larsvomdach
20.12.2024, aktualisiert um 10:23:40 Uhr
view2110
view11
0
Goto Top

OPNSense Mikrotik WG Internet, Lokal kein Zugriff

gelöstFrageLAN, WAN, WirelessRouter, RoutingVPN
Hallo zusammen,

Habe vor ein paar Monaten diese Frage in dieses Forum gestellt.
OPNSense Mikrotik WG Internet über eine Seite
Das funktioniert auch ohne Probleme.

Was mir jetzt erst aufgefallen ist (warum auch immer) das ich z.B. lokal auf den Mikrotik nicht Zugreifen kann.
Wenn ich im Routing die Wireguard Route (via WG) deaktiviere wie im obigen Beitrag angegeben dann, kann ich wieder auf den Mikrotik zugreifen aber, das Internet wird dann lokal verwendet was ich aber nicht möchte sondern über die Wireguardverbindung. Im Peer ist bei AllowIPs: 0.0.0.0/0 gestetzt.

Hat hier jemand eine Lösung?
Bin mit Mikrotik nicht so fit.

PS. Habe noch ein 2tes Subnetz eingerichtet. Das hätte ich gerne so das es immer das lokale Internet verwendet.

Vielen Dank.

Grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 670307

Url: https://administrator.de/forum/opnsense-mikrotik-wg-internet-lokal-kein-zugriff-670307.html

Ausgedruckt am: 21.01.2025 um 04:01 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 20.12.2024 aktualisiert um 10:32:35 Uhr
Goto Top
Bei OPNsense braucht es im Gegensatz zur pfSense keine statische Route wenn man den Haken bei "Disable Routes" NICHT setzt.
routewg
Im Peer ist bei AllowIPs: 0.0.0.0/0 gestetzt.
Ist das gewollt?? Bei einer Site to Site VPN Umsetzung ist sowas immer höchst kontraproduktiv und man sollte dort niemals mit Redirect arbeiten sondern IMMER mit Split Tunneling!
Bin mit Mikrotik nicht so fit.
Das muss ja nicht so bleiben. face-wink
Dieser Forenthread beschreibt dir en Detail so ein Setup wie deins.
Wie du das dann analog auf der OPNsense (als VPN Responder (Server) umsetzt erklärt das OPNsense WG Tutorial.
Über die IP Adresse kommt man damit dann auch mit der WinBox auf den Mikrotik. WebGUI natürlich auch. Lesen und verstehen... face-wink
heart1
gastric
Lösung gastric 20.12.2024 aktualisiert um 17:38:00 Uhr
Goto Top
Hi.
Entferne die Routing-Rule und ersetze sie durch folgende Firewall-Settings auf dem Mikrotik
/ip firewall address-list
add address=10.0.0.0/8 list=RFC1918
add address=192.168.0.0/16 list=RFC1918
add address=172.16.0.0/12 list=RFC1918

/ip firewall mangle 
add chain=prerouting dst-address-list=!RFC1918 src-address=192.168.100.0/24 dst-address-type=!local action=mark-routing new-routing-mark=viaWG
Man beachte das Ausrufezeichen vor dem Listennamen, das ist korrekt, da die Liste ja negiert werden soll, die Regel soll also nur bei Zieladressen greifen die nicht im RFC1918 Bereich liegen!

Alternativ kann man die Routing-Rule nicht entfernen und darüber (wichtig, first match wins) weitere Regeln anlegen die als Zieladressen die lokalen Netze beinhaltet die du über die Main-Routing-Table erreichen willst.

Was du davon nutzt ist egal, ich persönlich mache es ausschließlich über Mangle-Rules weil man da mehr Kontrolle hat was über den Tunnel gehen soll oder nicht.

Gruß gastric
heart3
larsvomdach
larsvomdach 20.12.2024 aktualisiert um 11:32:49 Uhr
Goto Top
Hallo aqui, Hallo gastric,

Vielen dank für die schnellen Antworten.

@aqui
Ist das gewollt??
Ja, ist so gewollt.

Das muss ja nicht so bleiben.
Will ich auch nicht. Habe ja auch viel gelesen nur, lesen und verstehen sind immer zwei paar Schuhe face-smile

@gastric
Danke dir.

Das habe ich so umgesetzt. Auf dem Mikrotik komme ich jetzt. Nur ins Internet nicht mehr.
Und ich muss mich Entschuligen. Habe vergessen zu erwähnen das aktuell der Mikrotik hinter einem anderen Router sitz und eine Private IP: 10.1.1.25 bekommt.
Masquerade ist auf dem WAN Interface gesetzt.

Grüße
aqui
aqui 20.12.2024 aktualisiert um 11:41:19 Uhr
Goto Top
Ja, ist so gewollt.
Wie bereits gesagt... Bei Site-to-Site ist das eigentlich kontraproduktiver Unsinn denn wozu sollte das gut sein bei statischen Netzen? Das ist eine reine Client VPN Funktion. Aber nundenn...wenn du meinst das muss so sein dann ist es halt so.
Masquerade ist auf dem WAN Interface gesetzt.
Sinnvoller wäre das nativ zu routen in so einer Kaskade, es sei denn das Netz davor ist nicht vertraulich oder der Router davor supportet kein statisches Routing?! (Siehe dazu auch hier)
heart1
gastric
gastric 20.12.2024 aktualisiert um 14:38:42 Uhr
Goto Top
Zitat von @larsvomdach:
Das habe ich so umgesetzt. Auf dem Mikrotik komme ich jetzt. Nur ins Internet nicht mehr.
Tja, arbeitet hier aber einwandfrei, vorher immer alle existierenden States in der FW löschen. Vermutlich hast du es falsch an deine Umgebung angepasst. Wir kennen deine Geamtconfig leider nicht, also mal wieder Rätselraten ohne einen vorliegenden Export. Immer wieder das selbe hier 🫤.

Und ich muss mich Entschuligen. Habe vergessen zu erwähnen das aktuell der Mikrotik hinter einem anderen Router sitz und eine Private IP: 10.1.1.25 bekommt.
Macht keinen Unterschied.

Masquerade ist auf dem WAN Interface gesetzt.
Unsinnig und Performance technischer Unsinn wenn man auf dem vorgelagerten Router ne statische Route setzen kann.
heart1
larsvomdach
larsvomdach 20.12.2024 aktualisiert um 15:52:37 Uhr
Goto Top
Hallo ir beiden.

Es funktoniert.

Tja, arbeitet hier aber einwandfrei, vorher immer alle existierenden States in der FW löschen.
Hatte ich gemacht. Auch ein Neustart des Routers.

Mein Fehler war dass, ich irgendwie das ! in der Forward Regel bei den RFC1918 IPs der Firewall des Subnetzes vergessen habe. Bin anscheined schon in Weihnachtsurlaub face-smile

Danke an euch beiden und schöne Weihnachtstage..

Grüße
gastric
gastric 20.12.2024 um 16:01:27 Uhr
Goto Top
Danke an euch beiden und schöne Weihnachtstage..
Danke ebenso, frohe Festtage🎄
heart1
larsvomdach
larsvomdach 22.12.2024 aktualisiert um 10:10:36 Uhr
Goto Top
Hallo zusammen,

Funktioniert doch nicht so ganz.

Wenn ich die Regel anwende komme ich auf dem Mikrotik aber, nicht mehr ins Internet.

Hier die Firewall Config:
/ip firewall connection tracking
set udp-timeout=10s
/ip firewall address-list
add address=10.0.0.0/8 list=RFC1918
add address=192.168.0.0/16 list=RFC1918
add address=172.16.0.0/12 list=RFC1918
/ip firewall filter
add action=accept chain=input comment="Input - Wireguard" dst-port=59591 \  
    in-interface-list=WAN protocol=udp
add action=accept chain=input comment="Routerzugriff von VLAN5 - Mikrotik" \  
    in-interface=vlan5-Mikrotik packet-mark="" src-address=192.168.100.0/24  
add action=accept chain=input comment=\
    "Input Verbindungen established/related Pakete" connection-state=\  
    established,related
add action=accept chain=input comment="Input - Wireguard - Home R" disabled=\  
    yes dst-address=192.168.0.0/24 in-interface=wireguard1 src-address=\
    10.0.10.4/24
add action=accept chain=input comment="Input - Wireguard - Home R" disabled=\  
    yes dst-address=192.168.0.0/24 in-interface=wireguard1 src-address=\
    192.168.100.0/24
add action=accept chain=input comment="Input - Wireguard - Home R" \  
    in-interface=wireguard1 src-address=192.168.0.0/24
add action=accept chain=input comment="DNS Abfrage TCP fuer VLAN5 - Mikrotik" \  
    dst-address=192.168.1.11 dst-port=53 in-interface=wireguard1 protocol=tcp \
    src-address=192.168.100.0/24
add action=accept chain=input comment="DNS Abfrage UDP fuer VLAN5 - Mikrotik" \  
    dst-address=192.168.1.11 dst-port=53 in-interface=wireguard1 protocol=udp \
    src-address=192.168.100.0/24
add action=accept chain=input comment="DNS Abfrage TCP fuer Gast" dst-port=53 \  
    in-interface=vlan-bridge-gast protocol=tcp src-address=192.168.200.0/24
add action=accept chain=input comment="DNS Abfrage UDP fuer Gast" dst-port=53 \  
    in-interface=vlan-bridge-gast protocol=udp src-address=192.168.200.0/24
add action=drop chain=input comment="Nicht erlaubte Verbindungen" log=yes  
add action=accept chain=forward disabled=yes
add action=accept chain=forward protocol=icmp
add action=accept chain=forward comment=\
    "Forward Verbindungen established/related Pakete" connection-state=\  
    established,related
add action=accept chain=forward comment="Forward fuer Wireguard nach R" \  
    dst-address=192.168.0.0/24 in-interface=vlan5-Mikrotik out-interface=\
    wireguard1 src-address=192.168.100.0/24
add action=accept chain=forward comment=\
    "Forward fuer VLAN5 - Mikrotik - Internet R"  
 in-interface=vlan5-Mikrotik out-interface=wireguard1 \
    src-address=192.168.100.0/24
add action=accept chain=forward comment="Forward fuer Gast" dst-address=\  
    !192.168.100.0/24 in-interface=vlan-bridge-gast out-interface-list=WAN \
    src-address=192.168.200.0/24
add action=drop chain=forward comment="Nicht erlaubte Verbindungen" log=yes  
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!RFC1918 \
    dst-address-type=!local new-routing-mark=main passthrough=yes \
    src-address=192.168.100.0/24 src-address-list=""  
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Vielen Dank.
gastric
gastric 22.12.2024 aktualisiert um 10:40:01 Uhr
Goto Top
Autsch
src-address-list=""
new-routing-mark=main
Beides falsch !! Schau dir meins oben nochmal ganz genau an!!
Erstens der Punkt src-address-list gehört mit "unset" eliminiert und die Routing-Table ist nicht "main" sondern jene in der du die Default Route auf den Tunnel gelegt hast im Beispiel oben "viaWG"!
Funktioniert doch nicht so ganz.
Doch, wunderbar und hier schon jahrelang, musst es nur richtig machen 😉
heart3
larsvomdach
larsvomdach 25.12.2024 um 16:32:42 Uhr
Goto Top
Hallo gastric,

ok, habe es nun wieder eingestellt und es funktioniert. Kann dir leider nicht genau sagen warum es sich umgestellt hat. Ging ja am Anfang.

Danke dir.face-smile

Noch eine kleine Frage.
Wenn ich jetzt eine zweite/dritte VPN Verbindung zu anderen Standorten anlege, müsste es ja auch klappen.

Schöne Festtage.

Grüße
gastric
gastric 25.12.2024 aktualisiert um 17:33:32 Uhr
Goto Top
Zitat von @larsvomdach:
Noch eine kleine Frage.
Wenn ich jetzt eine zweite/dritte VPN Verbindung zu anderen Standorten anlege, müsste es ja auch klappen.
Was soll klappen? Du kannst so viele VPN Verbindungen anlegen wie du willst. Du selbst bestimmst mit deinen angelegten Routen und Routing-Tabellen und Markierungen über Mangle-Rules was zu welchem Standort über welchen Tunnel geht face-smile.
Vielleicht statt zu viel Festbraten etwas Grundlagenwissen über die Feiertage, das hilft die Knoten zu lösen face-wink
https://help.mikrotik.com/docs/spaces/ROS/pages/328084/IP+Routing
https://help.mikrotik.com/docs/spaces/ROS/pages/48660587/Mangle
Schöne Festtage.
Gleichfalls, und ein gutes Neues schon mal.

Fehlt dann nur noch der Haken am Beitrag. 🖖
heart2
gelöstFrageLAN, WAN, WirelessRouter, RoutingVPN
Mehr von larsvomdachlarsvomdachNachfolger vom Cisco ISR Router gesuchtlarsvomdach - 8 KommentarelarsvomdachRuckus R320 Standalone zu unleashed Firmwarelarsvomdach - 5 KommentarelarsvomdachCisco Router Source NAT von VLAN zu VLANlarsvomdach - 4 KommentarelarsvomdachLWL Fasern einfach erweiternlarsvomdach - 17 Kommentare
Heiß diskutiert
MysticFoxDEUSA - TikTok Down!MysticFoxDE - 46 Kommentarepasu69GUSbox und der antiquierteste Weg, ein Fax zu empfangenpasu69 - 27 KommentareHilfegesuchGlasfaser, TAE, VerkabelungHilfegesuch - 22 KommentarekpunktTelekom FTTH kein ONT mehr?kpunkt - 20 KommentareHucklebuckSwitche gesuchtHucklebuck - 18 KommentaremirdochegalPatchdienstag: wer traute sich bereits?mirdochegal - 17 KommentareStefanKittelMit einem DMS ein Netzwerkverlauf abbildenStefanKittel - 17 KommentarePolikosYealink W80B,W80DM,W73H: Eingehende Anrufe klingeln nicht auf allen MobilteilenPolikos - 17 KommentareDecker2022OPNsense mit 2xWAN und einem PortsDecker2022 - 16 KommentareTschakalakaUnterstützung HPE StoreEver 1-8 Autoloader einrichten unter VeeamTschakalaka - 16 KommentarepanguuComputer Anschaffung für Kinder im Grundschulalter und welches OS ?panguu - 16 KommentareSpeed101Server friert ein - Kaltstart notwendigSpeed101 - 14 Kommentare