8
OPNsense: Dynamisches Routing WLAN oder WG-VPN
Hallo zusammen,
ich habe eine Frage zum Thema OPNsense und dynamische Routen:
Ein Fahrzeug mit einem eigenständigen Netzwerk und eigenem Router (Fa. TDT / OpenWrt) baut, während es am Standort steht, über das interne WLAN eine WireGuard VPN-Verbindung zur öffentlichen IP einer OpnSense auf. Außerhalb des Standortes wird der VPN-Tunnel über LTE aufgebaut.
Ich würde nun gerne auf den VPN-Tunnel verzichten, wenn das Fahrzeug am Standort steht. Der VPN-Tunnel soll nur aktiv sein, wenn das Fahrzeug außerhalb des Standortes ist und über LTE angebunden ist. In dem TDT-Router kann ich konfigurieren, dass der WireGuard Dienst nur gestartet wird, wenn das WLAN nicht verbunden ist.
Ich frage mich nun allerdings, ob und wie ich diese dynamischen Routen in der OPNsense konfigurieren kann.
Wenn das Fahrzeug am Standort steht, soll das Fahrzeugnetzwerk (10.74.80.0) über die WLAN-Client-IP Adresse (10.74.40.20) erreichbar sein. Wenn das Fahrzeug außerhalb des Standortes ist, soll das Fahrzeugnetzwerk (10.74.80.0) über den WireGuard VPN Tunnel erreichbar sein.
Ist so etwas möglich?
Viele Grüße
Chris
ich habe eine Frage zum Thema OPNsense und dynamische Routen:
Ein Fahrzeug mit einem eigenständigen Netzwerk und eigenem Router (Fa. TDT / OpenWrt) baut, während es am Standort steht, über das interne WLAN eine WireGuard VPN-Verbindung zur öffentlichen IP einer OpnSense auf. Außerhalb des Standortes wird der VPN-Tunnel über LTE aufgebaut.
Ich würde nun gerne auf den VPN-Tunnel verzichten, wenn das Fahrzeug am Standort steht. Der VPN-Tunnel soll nur aktiv sein, wenn das Fahrzeug außerhalb des Standortes ist und über LTE angebunden ist. In dem TDT-Router kann ich konfigurieren, dass der WireGuard Dienst nur gestartet wird, wenn das WLAN nicht verbunden ist.
Ich frage mich nun allerdings, ob und wie ich diese dynamischen Routen in der OPNsense konfigurieren kann.
Wenn das Fahrzeug am Standort steht, soll das Fahrzeugnetzwerk (10.74.80.0) über die WLAN-Client-IP Adresse (10.74.40.20) erreichbar sein. Wenn das Fahrzeug außerhalb des Standortes ist, soll das Fahrzeugnetzwerk (10.74.80.0) über den WireGuard VPN Tunnel erreichbar sein.
Ist so etwas möglich?
Viele Grüße
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7864166123
Url: https://administrator.de/contentid/7864166123
Ausgedruckt am: 18.11.2024 um 14:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
warum so kompliziert? Lass den WG-Tunnel einfach offen und der Traffic geht über das WLAN per WG zu deiner OPNsense.
WG wird bei normalem Datenverkehr kaum Einfluss auf die Übertragungsgeschwindigkeit haben und du hast keine komplizierten Umschaltkonstrukte die eine weitere Fehlerquelle darstellen können.
VG
warum so kompliziert? Lass den WG-Tunnel einfach offen und der Traffic geht über das WLAN per WG zu deiner OPNsense.
WG wird bei normalem Datenverkehr kaum Einfluss auf die Übertragungsgeschwindigkeit haben und du hast keine komplizierten Umschaltkonstrukte die eine weitere Fehlerquelle darstellen können.
VG
Moin, aktuell ist es so konfiguriert, wie von Dir beschrieben.
Es läuft also alles über den WG Tunnel. Beim Verbinden und Trennen vom WLAN wird in dem TDT Router der WG Dienst einmal neu gestartet um ein einen sauberen Wechsel zwischen internen WLAN und LTE zu erreichen.
Ich habe bei dieser Konfiguration allerdings ein Problem und hatte gehofft, das es vielleicht eine einfache Möglichkeit gibt, das dynamisch zu Routen.
Bei der jetzigen Konfig besteht folgendes Problem:
Wenn das Fahrzeug den Standort verlässt und die WLAN Verbindung abreißt, versucht der TDT Router weiterhin den WG Tunnel über die IP des WLANs (10.74.40.20) herzustellen und das funktioniert natürlich nicht ohne WLAN. Auch wenn ich den WG Dienst im Router neu starte, funktioniert es nicht. Erst beim Neustart der WLAN Schnittstelle im TDT Router findet ein Wechsel auf die LTE Verbindung statt und der VPN Tunnel wird aufgebaut. Der Wechsel von der normalen Internetanbindung vom WLAN zu LTE funktioniert aber reibungslos. Irgendwie hängt da die Route zur WAN IP des Standortes bis zum Neustart fest an der WLAN Schnittstelle…
Gruß
Chris
Es läuft also alles über den WG Tunnel. Beim Verbinden und Trennen vom WLAN wird in dem TDT Router der WG Dienst einmal neu gestartet um ein einen sauberen Wechsel zwischen internen WLAN und LTE zu erreichen.
Ich habe bei dieser Konfiguration allerdings ein Problem und hatte gehofft, das es vielleicht eine einfache Möglichkeit gibt, das dynamisch zu Routen.
Bei der jetzigen Konfig besteht folgendes Problem:
Wenn das Fahrzeug den Standort verlässt und die WLAN Verbindung abreißt, versucht der TDT Router weiterhin den WG Tunnel über die IP des WLANs (10.74.40.20) herzustellen und das funktioniert natürlich nicht ohne WLAN. Auch wenn ich den WG Dienst im Router neu starte, funktioniert es nicht. Erst beim Neustart der WLAN Schnittstelle im TDT Router findet ein Wechsel auf die LTE Verbindung statt und der VPN Tunnel wird aufgebaut. Der Wechsel von der normalen Internetanbindung vom WLAN zu LTE funktioniert aber reibungslos. Irgendwie hängt da die Route zur WAN IP des Standortes bis zum Neustart fest an der WLAN Schnittstelle…
Gruß
Chris
Moin,
hast du mal versucht den Endpunkt fix auf die externe IP zu setzen?
In der OPNSense müsstest du nur schauen ob Hairpin-NAT aktiv ist.
Damit wäre auch dieses Problem erledigt.
VG
hast du mal versucht den Endpunkt fix auf die externe IP zu setzen?
In der OPNSense müsstest du nur schauen ob Hairpin-NAT aktiv ist.
Damit wäre auch dieses Problem erledigt.
VG
Ja, als VPN Endpunkt ist die öffentliche WAN IP eingetragen…
Viele Grüße
Chris
Viele Grüße
Chris
Und der WG-Client im Fahrzeug versucht über das nicht verbundene WLAN-Interface die Verbindung herzustellen?
Ja, genau.
Heute Nacht hatten wir wieder den Fehlerfall und hierbei habe ich dann Tracert mit der WAN IP des Standortes auf einem PC im Fahrzeug ausgeführt.
Das Ergebnis war als erster Punkt der TDT Router und als zweiter Punkt die IP 10.74.40.20.
Das ist die IP wo das Fahrzeug im WLAN des Standortes hat.
Heute Nacht hatten wir wieder den Fehlerfall und hierbei habe ich dann Tracert mit der WAN IP des Standortes auf einem PC im Fahrzeug ausgeführt.
Das Ergebnis war als erster Punkt der TDT Router und als zweiter Punkt die IP 10.74.40.20.
Das ist die IP wo das Fahrzeug im WLAN des Standortes hat.
Ist eigentlich ganz einfach.
In der WiFi Interface-Config hinterlegt man eine Route zu 10.74.80.0/24 mit GW im WLAN Netz mit einer Metrik die geringer ist als die der Routen des des Wireguard Tunnels.
Nun lässt man sowohl LTE als auch WiFi Interface immer aktiv, also auch LTE nie abbauen lassen.
Das führt nun das zu dass wenn das Fahrzeug im WLAN ist zwei Default-Routes (0.0.0.0/0) existieren die des WLANs mit niedriger Metrik und des LTE mit höherer. Des weiteren gibt es dann auch die o.g. Route ins Fahrzeugnetz mit niedrigerer Metrik.
Wenn also jetzt eine Verbindung ins Fahrzeugnetz aufgebaut werden soll wird die direkte Verbindung über das WLAN bevorzugt und nicht die über Wireguard.
Verlässt man nun den Einflussbereich des WLANs, verschwindet die Route weil der Link weg ist.Wird jetzt eine Verbindung zum Fahrzeugnetz aufgebaut dann gibt es nur noch die Route zum Netz über Wireguard.
Wireguard geht die Default-Routes durch und nimmt die über die es den Tunnel aufbauen kann, in dem Fall die Default Route der LTE Verbindung und schon klappt's auch dort dann aber über WG 😉.
Routing 1mal1 ...
Zeppel
In der WiFi Interface-Config hinterlegt man eine Route zu 10.74.80.0/24 mit GW im WLAN Netz mit einer Metrik die geringer ist als die der Routen des des Wireguard Tunnels.
Nun lässt man sowohl LTE als auch WiFi Interface immer aktiv, also auch LTE nie abbauen lassen.
Das führt nun das zu dass wenn das Fahrzeug im WLAN ist zwei Default-Routes (0.0.0.0/0) existieren die des WLANs mit niedriger Metrik und des LTE mit höherer. Des weiteren gibt es dann auch die o.g. Route ins Fahrzeugnetz mit niedrigerer Metrik.
Wenn also jetzt eine Verbindung ins Fahrzeugnetz aufgebaut werden soll wird die direkte Verbindung über das WLAN bevorzugt und nicht die über Wireguard.
Verlässt man nun den Einflussbereich des WLANs, verschwindet die Route weil der Link weg ist.Wird jetzt eine Verbindung zum Fahrzeugnetz aufgebaut dann gibt es nur noch die Route zum Netz über Wireguard.
Wireguard geht die Default-Routes durch und nimmt die über die es den Tunnel aufbauen kann, in dem Fall die Default Route der LTE Verbindung und schon klappt's auch dort dann aber über WG 😉.
Routing 1mal1 ...
Zeppel
Das solltest du zur Thematik dynamisches Routing mit Wireguard lesen:
OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
Verständnisfrage zu OSPF-Routing bei MikroTik-Routern (RouterOS)
Wireguard dynamisches Routing
Im Grunde ne sehr simple Geschichte wenn man es richtig macht! Deine Anforderung ist mit RIPv2 oder OSPF im Handumdrehen erledigt. Wobei OSPF die schnellere Konvergenz hat wenn es dir darauf ankommt.
OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
Verständnisfrage zu OSPF-Routing bei MikroTik-Routern (RouterOS)
Wireguard dynamisches Routing
Im Grunde ne sehr simple Geschichte wenn man es richtig macht! Deine Anforderung ist mit RIPv2 oder OSPF im Handumdrehen erledigt. Wobei OSPF die schnellere Konvergenz hat wenn es dir darauf ankommt.
