6
Netzlaufwerk über Wireguard VPN
Folgendes Setting besteht:
Auf einer Opnsense läuft ein Wireguardserver auf 10.123.123.1.
Ein Client kann als road warrior über die Wireguardverbindung auf die Opnsense zugreifen, der Tunnel steht stabil.
In der Konfiguration des Wireguard Clienten ist der Peer mit "AllowedIPs=0.0.0.0/0 konfiguriert,
so daß bei Aktivierung des Tunnels der gesamte Verkehr durch den Tunnel geschickt wird, was auch für browserbasiertes Surfen funktioniert.
Die WG-Adresse auf dem Clienten ist die 10.123.123.11/24.
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl, ein net view Befehl zur Anzeige eines Netzlaufwerkes eines PC (192.168.1.2) hinter der Opnsense sind vom Clienten aus nicht erreichbar.
Das Wireguard Interface (WG1) auf der Opnsense ist in den Firewall Rules für IPv4 any to any konfiguriert.
Der Rechner, der erreicht werden soll hat die 192.168.1.2, die Opnsense selbst die 192.168.1.1
Der Client hat auf dem LAN Interface die 192.168.122.5.
Was fehlt hier?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Oder wird automatisch der gesamte Verkehr durch den WG Netzadapter geroutet wegen der AllowedIPs=0.0.0.0/0 Regel?
Für Eure Hilfe wäre ich dankbar.
Gruß
Simbea
Auf einer Opnsense läuft ein Wireguardserver auf 10.123.123.1.
Ein Client kann als road warrior über die Wireguardverbindung auf die Opnsense zugreifen, der Tunnel steht stabil.
In der Konfiguration des Wireguard Clienten ist der Peer mit "AllowedIPs=0.0.0.0/0 konfiguriert,
so daß bei Aktivierung des Tunnels der gesamte Verkehr durch den Tunnel geschickt wird, was auch für browserbasiertes Surfen funktioniert.
Die WG-Adresse auf dem Clienten ist die 10.123.123.11/24.
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl, ein net view Befehl zur Anzeige eines Netzlaufwerkes eines PC (192.168.1.2) hinter der Opnsense sind vom Clienten aus nicht erreichbar.
Das Wireguard Interface (WG1) auf der Opnsense ist in den Firewall Rules für IPv4 any to any konfiguriert.
Der Rechner, der erreicht werden soll hat die 192.168.1.2, die Opnsense selbst die 192.168.1.1
Der Client hat auf dem LAN Interface die 192.168.122.5.
Was fehlt hier?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Oder wird automatisch der gesamte Verkehr durch den WG Netzadapter geroutet wegen der AllowedIPs=0.0.0.0/0 Regel?
Für Eure Hilfe wäre ich dankbar.
Gruß
Simbea
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62134188778
Url: https://administrator.de/contentid/62134188778
Printed on: July 27, 2024 at 16:07 o'clock
6 Comments
Latest comment
Hallo,
Deine WG Konfiguration ist wie?
Wie ist deine Opensense Konfiguriert?
Gruß,
Peter
Deine WG Konfiguration ist wie?
Wie ist deine Opensense Konfiguriert?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Normalerweise nicht.Gruß,
Peter
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl
Das ist auch völlig normal zumindest wenn diese Rechner Winblows als Betriebssystem haben. Ist die immer und immer wiederkehrende Leier hier...Wireguard nutzt, wie du ja selber gesehen und oben beschrieben hast, ein internes, dediziertes IP Netz wie 10.123.123.0 /24 in deinem Falle. Clients haben also immer diese IP Absenderadresse.
Die lokale Windows Firewall der angesprochenen Rechner im OPNsense LAN blocken diesen Traffic aus 2 Gründen:
- ICMP Protokoll (Ping) ist generell im Default geblockt in der Windows Firewall.
- Die Windows Firewall blockt generell Zugriffe aus fremden IP Netzen und erlaubt einzig nur den Zugriff aus dem eigenen, lokalen IP Netz
2 Gründe also warum dein Vorhaben für einen Netzwerk Admin erwartungsgemäß scheitern muss wenn es Windows Rechner sind!
Damit Ping (ICMP) klappt musst du das zuerst in der Firewall freigeben. Wie das genau geht wird dir HIER im Detail beschrieben.
Zugriff auf Dienste wie die Datei u. Druckerfreigabe, RDP usw. musst du ebenfalls entweder speziell für dein 10.123.123.0 /24 er Netz oder global für alle IP Fremdnetze in der Win Firewall erlauben.
Ich hab versuchsweise mal die Firewall von Windows 10 abgeschaltet und siehe da, der ping funktioniert.
Ich muß also, wenn ich das richtig verstehe ICMP eingehend aus dem Tunnel (10.123.1230/24) und die smb ports (für die Netzlaufwerksfreigabe) in der Windows 10 Firewall freischalten?
Leider funktioniert der "net view" Befehl nicht, der wird mit "Systemfehler 5" und "Zugriff verweigert" quittiert.
Das kann bei abgeschalteter Firewall nicht an der Einstellung derselben liegen, oder?
Noch ne Idee weshalb" net view" bei abgeschalteter Firewall nicht funktioniert?
Gruß Simbea
Ich muß also, wenn ich das richtig verstehe ICMP eingehend aus dem Tunnel (10.123.1230/24) und die smb ports (für die Netzlaufwerksfreigabe) in der Windows 10 Firewall freischalten?
Leider funktioniert der "net view" Befehl nicht, der wird mit "Systemfehler 5" und "Zugriff verweigert" quittiert.
Das kann bei abgeschalteter Firewall nicht an der Einstellung derselben liegen, oder?
Noch ne Idee weshalb" net view" bei abgeschalteter Firewall nicht funktioniert?
Gruß Simbea
Noch folgende Fragen hierzu:
1. In den erweiterten Firewalleinstellungen beim Editieren der Datei- und Druckerfreigaberegeln unterscheidet der Reiter "Bereich" lokale oder Remote IP-Adressen. Welches davon trifft für das Tunnelnetz 10.123.123.0/24 zu?
2. Im Reiter "Erweitert" werden die Profile "Domäne/Privat/Öffentlich" angeboten.
Hier vermute ich, der Tunnel gehört zu "privat"?
Danke nochmals.
1. In den erweiterten Firewalleinstellungen beim Editieren der Datei- und Druckerfreigaberegeln unterscheidet der Reiter "Bereich" lokale oder Remote IP-Adressen. Welches davon trifft für das Tunnelnetz 10.123.123.0/24 zu?
2. Im Reiter "Erweitert" werden die Profile "Domäne/Privat/Öffentlich" angeboten.
Hier vermute ich, der Tunnel gehört zu "privat"?
Danke nochmals.
Leider funktioniert der "net view" Befehl nicht
Idealerweise machst du das über GUI. Einfach "Firewall mit erweiterter Sicherheit" im Windows Suchfeld eingeben. 😉Guckst du hier:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
der Reiter "Bereich" lokale oder Remote IP-Adressen.
- lokal = eigene IP Adressen die direkt der Rechner verwendet
- remote = alle entfernten fremden Adressen
Bedenke das du da nicht nur Hostadressen sondern immer auch Netzwerk Adresse angeben kannst.
Der Tunnel ist dein eigenes Netzwerk, also "privat".
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!