Netzlaufwerk über Wireguard VPN
Folgendes Setting besteht:
Auf einer Opnsense läuft ein Wireguardserver auf 10.123.123.1.
Ein Client kann als road warrior über die Wireguardverbindung auf die Opnsense zugreifen, der Tunnel steht stabil.
In der Konfiguration des Wireguard Clienten ist der Peer mit "AllowedIPs=0.0.0.0/0 konfiguriert,
so daß bei Aktivierung des Tunnels der gesamte Verkehr durch den Tunnel geschickt wird, was auch für browserbasiertes Surfen funktioniert.
Die WG-Adresse auf dem Clienten ist die 10.123.123.11/24.
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl, ein net view Befehl zur Anzeige eines Netzlaufwerkes eines PC (192.168.1.2) hinter der Opnsense sind vom Clienten aus nicht erreichbar.
Das Wireguard Interface (WG1) auf der Opnsense ist in den Firewall Rules für IPv4 any to any konfiguriert.
Der Rechner, der erreicht werden soll hat die 192.168.1.2, die Opnsense selbst die 192.168.1.1
Der Client hat auf dem LAN Interface die 192.168.122.5.
Was fehlt hier?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Oder wird automatisch der gesamte Verkehr durch den WG Netzadapter geroutet wegen der AllowedIPs=0.0.0.0/0 Regel?
Für Eure Hilfe wäre ich dankbar.
Gruß
Simbea
Auf einer Opnsense läuft ein Wireguardserver auf 10.123.123.1.
Ein Client kann als road warrior über die Wireguardverbindung auf die Opnsense zugreifen, der Tunnel steht stabil.
In der Konfiguration des Wireguard Clienten ist der Peer mit "AllowedIPs=0.0.0.0/0 konfiguriert,
so daß bei Aktivierung des Tunnels der gesamte Verkehr durch den Tunnel geschickt wird, was auch für browserbasiertes Surfen funktioniert.
Die WG-Adresse auf dem Clienten ist die 10.123.123.11/24.
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl, ein net view Befehl zur Anzeige eines Netzlaufwerkes eines PC (192.168.1.2) hinter der Opnsense sind vom Clienten aus nicht erreichbar.
Das Wireguard Interface (WG1) auf der Opnsense ist in den Firewall Rules für IPv4 any to any konfiguriert.
Der Rechner, der erreicht werden soll hat die 192.168.1.2, die Opnsense selbst die 192.168.1.1
Der Client hat auf dem LAN Interface die 192.168.122.5.
Was fehlt hier?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Oder wird automatisch der gesamte Verkehr durch den WG Netzadapter geroutet wegen der AllowedIPs=0.0.0.0/0 Regel?
Für Eure Hilfe wäre ich dankbar.
Gruß
Simbea
Please also mark the comments that contributed to the solution of the article
Content-ID: 62134188778
Url: https://administrator.de/contentid/62134188778
Printed on: November 5, 2024 at 15:11 o'clock
6 Comments
Latest comment
Hallo,
Deine WG Konfiguration ist wie?
Wie ist deine Opensense Konfiguriert?
Gruß,
Peter
Deine WG Konfiguration ist wie?
Wie ist deine Opensense Konfiguriert?
Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Normalerweise nicht.Gruß,
Peter
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl
Das ist auch völlig normal zumindest wenn diese Rechner Winblows als Betriebssystem haben. Ist die immer und immer wiederkehrende Leier hier...Wireguard nutzt, wie du ja selber gesehen und oben beschrieben hast, ein internes, dediziertes IP Netz wie 10.123.123.0 /24 in deinem Falle. Clients haben also immer diese IP Absenderadresse.
Die lokale Windows Firewall der angesprochenen Rechner im OPNsense LAN blocken diesen Traffic aus 2 Gründen:
- ICMP Protokoll (Ping) ist generell im Default geblockt in der Windows Firewall.
- Die Windows Firewall blockt generell Zugriffe aus fremden IP Netzen und erlaubt einzig nur den Zugriff aus dem eigenen, lokalen IP Netz
2 Gründe also warum dein Vorhaben für einen Netzwerk Admin erwartungsgemäß scheitern muss wenn es Windows Rechner sind!
Damit Ping (ICMP) klappt musst du das zuerst in der Firewall freigeben. Wie das genau geht wird dir HIER im Detail beschrieben.
Zugriff auf Dienste wie die Datei u. Druckerfreigabe, RDP usw. musst du ebenfalls entweder speziell für dein 10.123.123.0 /24 er Netz oder global für alle IP Fremdnetze in der Win Firewall erlauben.
Leider funktioniert der "net view" Befehl nicht
Idealerweise machst du das über GUI. Einfach "Firewall mit erweiterter Sicherheit" im Windows Suchfeld eingeben. 😉Guckst du hier:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
der Reiter "Bereich" lokale oder Remote IP-Adressen.
- lokal = eigene IP Adressen die direkt der Rechner verwendet
- remote = alle entfernten fremden Adressen
Bedenke das du da nicht nur Hostadressen sondern immer auch Netzwerk Adresse angeben kannst.
Der Tunnel ist dein eigenes Netzwerk, also "privat".
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!