WireGuard Site-2-Site Verbindung beeinträchtigt LAN

Started by dejhost, August 27, 2025, 10:54:42 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 27, 2025, 10:54:42 AM
Hallo,

ich habe mein Heimnetzwerk und mein Firmennetzwerk über einen WireGuard Site-to-Site-Tunnel verbunden. Auf beiden Seiten nutze ich OPNsense. Zu Hause habe ich aktuell die Version 25.7-amd64 und im Büro die Version 25.1.12-amd64. Beide Instanzen sind virtualisiert in Proxmox. Auf beiden Seiten läuft das WireGuard-Plugin von OPNsense. Die Subnetze sind 192.168.1.0/24 zu Hause und 192.168.3.0/24 im Büro. Die Verbindung funktioniert zuverlässig. Ich nutze Routing.

Das Problem:
Wenn der Tunnel aktiv ist, habe ich innerhalb meines Heimnetzes Probleme, speziell mit mobilen Geräten, die WLAN nutzen. Die Geräte verlieren häufig
die Verbindung. Auf Mobiltelefonen und Tablets erscheinen Meldungen wie ,,Verbindung fehlgeschlagen" oder ,,Verbunden, ohne Internet". Außerdem habe ich
Schwierigkeiten, Mediengeräte wie meinen Audio-Receiver oder andere Media-Player zu entdecken oder Streams zu senden, auch wenn ich mit WLAN verbunden bin. Wenn ich über WLAN telefoniere, wechselt die Verbindung oft zu 5G, sobald der Tunnel aktiv wird. Ich füge die in meinem Heimnetzwerk konfigurierten Routes und Rules bei, die aktuell auf meiner Heim-OPNsense-Instanz eingerichtet sind.


Könnt ihr mir bitte bei der Fehlersuche helfen?
Danke und viele Grüße!
August 27, 2025, 11:59:55 AM #1
Schuss ins Blaue? Für mich klingt die Beschreibung nach DNS-Problem.

Ich würde vom Heimnetzwerk aus versuchen, mich systematisch durchzutesten:
- Ping auf die opnsense @home  ((W)LAN OK?)
- Ping auf 8.8.8.8  (Internet OK?)
- Ping auf opnsense @work   (Wireguard OK?)

Falls da alles OK ist, dann mit dig oder nslookup diverse DNS-Anfragen testen, z.B. nslookup www.heise.de
- Wer antwortet und was wird geantwortet?

Nutzt Du auf der opnsense @home den unbound zur Namensauflösung? Hast Du da ACLs und/oder Blocklisten aktiv? Hast Du ggf. auch eine Weiterleitung im DNS (durch den WG-Tunnel auf deinen Business-DNS) für deine Business-Domain eingetragen, falls vorhanden?

August 27, 2025, 09:51:49 PM #2
Danke für Deinen Post.
Ich sollte vielleicht nochmal klarstellen, dass meine Symptome nicht konsequent auftreten. Bspw. verbindet ich das Mobiltelefon nach mehrmaligen ein- und ausschalten des Wifi dann doch meist mit dem WLAN, und so ähnlich ist es auch mit dem streaming. Aber es ist eben sehr oft sehr nervig.

Von meinem Laptop (home), mit WiFi verbunden:

Code Select
ping 192.168.1.1 #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=9.76 ms

ping 192.168.3.1   #office opnsense, also über wg tunnel
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=7.07 ms

ping 192.168.1.131 #home medienplayer
PING 192.168.1.131 (192.168.1.131) 56(84) bytes of data.
64 bytes from 192.168.1.131: icmp_seq=1 ttl=64 time=3.38 ms

ping heise.de
PING heise.de (193.99.144.80) 56(84) bytes of data.
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=1 ttl=242 time=54.0 ms

Code Select
nslookup www.heise.de
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: www.heise.de
Address: 193.99.144.85
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85
Mein Mobiltelefon (Termux) erzählt mir gerade etwas interessantes:
Code Select
dnslookup www.heise.de
dnslookup v1.11.1
2025/08/27 19:33:17 [fatal] Cannot make the DNS request: exchanging with 127.0.0.1:53 over udp: read udp 127.0.0.1:42255->127.0.0.1:53: read: connection refused
Now
 


QuoteNutzt Du auf der opnsense @home den unbound zur Namensauflösung?
Ubound habe ich tatsächlich @home aktiviert gehabt. Ich habe das jetzt deaktiviert.
  • "Services: Unbound DNS: DNS over TLS" => habe jetzt deaktiviert.
  • "Services: Unbound DNS: Overrides" => habe  jetzt die lokalen Einträge deaktiviert.
  • "Services: Unbound DNS: Advanced Rebind protection networks" => Ich sehe eine Reihe von IP-Adressen eingetragen. Das muss aber automatisch eingetragen worden sein.
  • Services: Dnsmasq DNS & DHCP => bei "Default" steht "enabled".
  • Services: C-ICAP: Configuration => habe ich jetzt disabled.

Im Anhang ein screenshot der log-Einträge des DNS Ubound.

An dem dnslookup-test ändert sich nichts, und auch der erste Versuch von Spotify (Mobilelefon) etwas auf einen Mediaplayer zu streamen schlägt fehl. Die web-GUI des medien-Players ("moode" auf einem Raspi, mit Ethernet angeschlossen) erreiche ich übrigens immer zuverlässig.

QuoteHast Du da ACLs und/oder Blocklisten aktiv?
Wo genau finde ich die? Adguard habe ich eben deaktiviert, aber ich denke nicht, dass der wirklich etwas gefilter hat.
August 27, 2025, 10:00:37 PM #3
Ein anderes Mobiltelefon hat soeben das WiFi-Problem "Verbunden ohne Internet". Wieder mittels Termux:
Code Select
dnslookup www.heise.de
dnslookup v1.11.1
2025/08/27 19:56:34 [fatal] Cannot make the DNS request: exchanging with 127.0.0.1:53 over udp: read udp 127.0.0.1:43432->127.0.0.1:53: read: connection refused
~ $ ping 192.168.1.1   #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=73.1 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=10.3 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=55.2 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=5.78 ms
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms
rtt min/avg/max/mdev = 5.781/36.129/73.190/28.829 ms
~ $ ping 192.168.3.1    #Office opnsense, also über wireguard
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=52.9 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=63 time=11.5 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=63 time=55.6 ms
^C
--- 192.168.3.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 11.520/40.064/55.698/20.216 ms
August 28, 2025, 08:21:31 PM #4
Code Select
dnslookup www.heise.de
dnslookup v1.11.1
2025/08/27 19:56:34 [fatal] Cannot make the DNS request: exchanging with 127.0.0.1:53 over udp: read udp 127.0.0.1:43432->127.0.0.1:53: read: connection refusedDie Abfrage scheint mir nicht zielführend zu sein. 127.0.0.1 ist der Localhost, im Fall von Termux also ein DNS-Resolver auf deinem Handy. Das hat IMHO wenig mit der OPnsense zu tun. Kann sein, dass der DNS-Resolver deines Handys die OPNsense fragt - sicher ist das aber nicht.

Code Select
~ $ ping 192.168.1.1   #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=73.1 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=10.3 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=55.2 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=5.78 msDeine Ping-Zeiten gehen heftig hin und her, von 5 bis 73 Millisekunden. Du könntest da schon Probleme mit deinem WLAN haben, auch vor dem Hintergrund der von dir beschriebenen Verbindungsprobleme.
Was hast Du denn für Accesspoints? Wie angeschlossen? Bist Du mit 2,4GHz oder 5GHz verbunden? Welche Kanalbandbreiten sind konfiguriert? Hast du eine sinnvolle SSID konfiguriert (nicht, dass alle WLANs inkl. deinem Umfeld sowas wie "Fritzbox" haben)?

Dein Ping durch den Wireguard-Tunnel:
Code Select
~ $ ping 192.168.3.1    #Office opnsense, also über wireguard
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=52.9 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=63 time=11.5 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=63 time=55.6 ms55 Millisekunden klingt plausibel, aber was ist das dann mit den 11 Millisekunden dazwischen? Was hast Du für Internetzugänge auf beiden Seiten?

Um WLAN-Probleme auszuschließen, solltest Du deinen Rechner zumindest testweise einmal per Kabel ans LAN anschließen und dann die Ping-Tests wiederholen. Wenn Du auf dem WLAN einiges an Packet Loss hast, ist es schon denkbar, dass die Smartphones "das Internet" nicht finden...

Du schreibst außerdem von unbound, dann von dnsmasq und adguard war auch noch dabei. Versuche am besten, hier einmal Ordnung hineinzubringen: Einen DNS-Resolver, ohne fancy Schnickschnack. Keine Blocklisten, kein DNSSEC, kein DNS-over-TLS,... Dann checken, ob die Namensauflösung über LAN funktioniert. Wenn OK, dann nach und nach die gewünschten Features wieder einschalten und nach jedem Aktivieren erst wieder prüfen, ob immer noch alles funktioniert. Und eventuell dabei auch den DNS-Cache leeren ("ipconfig /flushdns" unter Windows).
August 31, 2025, 11:51:19 PM #5
Mein Handy hat als DNS 8.8.8.8 und 8.8.4.4 eingetragen. Bei dem "anderen Mobiltelefon" ist 192.168.1.1 und 8.8.4.4 eingetragen.
Mir ist in meinem yweiten post bei der "nslookup www.heise.de" auf dem Mobiltelefon ein Fehler unterlaufen. Ich habe "dnslookup" getippt gehabt, statt "nslookup". Hier die Koorektur (allerdings habe ich seit dem ja Äanderungen an den DNS-Einstellungen von OPnsense durchgeführt:)
 
Code Select
nslookup www.heise.de
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   www.heise.de
Address: 193.99.144.85
Name:   www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85
Now



Alle meine Rechner sind Linux basiert.

Acces-points: hier habe ich 3 Stück. Meine SSID ist einzigartig.
TP-Link Archer C7 v2
  • openwrt
  • Kernel Version: 6.6.86
  • Protocol: Static address
  • Address: 192.168.1.3/24
  • Gateway: 192.168.1.1
  • DNS: 192.168.1.1
  • DHCP-leases: 0
  • Wifi-Einstellungen: siehe Screenshot

MikroTic
RouterOS v6.49.18

Unter IP => DHCP-Server => DHCP-Server finde ich folgende Einstellung:
Name: defconf
Interface: Bridge
Address-pool: dhcp


Unter IP => DHCP-Server => Networks finde ich folgende Einstellung:
Adress: 192.168.88.0/24   
Gateway: 192.168.88.1
Netmask: 0
Kommentar: defconf

Unter IP => DNS steht 192.168.1.1 eingetragen.


Beim Zyxel Router habe ich leider das PW verlegt. Die Infos dazu reiche ich nach.


Mein ISP ist auf beiden Seiten lyse.no, mit Glasfaser direkt ins Gebäude. Zu Hause habe ich den Router des ISP in den bridge-modus gestellt, da ich ja meinen eigenen Router betreibe.


Von meinem Linux Mint laptop aus, nur mit Ethernet-kabel (1000Mbit), DNS: 192.168.1.1:
Code Select
ping 192.168.1.1 #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.773 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.814 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.938 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=1.05 ms
64 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.966 ms
64 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=0.869 ms
64 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.00 ms
64 bytes from 192.168.1.1: icmp_seq=8 ttl=64 time=1.65 ms
Code Select
ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=2.58 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=63 time=2.24 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=63 time=2.58 ms
64 bytes from 192.168.3.1: icmp_seq=4 ttl=63 time=2.25 ms
64 bytes from 192.168.3.1: icmp_seq=5 ttl=63 time=2.09 ms
64 bytes from 192.168.3.1: icmp_seq=6 ttl=63 time=2.38 ms
64 bytes from 192.168.3.1: icmp_seq=7 ttl=63 time=2.50 ms

Code Select
ping www.heise.de
PING www.heise.de (193.99.144.85) 56(84) bytes of data.
64 bytes from www.heise.de (193.99.144.85): icmp_seq=1 ttl=242 time=31.3 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=2 ttl=242 time=31.1 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=3 ttl=242 time=31.1 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=4 ttl=242 time=31.6 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=5 ttl=242 time=32.0 ms
Code Select
nslookup www.heise.de
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: www.heise.de
Address: 193.99.144.85
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85


Ich habe jetzt in Opnsense "unbound DNS" aktiviert, und weitere DNS-features deaktiviert.

Mal schauen, ob die neuen Einstellungen eine Änderung bewirken.
Print
Go Up Pages1
User actions