simbea
Goto Top

Netzlaufwerk über Wireguard VPN

Folgendes Setting besteht:

Auf einer Opnsense läuft ein Wireguardserver auf 10.123.123.1.
Ein Client kann als road warrior über die Wireguardverbindung auf die Opnsense zugreifen, der Tunnel steht stabil.

In der Konfiguration des Wireguard Clienten ist der Peer mit "AllowedIPs=0.0.0.0/0 konfiguriert,
so daß bei Aktivierung des Tunnels der gesamte Verkehr durch den Tunnel geschickt wird, was auch für browserbasiertes Surfen funktioniert.
Die WG-Adresse auf dem Clienten ist die 10.123.123.11/24.

Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl, ein net view Befehl zur Anzeige eines Netzlaufwerkes eines PC (192.168.1.2) hinter der Opnsense sind vom Clienten aus nicht erreichbar.

Das Wireguard Interface (WG1) auf der Opnsense ist in den Firewall Rules für IPv4 any to any konfiguriert.

Der Rechner, der erreicht werden soll hat die 192.168.1.2, die Opnsense selbst die 192.168.1.1
Der Client hat auf dem LAN Interface die 192.168.122.5.

Was fehlt hier?

Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Oder wird automatisch der gesamte Verkehr durch den WG Netzadapter geroutet wegen der AllowedIPs=0.0.0.0/0 Regel?

Für Eure Hilfe wäre ich dankbar.

Gruß
Simbea

Content-ID: 62134188778

Url: https://administrator.de/contentid/62134188778

Printed on: November 5, 2024 at 15:11 o'clock

Pjordorf
Pjordorf Sep 14, 2023 at 19:22:23 (UTC)
Goto Top
Hallo,

Zitat von @simbea:
Was fehlt hier?
Deine WG Konfiguration ist wie?
Wie ist deine Opensense Konfiguriert?

Muß ich auf dem Clienten eine statische Route für das 192.168.1.0/24 Netz anlegen?
Normalerweise nicht.

Gruß,
Peter
aqui
aqui Sep 15, 2023 updated at 06:48:40 (UTC)
Goto Top
Computer hinter der Firewall sind jedoch nicht erreichbar, pings schlagen fehl
Das ist auch völlig normal zumindest wenn diese Rechner Winblows als Betriebssystem haben. Ist die immer und immer wiederkehrende Leier hier...
Wireguard nutzt, wie du ja selber gesehen und oben beschrieben hast, ein internes, dediziertes IP Netz wie 10.123.123.0 /24 in deinem Falle. Clients haben also immer diese IP Absenderadresse.

Die lokale Windows Firewall der angesprochenen Rechner im OPNsense LAN blocken diesen Traffic aus 2 Gründen:
  • ICMP Protokoll (Ping) ist generell im Default geblockt in der Windows Firewall.
  • Die Windows Firewall blockt generell Zugriffe aus fremden IP Netzen und erlaubt einzig nur den Zugriff aus dem eigenen, lokalen IP Netz

2 Gründe also warum dein Vorhaben für einen Netzwerk Admin erwartungsgemäß scheitern muss wenn es Windows Rechner sind!
Damit Ping (ICMP) klappt musst du das zuerst in der Firewall freigeben. Wie das genau geht wird dir HIER im Detail beschrieben.
Zugriff auf Dienste wie die Datei u. Druckerfreigabe, RDP usw. musst du ebenfalls entweder speziell für dein 10.123.123.0 /24 er Netz oder global für alle IP Fremdnetze in der Win Firewall erlauben.
simbea
simbea Sep 18, 2023 at 16:20:20 (UTC)
Goto Top
Ich hab versuchsweise mal die Firewall von Windows 10 abgeschaltet und siehe da, der ping funktioniert.

Ich muß also, wenn ich das richtig verstehe ICMP eingehend aus dem Tunnel (10.123.1230/24) und die smb ports (für die Netzlaufwerksfreigabe) in der Windows 10 Firewall freischalten?

Leider funktioniert der "net view" Befehl nicht, der wird mit "Systemfehler 5" und "Zugriff verweigert" quittiert.
Das kann bei abgeschalteter Firewall nicht an der Einstellung derselben liegen, oder?

Noch ne Idee weshalb" net view" bei abgeschalteter Firewall nicht funktioniert?

Gruß Simbea
simbea
simbea Sep 18, 2023 at 16:38:31 (UTC)
Goto Top
Noch folgende Fragen hierzu:
1. In den erweiterten Firewalleinstellungen beim Editieren der Datei- und Druckerfreigaberegeln unterscheidet der Reiter "Bereich" lokale oder Remote IP-Adressen. Welches davon trifft für das Tunnelnetz 10.123.123.0/24 zu?

2. Im Reiter "Erweitert" werden die Profile "Domäne/Privat/Öffentlich" angeboten.
Hier vermute ich, der Tunnel gehört zu "privat"?

Danke nochmals.
aqui
Solution aqui Sep 18, 2023 updated at 16:56:25 (UTC)
Goto Top
Leider funktioniert der "net view" Befehl nicht
Idealerweise machst du das über GUI. Einfach "Firewall mit erweiterter Sicherheit" im Windows Suchfeld eingeben. 😉
Guckst du hier:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
der Reiter "Bereich" lokale oder Remote IP-Adressen.
  • lokal = eigene IP Adressen die direkt der Rechner verwendet
  • remote = alle entfernten fremden Adressen
Einfache Logik! face-wink
Bedenke das du da nicht nur Hostadressen sondern immer auch Netzwerk Adresse angeben kannst.
Der Tunnel ist dein eigenes Netzwerk, also "privat".
aqui
aqui Oct 24, 2023 at 14:14:06 (UTC)
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!