Wireguard Site to Site | 2 private Adressbereiche

Started by neuling10, February 23, 2025, 04:43:05 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 23, 2025, 04:43:05 PM
Hallo an die Runde,

zuerst zu meinem Setup:
Wireguard Site to Site Verbindung zwischen 2 Opnsense Firewalls. Beide Opnsese sind mit je einem Router im Bridge Mode verbunden, die eine dynamische, öffentliche IP vom ISP erhalten. Die Wireguard Verbindung ist aufgrund der dynamischen öffentlichen IPs mit DynDNS Domains aufgebaut. Das Setup funktioniert, ich kann von Site A auf das LAN von Site B zugreifen und umgekehrt.
LAN IP Range Site A: 10.100.1.1/16. Die Admin-Seite des Routers ist werksseitig über 192.168.1.1 erreichbar
LAN IP Range Site B: 100.200.1.1/16. Die Admin-Seite des Routers ist werksseitig über 192.168.0.1 erreichbar

Ziel: Ich würde gerne von Site A zusätzlich zum LAN-Netzwerk Site B auch auf die Admin Site des Routers auf Site B zugreifen und vice versa.

Ich habe in den Wireguard Peer Einstellungen bei den zugelassenen IPs die Router IP der jeweiligen Gegenseite ergänzt (192.168.1.1/32 bzw. 192.168.0.1/32) und im Wireguard Interface die FW Rule Site A mit
allow   IPv4*   10.100.1.1/16   *   192.168.0.1/32   *   *   *
und Site B mit
allow   IPv4*   10.200.1.1/16   *   192.168.1.1/32   *   *   *
ergänzt.

Leider erreiche ich die Router-Oberfläche auf der jeweiligen Gegenseite nicht. Über eine Wireguard iOS Verbindung zu Site A am Smartphone erreiche ich den Router der Site A jedoch problemlos.

Meine Überlegungen:
- Ist es möglich, dass über eine Wireguard Site to Site VPN Verbindung nur eine interner IP Range geteilt werden kann? Also nicht 10.100.1.1/16 und zusätzlich auch noch 192.168.1.1/32? Bräuchte ich somit eine zusätzliche separate Site to Site Verbindung?
- Funktioniert das Setup möglicherweise nicht, weil 2 idente private Netzwerke (192.168.1.1/24) auf beiden Seiten vorhanden sind?
- Oder liegt es einfach an einem Konfigurationsfehler meinerseits?

Danke Euch für Eure Tipps!

Grüße
neuling10

February 23, 2025, 05:59:52 PM #1
Quote from: neuling10 on February 23, 2025, 04:43:05 PMweil 2 idente private Netzwerke (192.168.1.1/24) auf beiden Seiten vorhanden sind?
Inwiefern sind die Netze identisch?
February 23, 2025, 06:20:15 PM #2
Die ersten beiden Segmente sind ident mit 192.168

Da die Router werksseitig mit 192.168.1.1 bzw. mit 192.168.0.1 erreichbar sind, kann ich diese nicht ändern auf z.B. 192.168.0.0/24 und 172.16.0.0/24, wie in der WireGuard Site-to-Site Setup Doku zu lesen
https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html
February 23, 2025, 06:26:05 PM #3
Aber 192.168.0.0/24 und 192.168.1.0/24 sind 2 unterschiedliche Subnetze im 192.168.0.0/16 Bereich. Da braucht man keine Tricks.
Hardware:
DEC740
February 23, 2025, 07:34:51 PM #4
Wenn Du ansonsten alles richtig gemacht hats und es entsprechende Routen gibt, dann musst Du wahrscheinlich noch jeweils das Outbound-NAT anpassen.
Print
Go Up Pages1
User actions