Problem mit Wireguard VPN kein Zugriff auf andere Subnetze

Started by Alwin, April 16, 2026, 10:03:07 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
April 16, 2026, 10:03:07 PM
Hallo liebe Mitmenschen :-)
Als Neueinsteiger in OPNsense mit leidlich Netzwerkerfahrung muss ich hier mal um Hilfe bitten, denn wahrscheinlich
bin irgendwo zu blöd ...
Ich habe ein Netzwerk 10.20.x.x mit der Maske 255.255.0.0, und kann von einem PC im LAN mit der 10.20.7.94/16 auch alle Knoten erreichen, wie z.B. 10.20.7.27 und 10.20.1.28.
Ich habe, Schritt für Schritt der OPNSense Dokumentation folgend, eine Wireguard VPN Instanz und einen Peer erzeugt, die angegebenen Routen eingetragen, und kann von einem nicht im LAN befindlichen PC mit dem aktuellen Wireguard Client die Rechner 10.20.7.94 und die Firewall mit der 10.20.7.27 erreichen, aber keinen der Knoten im Bereich 10.20.1.x wie z.B. die 10.20.1.28.
Das LAN Interface in der OPNsense ist mit IPv4 address 10.20.7.27 / 16 konfiguriert, das WAN Interface als IPv4 auf DHCP (hängt hinter einer Fritzbox, die eine feste IP-Adresse über DSL hat) und trotz allem herumsuchens finde ich nicht, wo mir eine falsche Netzmaske den Zugriff auf des gesamte Netz (10.20.x.x) verwehrt und mich nur auf den Bereich, in dem auch die Firewall ist (10.20.7.x) lässt.
Kann mir jemand einen Tipp geben, was ich hier falsch mache ?
Today at 05:44:23 AM #1
Das klingt so als wäre in den Allowed IPs in der Client config ein /24 statt /16 angegeben.
Today at 11:33:51 AM #2
hallo, danke für deine rückmeldung.
nein, die client config sieht so aus:

[Interface]
PrivateKey = ...........................
Address = 10.10.10.4/32
MTU = 1420


[Peer]
PublicKey = .................................
Endpoint = ...:51820
AllowedIPs = 10.10.10.0/24,10.20.0.0/16
PersistentKeepalive = 25
Today at 11:58:38 AM #3
Hallo,

Quote from: Alwin on April 16, 2026, 10:03:07 PMaber keinen der Knoten im Bereich 10.20.1.x
die Firewall-Regeln am Wireguard Interface erlauben das?

Beachte auch, das keine Netzwerk-Überschneidung mit dem lokalen Subnetz des Clients vorliegt.
Today at 12:15:33 PM #4
Quote from: Alwin on April 16, 2026, 10:03:07 PMleidlich Netzwerkerfahrung
Was soll denn das für eine Erfahrung sein, alles schreit nach keinerlei Ahnung.
Warum ist 10.20.0.0/16 bei den allowed IPs zu sehen...
Today at 12:54:33 PM #5
gut - ich habe anscheinend tatsächlich keine Ahnung, sorry. Die Allowed IPs sind, wenn ich
das richtig verstehe, die Adressbereiche, die der WG VPN Client von aussen über die OPNsense
erreichen soll, richtig ? Das LAN der Firewall ist das Netzwerk 10.20.0.0/16, mit Adressen in den Bereichen
10.20.1.0/16, 10.20.7.0/16.
Today at 12:58:11 PM #6
AllowedIPs ist bei WireGuard das, was auf der anderen Seite des Tunnels ist. Das ist vollkommen richtig so. @Bob.dig gezeigt ist die Client-Config ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 01:06:05 PM #7
Quote from: viragomann on Today at 11:58:38 AMHallo,

Quote from: Alwin on April 16, 2026, 10:03:07 PMaber keinen der Knoten im Bereich 10.20.1.x
die Firewall-Regeln am Wireguard Interface erlauben das?

Beachte auch, das keine Netzwerk-Überschneidung mit dem lokalen Subnetz des Clients vorliegt.

Der WG VPN Client ist im lokalen Netz 192.168.50.00/24 hinter einer Fritzbox/Deutsche Glasfaser

Die Firewall Regeln sind exakt so, wie in
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
erklärt

Today at 01:06:41 PM #8
Regel LAN
Today at 01:07:04 PM #9
Regel WAN
Today at 01:07:39 PM #10
Regel Wireguard Interface
Today at 01:30:00 PM #11
Quote from: Alwin on Today at 12:54:33 PMDie Allowed IPs sind, wenn ichdas richtig verstehe, die Adressbereiche, die der WG VPN Client von aussen über die OPNsense
erreichen soll, richtig ?
Ja, genau. Die Netzwerksegmente, die der Client erreichen können soll.
Allerdings ist das Subnet 10.20.0.0/16 in der Client-Konfig anzugeben.

Der Server braucht als allowed IP nur die virtuelle Client IP kennen.

Today at 01:36:25 PM #12
genau so ist es konfiguriert:

in der WG Instanz lautet die Tunnel Adresse 10.10.10.1/24

in der Client Konfig lauten die Allowed IPs 10.10.10.0/24,10.20.0.0/16
Today at 01:45:01 PM #13
Okay, dann würde ich mir erwarten, dass alle Pakete für 10.20.0.0/16 auch darüber geroutet werden.

Wenn du dir sicher bist, dass es nicht die Firewall am Server selbst ist, die den Zugriff blockiert, mach mal ein Packet Capture (Interfaces > Diagnostic) am Server-Interface, um zu sehen, ob die Pakete Richtung Server korrekt raus gehen und ob dieser auch eine Antwort schickt.
Today at 01:45:30 PM #14 Last Edit: Today at 02:03:51 PM by Patrick M. Hausen
Quote from: Alwin on Today at 01:36:25 PMin der WG Instanz lautet die Tunnel Adresse 10.10.10.1/24

Mach da mal 10.10.10.1/32 draus.

War Quatsch - s.u.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1 2
User actions