Frage wegen LAN Interface Regeln

[hattmann]

Guten Tag zusammen!
Ich bin relativ neu bei OPNsense und hätte eine Frage wegen der Kommunikation mit Subnetzen hinter dem LAN Interface.

Ich habe in der Zentrale und in der Filiale jeweils eine Wireguard VM, der Tunnel zwischen den beiden Maschinen funktioniert. Traceroute und Ping gehen zu beiden Seiten von ALLEN Maschinen zueinander durch.
Es lassen sich alle Dienste der Filiale (hat nur eine Fritzbox) von Seiten der Zentrale nutzen.

Umgekehrt ist es jedoch so, das ich aus der Filiale nicht die Webseite des NAS abrufen kann.

Regeln die ich bis jetzt definiert haben:

Alias PrivateNetworks = 192.168.178.0/24+Wireguard Transfernetzwerke
Gateway Wireguard habe ich als Gateway mit der IP 172.16.8.250 angelegt

LAN Interface
IN, Source 172.16.8.0/24 Destination PrivateNetworks, Gateway WIREGUARD, State type: none
IN, Source PrivateNetworks Destination 172.16.8.0/24, Gateway WIREGUARD, State type: none

Firewall Optimization: conservative
State type: none habe ich hier im Forum gefunden als Tipp: https://forum.opnsense.org/index.php?topic=44396.0

Könnte mir jemand da einen Tipp geben was ich noch nachschauen könnte, bzw. was noch notwendig sein könnte an Regeln?
Vielen Dank!

[viragomann]

Warum nutzt du nicht Wireguard auf OPNsense?

Firewall Optimization: conservative
State type: none habe ich hier im Forum gefunden als Tipp: https://forum.opnsense.org/index.php?topic=44396.0

Damit hättest du dir diesen Murx ersparen können.

Ich frage mich auch, wie du das Routing gelöst hast. Das gehört hier zum Problem.

Um das sauber zu lösen, wenn der VPN Tunnel auf einem internen Gerät terminiert wird, sehe ich zwei Möglichkeiten:

• Die VPN VM raus aus dem LAN und in ein eigenes Subnetz verlegen. So können alle Routen über das Default Gateway gehen.
• Die Routen für die Remoteseite auf allen Geräten einrichten, die damit kommunizieren können sollen.

[hattmann]

Vielen Dank, das werde ich probieren! Die Wireguard Konfig auf OPNsense selbst verlegen ist definitiv eine Option, da das aber vor dem Firewall-Wechsel schon lief wollte ich nicht sofort alles umbauen.

[hattmann]

Ich nutzte nun den Wireguard Service auf der OPNsense, jedoch gehen immer noch nicht alle Hosts anzusprechen.

IPERF Plugin auf der Firewall läßt sich von der Filialseite her ansprechen:

iperf3 -c 172.16.8.254 -p 17422

Connecting to host 172.16.8.254, port 17422
[  5] local 10.255.254.2 port 56312 connected to 172.16.8.254 port 17422
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.01   sec  1.12 MBytes  9.37 Mbits/sec
[  5]   1.01-2.01   sec  1.00 MBytes  8.40 Mbits/sec
[  5]   2.01-3.01   sec   768 KBytes  6.30 Mbits/sec
[  5]   3.01-4.00   sec   896 KBytes  7.35 Mbits/sec
[  5]   4.00-5.00   sec   896 KBytes  7.34 Mbits/sec
[  5]   5.00-6.00   sec   640 KBytes  5.25 Mbits/sec
[  5]   6.00-7.01   sec   512 KBytes  4.18 Mbits/sec
[  5]   7.01-8.01   sec   640 KBytes  5.23 Mbits/sec
[  5]   8.01-9.01   sec   768 KBytes  6.27 Mbits/sec
[  5]   9.01-10.01  sec   640 KBytes  5.24 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.01  sec  7.75 MBytes  6.49 Mbits/sec                  sender
[  5]   0.00-10.06  sec  7.50 MBytes  6.25 Mbits/sec                  receiver

Windows Server RDP Dienste kann ich aufrufen, Synology und alle Linux Hosts jedoch nicht.

Was kann das denn wohl noch sein?

[viragomann]

Synology und alle Linux Hosts jedoch nicht.

Vielleicht blockieren diese selbst Zugriffe von außerhalb ihres Subnetzes?

Windows erlaubt das meist auch nur mit entsprechender Konfiguration, allerdings wird die Firewall Regel für RDP beim Aktivieren des Services automatisch eingerichtet.

[hattmann]

Die Lösung war eine Umstellung der MTU Werte bei den Hosts und Geräten auf der Seite der Zentrale. MTU Wert von 1300 (statt 1500) führte dazu das alle Hosts komplett ansprechbar sind. Vielen Dank an alle Tippgeber.