommen.

Zu Hause:

      WAN / Internet
            :
            : Mobiles Internet mit statischer IPv4
            :
      .-----+-----.
      |  Gateway  |  Fritzbox -
      '-----+-----'    Portfreigabe OPNsense Exposed Host
              |
            LAN 192.168.188.1/24 (kein DHCP)
              |
      .-----+------.                                                                       .-------------+------------.
      | OPNsense |  -----------------------------------------------------| WireGuard Site-to-Site |
      '-----+------'   vtnet0 = WAN: 192.168.188.5/24                    '-------------+------------'
              |                           GW: 192.168.188.1                         Instances:
              |            vtnet1 =  LAN: 192.168.2.1/24                       Tunnel Address: 192.168.99.2/24
              |                                                                                Peer:
              |                                                                                Allowed IPs: 192.168.99.1/32
            LAN
              |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Rechenzentrum:

      WAN / Internet
            :
            : puplic IPv4
            :
      .-----+-----.   
      |  Gateway  |   
      '-----+-----'   
              |
           WAN
              |
      .-----+------.                                                                       .-------------+------------.
      | OPNsense |  -----------------------------------------------------| WireGuard Site-to-Site |
      '-----+------'   vtnet0 = WAN: 134.255.244.215/27                '-------------+------------'
              |                           GW: 134.255.244.225                     Instances:
              |            vtnet1 =  LAN: 192.168.1.1/24                       Tunnel Address: 192.168.99.1/24
            LAN                                                                              Peer:
              |                                                                                Allowed IPs: 192.168.99.2/32
              |
              |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Ich hoffe man kann das Netzwerk erkennen.

Aktuell ist es so, dass ich von meinem Büro nicht ins Rechenzentrum per WireGuard komme, weil keine Verbindung aufgebaut werden kann.

Peer disconnected

Ich kann mich aber mittels Handy durch WireGuard ins Rechenzentrum und ins Büro erfolgreich verbinden. Getestet im W-Lan zu Hause und auch ohne W-Lan. Egal wie, ich hab immer Internet und ich kann die Netzwerke mit ping erreichen.
Somit sollte ich ausschliesen können, dass die Fritzbox probleme macht oder?

Die puplic IP im Rechenzentrum wurde abgeändert!

OPNsense läuft zu Hause aktuell noch auf einer Synology mit jeweils einer Netzwerkkarte für WAN und LAN.

Vielleicht kann mir jemand weiter helfen, ich wäre sehr dankbar.

Wünsche noch einen schönen Abend.

Mit freundlichen Grüßen
DerProf

[osmom]

"OPNsense läuft zu Hause aktuell noch auf einer Synology mit jeweils einer Netzwerkkarte für WAN und LAN."

Das Verwirt mich jetzt etwas. In deiner Zeichnung ist die Synology nicht enthalten.
Möchtest du WG auf der OPNS. zum laufen bringen?
Kann ich davon ausgehen das deine Pub-IPv4 uner "ALLOWED IPs" eingetragen sind, nur nicht gezeichnet?

[schmuessla]

Allowed IPs: 192.168.99.2/32 im Rechenzentrum bedeutet, dass er nur an das Subnetz 192.168.99.2/32 Pakete durch den Tunnel routed und nur von dem Subnetz 192.168.99.2/32 Pakete akzeptiert. Ich vermute mal, dass ist nicht das, was du willst, da z.b. alles aus  192.168.2.1/24 was ja anscheinend dein lokales Netz ist gedropped wird.

[DerProf]

"OPNsense läuft zu Hause aktuell noch auf einer Synology mit jeweils einer Netzwerkkarte für WAN und LAN."

Das Verwirt mich jetzt etwas. In deiner Zeichnung ist die Synology nicht enthalten.
Möchtest du WG auf der OPNS. zum laufen bringen?
Kann ich davon ausgehen das deine Pub-IPv4 uner "ALLOWED IPs" eingetragen sind, nur nicht gezeichnet?

Hab ich nicht daran gedacht, dass es so wichtig ist, da ich ja die wichtigen Infos gegeben hab, glaubte ich zumindest 
Also in "ALLOWED IP's" sind die Pub-IPv4 nicht eingetragen, da ich gedacht habe, der Tunnel geht von WG1 zu WG2 und es ist egal was dazwischen ist. Hab es aber geändert und funktioniert ebenso nicht.
Wireguard soll in der OPNsense laufen und mit dem Handy kann ich ja auf beiden Seiten zugreifen.

Allowed IPs: 192.168.99.2/32 im Rechenzentrum bedeutet, dass er nur an das Subnetz 192.168.99.2/32 Pakete durch den Tunnel routed und nur von dem Subnetz 192.168.99.2/32 Pakete akzeptiert. Ich vermute mal, dass ist nicht das, was du willst, da z.b. alles aus  192.168.2.1/24 was ja anscheinend dein lokales Netz ist gedropped wird.

Das Problem liegt aber darin, dass dieser Tunnel zwischen WG1(Zu Hause) und WG2(Rechenzentrum) gar nicht zustande kommt. Daher sind ja die Allowed IPs noch nicht interessant oder?

-----------------------------------------------------------

Vielleicht ist hier jemand, der mich direkt Unterstützen kann mittels Direktnachrichten/Discord oder was anderes. Ich benötige eine stabile VPN ins Rechenzentrum und das schon dringend, da ich schon mehrere Wochen immer wieder es versucht habe.
Wahrscheinlich ist es irgendwo eine Kleinigkeit und ich würde mich auch dankbar zeigen für eine erfolgreiche Hilfe.

DANKE für Eure Zeit.
DerProf

[schmuessla]

Hab ich nicht daran gedacht, dass es so wichtig ist, da ich ja die wichtigen Infos gegeben hab, glaubte ich zumindest 
Also in "ALLOWED IP's" sind die Pub-IPv4 nicht eingetragen, da ich gedacht habe, der Tunnel geht von WG1 zu WG2 und es ist egal was dazwischen ist. Hab es aber geändert und funktioniert ebenso nicht.

Die public IP brauchst du nicht in AllowedIPs, macht denke ich auch keinen Sinn. Er würde dann den traffic zur public IP durch den Tunnel schicken, hat aber nichts damit zu tun, dass der Tunnel generell erreichbar ist.

Wireguard soll in der OPNsense laufen und mit dem Handy kann ich ja auf beiden Seiten zugreifen.
Das Problem liegt aber darin, dass dieser Tunnel zwischen WG1(Zu Hause) und WG2(Rechenzentrum) gar nicht zustande kommt. Daher sind ja die Allowed IPs noch nicht interessant oder?

Wie genau ermittelst du, dass der Tunnel nicht zustande kommt? Weil ohne Keepalivekonfiguration und ohne traffic gibt es auch keinen handshake zwischen den endpoints.

[DerProf]

Die public IP brauchst du nicht in AllowedIPs, macht denke ich auch keinen Sinn. Er würde dann den traffic zur public IP durch den Tunnel schicken, hat aber nichts damit zu tun, dass der Tunnel generell erreichbar ist.

Danke für die Info.

Wie genau ermittelst du, dass der Tunnel nicht zustande kommt? Weil ohne Keepalivekonfiguration und ohne traffic gibt es auch keinen handshake zwischen den endpoints.

Im Dashboard nutze ich die Anzeige von Wireguard und dort wird mir angezeigt wieviele Tunnel es gibt und wieviele davon online oder offline sind. Ebenso habe ich per ping versucht die verschiedenen IP's zu pingen.

[schmuessla]

Von welcher IP hast du versuchst welche zu Pingen?

[DerProf]

Von welcher IP hast du versuchst welche zu Pingen?

Ich bin jetzt her gegangen, um wirklich mein Netzwerk ausschließen zu können, und habe im Rechenzentrum auf eine zweite Pub-IPv4 eine OPNsense gepackt.

Gerne erstell ich hier noch mal einen Plan mit allen Angaben.

Auch hier habe ich wieder die Situation, dass ich mit Wireguard am Handy auf beide OPNasense mit Wireguard drauf komme und die IP vom Tunnel pingen kann. Trotzdem kann ich zwischen den beiden OPNsense mit Wireguard keine Verbindung aufbauen. Pingen der Tunnel IP's funktioniert nicht.
Habe bei Keepalive einen Wert von 25 hinterlegt und tortzdem keine Verbindung.

[Gauss23]

Ich würde bei den Basics anfangen: siehst du denn die Pakete der jeweiligen anderen OPNsense im Live view der Firewall Logs? Setzt voraus, dass du für die Regel Logging eingeschaltet hast. Es gibt am WAN jeweils eine Regel, die Port 51820 (oder den Port, den du gewählt hast) zulässt?

[schmuessla]

Schade, dass du meine Frage einfach ignorierst, so kann man dir leider nicht helfen.
Hier aber zum Schluss noch ein paar Tipps:

1. Wireguard ist kein chatty protocol. D.h. Im Dashboard kann die Tunnelanzeige nur grün werden wenn auch Daten fließen. Ein reines vorhandensein einer (gültigen) Konfiguration bedeutet nicht, dass es automatisch grün wird.
2. Die Wireguard config Seite ist etwas verbuggt. Nicht alle Änderungen führen mittels Apply zu einer (korrekten) Änderung on the fly. Das lässt sich mit wg show gegenprüfen bzw. Im Zweifelsfall reboot.
3. Mit deiner /32 AllowedIPs config würde ping nur von einer opnsense Instanz zur anderen funktionieren, aber nicht aus anderen Subnetzen. Leider unklar was du probiert hast.
4. https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

Viel Glück!

[DerProf]

@schmuessla

Es tut mir sehr leid wenn ich deine Frage nicht so beantwortet habe wie du es gerne gehabt hättest, aber ich hab sie nicht bewusst ignoriert.

Meintest du diese Frage?

Von welcher IP hast du versuchst welche zu Pingen?

Ich habe von jeweils der OPNsense Konsole direkt über "7) Ping host" die Tunnel IP der Gegenstelle, IP der OPNsense der Gegenstelle und auch die IP von der vm mit Linux drauf die sich hinter der OPNsense befindet im Netzwerk. Über diese vm logge ich mich auch aktuell per noVNC von Proxmox ein um ein die OPNsense drauf zu kommen.

Ich würde bei den Basics anfangen: siehst du denn die Pakete der jeweiligen anderen OPNsense im Live view der Firewall Logs? Setzt voraus, dass du für die Regel Logging eingeschaltet hast. Es gibt am WAN jeweils eine Regel, die Port 51820 (oder den Port, den du gewählt hast) zulässt?

Habe die Logs der FW für WG1 und WireGuard (Group) aktiviert, die Logs für WAN sind ja standart schon aktiviert. Das hab ich auf beiden Seiten gemacht und habe folgendes rausgefunden:

Würde gerne ein Screenshot hinzu fügen, aber schaffe es nicht....

Folgendes kann ich im Log sehen:

---------------------------------------------------------------------------

OPNsense_1 WAN:134.255.244.247 mit GW:134.255.244.225
               Tunnel: 10.10.10.1/24
               LAN: 192.168.1.1/24
               VM mit Linux zum erreichen der OPNsense Seite und zum Pingen: 192.168.1.200

Interface:               Source:                   Destination:
WG1       OUT         192.168.1.200          10.10.10.2

---------------------------------------------------------------------------

OPNsense_2 WAN:94.199.215.81 mit GW: 94.199.215.65
               Tunnel: 10.10.10.2/24
               LAN: 192.168.3.1/24
               VM mit Linux zum erreichen der OPNsense Seite und zum Pingen: 192.168.3.200

Interface:               Source:                            Destination:

1. Loopback   OUT       127.0.0.1                         10.10.10.2                 
2. WG1          OUT       10.10.10.2:20873             192.42.93.30:53
3. WG1          OUT       192.168.3.200:54661        8.8.4.4:53
4. WG1          OUT       192.168.3.200:55812        8.8.4.4:53

Nummer 1 und 2 wiederholen sie ein paar mal wobei bei Nummer 2 immer eine andere IP in der Destination steht.
Die Logs von OPNsense_1 und OPNsense_2 sind auf die Sekunde gleich, somit sollten die soweit zusammen hängen denke ich.

---------------------------------------------------------------------------

Egal von wo ich wohin pinge, es kommt immer die Meldung "Destiation Hoast Unreachable"

Die Einrichtung habe ich laut Anleitung von OPNsense gemacht und habe extra beide OPNsense Systeme komplett neu installiert.

Ich weiß nicht ob es wichtig ist, aber ich kann mich auf beide OPNsense Seiten mit meinem Handy mittels Wireguard verbinden und kann hier auch zugreifen.

Sollte ich mal eine Frage vergessen, dann nicht weil ich sie nicht beantworten möchte, sondern dann werd ich sie vergessen haben zu beantworten.

Danke für eure Hilfe.

[Gauss23]

Here it is how it looks for me:
Instance:
https://pasteboard.co/rlLuEvVx9qsq.png

Peer:
https://pasteboard.co/1cidmdokuhQM.png

Die Gegenseite hat:
10.4.3.30/26 als Tunnel Address
und 10.4.3.1/32,10.4.3.0/26 bei Allowed IPs