Nach Reload Wireguard werden statische Routen nicht gesetzt

Started by Fenris14, June 12, 2025, 11:45:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 12, 2025, 11:45:39 AM
Hallo,

wie der Titel schon sagt: Wenn ich in der OPNsense 24.7.12 unter "VPN > Wireguard > Peers" zum Beispiel einen Peer hinzufüge und danach "Apply" betätige, schmeißt er mir vorher angelegte statische Routen unter "System > Routes > Configuration" raus. Das passiert aber nur bei Routen die auch mit dem Wireguard-Interface korrespondieren. Wenn das passiert muss ich manuell in jenem Menü für die Routen diese nochmal aktivieren.

Das WG-Interface hat allerdings die Lock-Option gesetzt, wovon ich mir erhofft habe, das genau dieses Phänomen nicht passiert. Das Routen wegfliegen, wenn das zugrundeliegende Interface weg ist, ist ok. Aber nicht wenn ich sage das Interface bestehen bleiben soll.

OPNsense Maschine ist eine VM mit vtnet Interfaces. Falls das eine Rolle spielt.

Hat dafür jemand eine Lösung?

Grüße
June 12, 2025, 11:53:32 AM #1
WG legt die Routen per Default selbständig an auf Basis der "AllowedIPs". Weshalb definierst du sie an anderer Stelle?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 12, 2025, 12:28:01 PM #2
Ich verwende WG mit der Option "no routes" und verwende dann dynamisches Routing mit BGP. Als Neighbor-Peer-Adressen verwende ich Adressen die auf dem Loopback-Interface liegen. Damit die Gegenstelle weiß, wohin es die Pakete für den Neighbor schicken muss, wird dafür auf das WG-Interface eine Route gelegt.

Gibt es noch einen anderen Weg? Bin für Verbesserungsvorschläge offen.
June 12, 2025, 12:52:15 PM #3
OK - möglicherweise haut "no routes" die existierenden Routen aktiv weg. Würde mal im OPNsense Source gucken, ob die Sense das macht, oder WG.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 12, 2025, 01:44:47 PM #4
Ohne jetzt den Source Code gesichtet zu haben, vermute ich das es von Wireguard ausgeht. Das Problem ist das unter "Interfaces" die Lock-Option ignoriert. Nach jedem Reload wird das WG-Interface neu angelegt. Unter Linux kann man die Route mit "OnLink" anlegen, damit eben genau das nicht passiert. Ein Pendant in OPNsense ist nicht auffindbar.

Ich habe auch versucht das Problem zu umschiffen, indem ich STATIC vom FRR-Package verwende. Dort passiert aber genau das gleiche. Sobald Reload von WG, müssen auch hier manuell die Routen wieder aktiv gesetzt werden.

WG-Peer-Adressen verwenden ist leider auch keine Option, da dies dazu führt das der BGP-Daemon sich nach Reload nicht mehr aktiv verbindet zum Neighbor. Nur ein Reload des Daemons, behebt dieses Verhalten. Beide Wege haben so ihre Nachteile, keine davon funktioniert zuverlässig.

Irgendwie müsste das von OPNsense irgendwie berücksichtigt werden. Vielleicht mit einer ONLINK-Option bei den Gateways.
Print
Go Up Pages1
User actions