Problem mit Wireguard VPN kein Zugriff auf andere Subnetze

[viragomann]

Mach da mal 10.10.10.1/32 draus.

?

Zitat aus den Docs - Step 1 - Configure the Wireguard Instance:
> Do not use a tunnel address that is a /32 (IPv4) or a /128 (IPv6)

Anm: ist dort auch in fetten Lettern

[Patrick M. Hausen]

Auf der OPNsense-Seite beim Peer - der ja der "Road Warrior" ist - braucht es nur die eine IP-Adresse aus dem Tunnel-Netzwerk in AllowedIPs. Best practice ...

[viragomann]

Es geht doch um die Tunnel IP.
Aber egal, halt mich raus. Ich hab keine Practice in WG...

[Patrick M. Hausen]

Es geht doch um die Tunnel IP.

Stimmt, da hatte ich mich verlesen. Danke.

[Alwin]

Okay, dann würde ich mir erwarten, dass alle Pakete für 10.20.0.0/16 auch darüber geroutet werden.

Wenn du dir sicher bist, dass es nicht die Firewall am Server selbst ist, die den Zugriff blockiert, mach mal ein Packet Capture (Interfaces > Diagnostic) am Server-Interface, um zu sehen, ob die Pakete Richtung Server korrekt raus gehen und ob dieser auch eine Antwort schickt.

hier die paketmitschnitte von lan und wg interface

[Alwin]

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

[viragomann]

Der Server auf dem die Pings nicht funktionieren, 10.20.1.28, hängt doch nicht am LAN Interface.
Ein Capture von jenem, an dem der Server angeschlossen ist, wäre relevant und gefragt gewesen.

Im WG Capture siehst du jedenfalls, dass keine Antworten rausgehen.

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

Das benötigt keine Routen, keine Firewall Regeln und funktioniert u.U. auch mit falsch gesetzten Subnetzen. Lässt also fast alle möglichen Fehler zu.

[Bob.Dig]

@Bob.dig gezeigt ist die Client-Config ..

Völlig unklar, ob dem wirklich so ist. Letztlich fehlen die relevanten Angaben, wer hier was ist. Ich geh wie immer vom Schlimmsten aus. ;)

[Alwin]

Der Server auf dem die Pings nicht funktionieren, 10.20.1.28, hängt doch nicht am LAN Interface.
Ein Capture von jenem, an dem der Server angeschlossen ist, wäre relevant und gefragt gewesen.

Im WG Capture siehst du jedenfalls, dass keine Antworten rausgehen.

ein ping der opnsense auf 10.20.1.28 funktioniert einwandfrei

Das benötigt keine Routen, keine Firewall Regeln und funktioniert u.U. auch mit falsch gesetzten Subnetzen. Lässt also fast alle möglichen Fehler zu.

Danke für Deine Hilfe, aber der Server 10.20.1.28/16 IST im gleichen LAN wie der Rechner 10.20.7.94/16 und die OPNsense 10.20.7.27/16, alle im 10.20.0.0/16 Netzwerk. Ein falsch gesetztes Subnetz ist wohl auch eher nicht die Ursache, eine Änderung der IP der Firewall auf 10.20.1.27/16 ändert an dem Problem mit dem Wireguard Client nichts

[viragomann]

Verstehe. Hatte es so verstanden, dass 10.20.7.0/24 das LAN ist und die Server in einem separaten Subnetz liegen, aber alles zusammen eben in 10.20.0.0/16. Wahrscheinlich weil ich dasselbe Subnetz verwende, es aber doch segmentiert habe.

Okay, also alles ist in dem /16 und hängt am selben Port der OPNsense. Aber nicht alle Geräte sind über WG VPN erreichbar.
Wie du im Packet Capture siehst, kommt von 10.20.1.28 keine Antwort, wenn die Anfrage von der VPN (aus einem anderen Netzwerksegment) kommt.
Da liegt das Problem höchstwahrscheinlich beim Server.

Du kannst jetzt noch auf dem Server selbst ein pcap laufen lassen, um zu überprüfen, ob die Anfragen da tatsächlich ankommen, jedoch habe ich da keine Zweifel.
Vielmehr läuft auf dem Server wahrscheinlich eine Firewall, die die Anfragen aktiv blockiert.
Das ist ein ganz normales Verhalten, wenn die FW in der Grundkonfiguration belassen wurde.
Du musst also vermutlich da nur den Zugriff vom WG-Netz erlauben.

Ein anderes Problem könnte sein, dass der Server nicht die OPNsense als Gateway nutzt (weil er ein anderes nutzt oder es nicht oder falsch konfiguriert ist). In diesem Fall hätte er aber auch keine Verbindung zum Internet, jedenfalls nicht über OPNsense.