Site2Site zwischen zwei OPNsense

[cklahn]

Hallo Forum,
Am Standort A werkelt hinter einer Kabel-FritzBox eine OPNsense mit einem Netzwerk (Server, NAS zur Datensicherung usw.). Auf der Fritz!Box ist Exposed-Host auf die OPNsense eingestellt. Alles gut.

Nachts läuft ein Backup auf das NAS, welches danach über einen Site2Site-Wireguard-Tunnel auf ein NAS an Standort B übertragen werden soll.

Am Standort B hängt eine FritzBox direkt mit PPPoe an einem Glasfaseranschluss. Sie stellt WLAN sowie das interne Netzwerk für den Haushalt bereit. Auch alles gut.

Nun soll im Netz der FritzBox eine OPNsense stehen, welche WAN-seitig im FritzBox-Netz hängt und LAN-seitig ein neuen IP-Bereich hat, in welchem das NAS hängt. Die OPNsense soll quasi lediglich ein RED für das NAS sein.

Ich habe die OPNsense am Standort B hier bei mir zu Hause mit den Wireguard-Einstellungen eingerichtet und ebenso die OPNsense am Standort A. Die Verbindung wurde einwandfrei aufgebaut und ich konnte aus dem Netz am Standort A auf das NAS im LAN-Netz der zweiten OPNsense zugreifen.

Ich habe die OPNsense zum STandort B geschickt und den dortigen Bewohner gebeten, diese WAN-seitig an das FritzBox-Netz anzuschliessen und LAN-Seitig das NAS. IP-Adressen stimmen alle.

Die OPNsense soll den Verbindungsaufbau initiieren und versuchen, sich mit der OPNsense am STandort A verbinden (feste IP v4 vorhanden).

Von daher habe ich keinen Exposed-Host auf der FritzBox am STandort B gemacht, um möglichst das dortige Netzwerk nicht zu beeinflussen. Wenn die OPNsense auf Port 51820 einen Verbindungsaufbau versucht, dann müsste ja eine Antwort der OPNsense von Standort A ebenfalls auf Port 51820 durchgelassen werden. Oder muss ich den Port 51820 per PortForwarding an die OPNsense durchlassen?

Besten Dank im Voraus

Gruß
Christoph

[userbenutzer]

Moin,

ich persönlich fände es etwas aufwändig für so einen Einsatzzweck eine komplette OPNsense administrieren zu müssen.
Ich habe es daher für einen ähnlichen Fall anders herum gebaut, den Wireguard Server der FritzBox genutzt und auf einem Server von mir dann als Wireguard Client eingerichtet. DynDNS ging über MyFritz.
(Später wurde aber nochmal umgebaut auf Site-to-Site zwischen OpnSense und FritzBox, da noch mehr zwischen den Standorten passieren sollte)


Aber ich denke du hast vermutlich auch deine Gründe für den gewählten Aufbau und funktionieren müsste das auch gut.


Wireguard hast du alles richtig?
Wenn ich richtig weiß: Wenn Standort A nur Responder sein soll, lässt du da Endpoint Adress weg und Standort B muss Keep Alive 25, damit der Tunnel auch immer offen bleibt. 

Zu den Regeln:
Port 51820 ist nur der Zielport.

Du brauchst dann an Standort A nur eine Regel wie:
Action
Pass
Interface
WAN
Direction
In
TCP/IP Version
IPv4
Protocol
UDP
Source
*
Destination
<WAN IP Standort A>
Destination port
51820
Description
Allow Wireguard from Site B to Site A



Standort B braucht keine Regel in der FritzBox.

[cklahn]

Hallo,

genau diese Einstellungen habe ich exakt so, wie Du sie beschrieben hast. Wenn ich unter "Status" schaue, dann ist "Interface" mit einem grünen Haken versehen, "Peer" aber mit einem roten X.

So ist ja auch die Standard-Config aus der Hilfe.

Gruß

[cklahn]

So, Fehler gefunden. Eigentlich ganz einfach ;-).

Das Problem war das Doppel-NAT am Hauptstandort. Ich habe als eigehende Filterregel auf die feste IP des Standortes gefiltert. Da aber an der festen IP die WAN-Seite einer Fritz!Box hängt und diese dann per Exposed-Host an die WAN-Schnittstelle der OPNsense weiterleitet, ist die Filterregel auf "WAN adress" zu setzen gewesen und nicht auf die feste IP.

Gruß
Christoph