OPN zu OPN per Wireguard VPN - Wie kann ich das konfigurieren?

Started by BeTZe313, July 10, 2025, 03:48:17 PM

Previous topic - Next topic
Hallo Zusammen,
ich habe bei meiner OPN (OPN1) den Wireguard Server installiert und kann z.B. mit einem Wireguard Client bei mir auf dem Handy eine Verbindung zu dem Server aufbauen. Das funktioniert auch soweit.
Nun möchte ich gerne von einem anderen Standort mittels einer weiteren OPN (OPN2) eine Wireguard VPN Verbindung zu der ersten OPN aufbauen. Dabei hapert es aktuell etwas. Ich habe dabei folgendes Tutorial gefunden:
Tutorial

Dabei würde ich ja nur die OPN2 konfigurieren. Nur was mach ich bei der OPN1 einstellen? Und was ich mich dann noch frage, wie starte ich die Verbindung? Wird die automatisch dann aufgebaut?

Für Hilfe danke im voraus.

Du brauchst auf beiden Seiten eine Instanz und einen Peer - die jeweils andere Seite. Aufgebaut wird die Verbindung automatisch.

Was ist konkret unverständlich/schwierig?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Hallo Patrick,
war mir nicht sicher das die Verbindung automatisch aufgebaut wird. Dachte, dass muss man manuell machen.

Ich habe auf beiden Seiten eine Instanz und einen Peer eingerichtet.

Wenn ich bei beiden OPN den Wireguard Dienst neu starte bekomme ich bei der OPN2 in den Wireguard Log Files folgenden Eintrag:
Quote/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route add -host -'inet' '8.8.8.8' '10.100.100.100'' returned exit code '1', the output was 'add host 8.8.8.8: gateway 10.100.100.100 fib 0: Invalid argument'
Bei der steht auch unter Status, dass Daten gesendet wurde.

Bei der OPN1 steht in den Logfiles nichts und unter Status steht, dass der Peer Offline ist.

Zeig doch mal die Konfiguration auf beiden Seiten minus der private Keys.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Hi, hier die Konfiguration der beiden Seiten:

OPN1
Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.
You cannot view this attachment.

OPN2

Instance und Peer
You cannot view this attachment.
You cannot view this attachment.

Firewall Regel
You cannot view this attachment.

OPN2

Firewall Regel 2
You cannot view this attachment.

Gateway und Interface
You cannot view this attachment.
You cannot view this attachment.

Und du hast die Public Keys auf der jeweils anderen Seite im Peer drin?

Frage: was soll das mit den Gateways und weshalb sind bei einer GW-GW-Verbindung die Netzmasken im Tunnelnetz unterschiedlich?

Du kannst einfach beiden eine /24 auf dem Transfernetz geben und ebenso 10.100.100.0/24 in die AllowedIPs eintragen. Und dann fügst du anstelle einen Gateway anzulegen, einfach das jeweilige entfernte LAN auf jeder Seite auch noch den AllowedIPs hinzu. Dann funktioniert alles automatisch.

Firewall-Regeln, die den Verkehr erlauben, entweder auf einem zugewiesenen Interface oder auf der "WireGuard" Gruppe, braucht es natürlich auch noch.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Das mit dem Gateway hatte ich aus dem von mir verlinktem Tutorial.

D.h. ich konfiguriere es bei den beiden OPNs eigentlich gleich, bis auf die Keys und bei der OPN2 die WAN IP von der OPN1?

Korrekt, einfach völlig symmetrisch - IP-Adressen und Keys jeweils vom anderen Ende. Das ist ja gerade kein "Roadwarrior" Setup.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Das habe ich jetzt soweit auch konfiguriert. Bei beiden steht bei Wireguard -> Status sowohl instance als auch peer auf Online.

Jetzt habe ich allerdings das Problem, dass ich z.b. nicht von der OPN2 auf eine IP der OPN1 zugreifen kann. Z.b funktioniert kein Ping.

Ich denke mal das liegt dann jetzt an den Firewall Regeln oder? Wenn unter Status steht, dass beides auf beiden OPN Online sind, sollte die Verbindung doch stehen oder?

Bei der OPN2 in den Firewall Logs ist es grün, bei der OPN1 ist der Eintrag allerdings rot markiert.

Wenn ich die. Verbindung über den Handy Client aufbaue kann ich auf Sachen der opn1 zugreifen. Diese Firewall regeln habe ich für die opn2 genauso angelegt

Das WireGuard-Interface bedient ja nur stark authentifizierte Verbindungen. Daher leg doch auf beiden Seiten mal die Firewall-Regel dafür mit "IPv4 allow any any" an.

Dann, wenn du in den AllowedIPs die jeweiligen LANs von "gegenüber" drin hast, dann solltest du von einem LAN-Client aus einen LAN-Client auf der anderen Seite anpingen können.

Wenn das funktioniert, aber für OPNsense nicht, dann fehlt noch die Tunnel-Adresse des Gegenübers in den AllowedIPs.

HTH,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Die allow any regeln dann aber bei den wireguard Interfaces oder bei wan?

Wireguard. Auf WAN nur any --> WAN address, UDP, 51820 oder entsprechend.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Mit der Any Regel funktioniert es. Dann komme ich z.B. von der OPN2 auf die Config der OPN1. Die kann ich auch anpingen. Ich komme aber z.b. nicht per Remote auf einen PC im gleichen IP Bereich wie die OPN1.

Auf der OPN1 habe ich auch noch zwei VLAN. Auf die würde ich auch gerne über einen PC zugreifen, der sich an der OPN2 befindet. Hierfür habe ich jetzt die beiden IP Bereiche auch in den Peers unter Allowed IPs eingetragen. Leider komme ich dann auch nicht per Remote auf die VLAN PCs.

Muss ich dafür noch was anderes konfigurieren? Ich habe auch bei den beiden VLAN erstmal jeweils eine Any Regel angelegt.

Edit:
Wenn ich die beiden Wireguard neu starte bekomme ich aktuell leider keine Verbindung mehr zwischen ihnen aufgebaut. Ich hatte eigentlich nur das oben geschriebene geändert.
Auf dem OPN1 bekomme ich im Wireguard Log folgende Meldungen:
2025-07-15T14:56:46   Notice   wireguard   wireguard instance WGFD (wg1) started   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (execute task : dpinger_configure_do(,[]))   
2025-07-15T14:56:46   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: plugins_configure monitor (,[])   
2025-07-15T14:56:45   Notice   wireguard   /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: entering configure using opt5   
2025-07-15T14:56:45   Notice   wireguard   wireguard instance WGFD (wg1) stopped

Kann es damit zusammen hängen?

Müsste nicht im Firewall Log ein Eintrag kommen wenn ich Wireguard neu starte? Da taucht nämlich nichts auf.