OPNsense: Wireguard von extern und intern nutzen
Guten Abend zusammen,
ich habe aktuell folgendes Problem, bei dem ich leider nicht weiterkomme:
Ein Fahrzeug mit mehreren PC-Arbeitsplätzen soll am Standort per WLAN und unterwegs per LTE an das lokale LAN angebunden werden (Site to Site).
Am Standort ist eine OPNsense und im Fahrzeug ein TDT Router vorhanden (OpenWrt).
Bis jetzt lief das ganze per OpenVPN (über WLAN und LTE). Ich möchte dies nun auf Wireguard umstellen.
Über LTE funktioniert der Handshake bei Wireguard auch, allerdings im WLAN nicht. Mit OpenVPN hat es bei beiden Varianten funktioniert. In der OPNsense habe ich eine neue Regel im VLAN WLAN angelegt, welche den Zugriff auf die WAN Adresse mit dem Wireguard Port erlaubt. Ich sehe in der Firewall auch keine Pakete, die blockiert werden. Leider funktioniert der Handshake aber nicht.
Alternativ gäbe es noch die Variante das Fahrzeug im Standort ohne VPN Verbindung anzubinden. Allerdings müsste ich der OPNsense dann irgendwie mitteilen, wann das Fahrzeug LAN (10.74.80.0) per WLAN und wann per VPN erreichbar ist. Die Routen müssten dann ja unterschiedlich sein. Leider weiß ich nicht, ob und wie ich das umsetzen kann.
Viele Grüße
Christoph
ich habe aktuell folgendes Problem, bei dem ich leider nicht weiterkomme:
Ein Fahrzeug mit mehreren PC-Arbeitsplätzen soll am Standort per WLAN und unterwegs per LTE an das lokale LAN angebunden werden (Site to Site).
Am Standort ist eine OPNsense und im Fahrzeug ein TDT Router vorhanden (OpenWrt).
Bis jetzt lief das ganze per OpenVPN (über WLAN und LTE). Ich möchte dies nun auf Wireguard umstellen.
Über LTE funktioniert der Handshake bei Wireguard auch, allerdings im WLAN nicht. Mit OpenVPN hat es bei beiden Varianten funktioniert. In der OPNsense habe ich eine neue Regel im VLAN WLAN angelegt, welche den Zugriff auf die WAN Adresse mit dem Wireguard Port erlaubt. Ich sehe in der Firewall auch keine Pakete, die blockiert werden. Leider funktioniert der Handshake aber nicht.
Alternativ gäbe es noch die Variante das Fahrzeug im Standort ohne VPN Verbindung anzubinden. Allerdings müsste ich der OPNsense dann irgendwie mitteilen, wann das Fahrzeug LAN (10.74.80.0) per WLAN und wann per VPN erreichbar ist. Die Routen müssten dann ja unterschiedlich sein. Leider weiß ich nicht, ob und wie ich das umsetzen kann.
Viele Grüße
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2452060552
Url: https://administrator.de/forum/opnsense-wireguard-von-extern-und-intern-nutzen-2452060552.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
Vermutlich ist das, wie üblich, ein "Hairpin NAT" Problem oder "NAT Reflection" wenn du aus dem lokalen WLAN kommst:
https://docs.opnsense.org/manual/nat.html
Thema: "NAT Reflection".
Kann man aber problemlos in den Advanced Settings customizen.
Die Theorie dahinter ist hier ganz gut erklärt:
https://help.mikrotik.com/docs/display/ROS/NAT
https://docs.opnsense.org/manual/nat.html
Thema: "NAT Reflection".
Kann man aber problemlos in den Advanced Settings customizen.
Die Theorie dahinter ist hier ganz gut erklärt:
https://help.mikrotik.com/docs/display/ROS/NAT
OK, sorry hatte vergessen das du OPNsense hast. Hier bei einer pfSense funktioniert das problemlos.
Wenn, wäre so oder so nur der letzte Haken relevant weil alles andere bei dir ja nicht gemacht wird.
Komisch ist das es im WLAN Segment klappt aber im LAN Segment nicht. Das ist sehr ungewöhnlich, denn für die Firewall sind das ja nichts anderes als 2 gleichberechtigete lokale Netzwerk Segmente.
Hast du mal in die Logs gesehen ob dort bei VPN Zugriff aus dem LAN irgendwas an Fehlern zu sehen ist ? (Logs vorher löschen).
Wenn, wäre so oder so nur der letzte Haken relevant weil alles andere bei dir ja nicht gemacht wird.
Komisch ist das es im WLAN Segment klappt aber im LAN Segment nicht. Das ist sehr ungewöhnlich, denn für die Firewall sind das ja nichts anderes als 2 gleichberechtigete lokale Netzwerk Segmente.
Hast du mal in die Logs gesehen ob dort bei VPN Zugriff aus dem LAN irgendwas an Fehlern zu sehen ist ? (Logs vorher löschen).