Wireguard - Externe Verbindung über VPN

Started by Cpt_Wonderful, Today at 10:26:46 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 10:26:46 AM Last Edit: Today at 10:29:39 AM by Cpt_Wonderful
Hallo zusammen,

ich nutze die OPNsense Appliance als VPN Endpunkt und möchte meinen Clients ein Wireguard VPN zur Verfügung stellen, welches den Internetvekehr aber über ProtonVPN routet. Dafür habe ich die folgenden Einstellungen erledigt:

Gateways


NAT


FW-Rules - MainWireguard


FW-Rules - Wireguard (Group) -> Anscheinend werden die rules aus der Gruppe angewendet?!


Wireguard


Das VPN funktioniert, aber bei einem IP-Check wird mir die Provider IP angezeigt?
Was mache ich falsch / was habe ich vergessen? Gerne stelle ich weitere Infos zur Verfügung.
Today at 12:03:26 PM #1
Hallo,

Quote from: Cpt_Wonderful on Today at 10:26:46 AMFW-Rules - Wireguard (Group) -> Anscheinend werden die rules aus der Gruppe angewendet?!
Ja, Gruppen-Regeln haben Vorrang gegenüber Interface-Regeln.
Und die letzte da erlaubt jeglichen Traffic der Clients auf das Standardgateway, also WAN.

Du benötigst eigentlich überhaupt keine Regeln auf der Grupppe.
Aber es sollte auch reichen, einefach die letzte Regel zu entfernen. Alle anderen betreffen nur ausgehenden Traffic, wofür die auch immer sind.

Doch wenn die Wireguard Clients auch lokale Ziele erreichen können sollen, musst du noch die Policy-Routing Regel auf externe Ziel beschränken.
Today at 12:28:16 PM #2
Danke dir für die Ausführung. Wenn ich die Gruppenregeln entferne, funktioniert der Tunnel nicht mehr.
Die Letzte Regel hatte ich für den Handshake drin (IN) - Unnötig?
Und was mach eich bzgl. des Problems dass die VPN Clients nicht das ProtonVPN als 'exit-node' nutzen?
Today at 12:45:23 PM #3
Quote from: Cpt_Wonderful on Today at 12:28:16 PMWenn ich die Gruppenregeln entferne, funktioniert der Tunnel nicht mehr.
Auch keine Verbindung vom Client ins Internet?

Quote from: Cpt_Wonderful on Today at 12:28:16 PMDie Letzte Regel hatte ich für den Handshake drin (IN) - Unnötig?
Ich habe von Wireguard keine Ahnung. Ich denke aber nicht, dass eine solche Regel nötig ist. Die betrifft eigentlich Verbindungen innerhalb des Tunnels und sollte mit dem Aufbau nichts zu tun haben.

Quote from: Cpt_Wonderful on Today at 12:28:16 PMUnd was mach eich bzgl. des Problems dass die VPN Clients nicht das ProtonVPN als 'exit-node' nutzen?
Die letzte Gruppen-Regel entfernen.

Okay, etwas detaillierter:
Wie geschrieben, musst du die Policy-Routing Regel auf ausgehende Verbindungen beschränken. Sonst erreicht der Client keine lokalen Ziel, was vermutlich auch erwünscht ist.
Für diesen Zweck ist es ratsam, einen Alias für RFC 1918 Netze (private Netzwerkbereiche ) anzulegen. Ich nenne ihn RFC1918 und füge
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
hinzu.

Diesen musst du dann in der Policy-Routing Regel als Ziel zusammen mit einem Haken bei "Invert" verwenden. Damit trifft diese Regel nur noch auch Ziel außerhalb der privaten Netze zu.

Du kannst zu Testen mal hinter dieser Regel eine Allow-any Regel stellen. Dann sollte eigentlich alles funktionieren.
Print
Go Up Pages1
User actions