Problem mit Wireguard VPN kein Zugriff auf andere Subnetze

[viragomann]

Mach da mal 10.10.10.1/32 draus.

?

Zitat aus den Docs - Step 1 - Configure the Wireguard Instance:
> Do not use a tunnel address that is a /32 (IPv4) or a /128 (IPv6)

Anm: ist dort auch in fetten Lettern

[Patrick M. Hausen]

Auf der OPNsense-Seite beim Peer - der ja der "Road Warrior" ist - braucht es nur die eine IP-Adresse aus dem Tunnel-Netzwerk in AllowedIPs. Best practice ...

[viragomann]

Es geht doch um die Tunnel IP.
Aber egal, halt mich raus. Ich hab keine Practice in WG...

[Patrick M. Hausen]

Es geht doch um die Tunnel IP.

Stimmt, da hatte ich mich verlesen. Danke.

[Alwin]

Okay, dann würde ich mir erwarten, dass alle Pakete für 10.20.0.0/16 auch darüber geroutet werden.

Wenn du dir sicher bist, dass es nicht die Firewall am Server selbst ist, die den Zugriff blockiert, mach mal ein Packet Capture (Interfaces > Diagnostic) am Server-Interface, um zu sehen, ob die Pakete Richtung Server korrekt raus gehen und ob dieser auch eine Antwort schickt.

hier die paketmitschnitte von lan und wg interface

[Alwin]

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

[viragomann]

Der Server auf dem die Pings nicht funktionieren, 10.20.1.28, hängt doch nicht am LAN Interface.
Ein Capture von jenem, an dem der Server angeschlossen ist, wäre relevant und gefragt gewesen.

Im WG Capture siehst du jedenfalls, dass keine Antworten rausgehen.

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

Das benötigt keine Routen, keine Firewall Regeln und funktioniert u.U. auch mit falsch gesetzten Subnetzen. Lässt also fast alle möglichen Fehler zu.