chris1986d
Goto Top

OPNsense: Wireguard von extern und intern nutzen

Guten Abend zusammen,

ich habe aktuell folgendes Problem, bei dem ich leider nicht weiterkomme:

Ein Fahrzeug mit mehreren PC-Arbeitsplätzen soll am Standort per WLAN und unterwegs per LTE an das lokale LAN angebunden werden (Site to Site).
Am Standort ist eine OPNsense und im Fahrzeug ein TDT Router vorhanden (OpenWrt).
Bis jetzt lief das ganze per OpenVPN (über WLAN und LTE). Ich möchte dies nun auf Wireguard umstellen.
Über LTE funktioniert der Handshake bei Wireguard auch, allerdings im WLAN nicht. Mit OpenVPN hat es bei beiden Varianten funktioniert. In der OPNsense habe ich eine neue Regel im VLAN WLAN angelegt, welche den Zugriff auf die WAN Adresse mit dem Wireguard Port erlaubt. Ich sehe in der Firewall auch keine Pakete, die blockiert werden. Leider funktioniert der Handshake aber nicht.

Alternativ gäbe es noch die Variante das Fahrzeug im Standort ohne VPN Verbindung anzubinden. Allerdings müsste ich der OPNsense dann irgendwie mitteilen, wann das Fahrzeug LAN (10.74.80.0) per WLAN und wann per VPN erreichbar ist. Die Routen müssten dann ja unterschiedlich sein. Leider weiß ich nicht, ob und wie ich das umsetzen kann.

wg

Viele Grüße
Christoph

Content-ID: 2452060552

Url: https://administrator.de/forum/opnsense-wireguard-von-extern-und-intern-nutzen-2452060552.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

aqui
aqui 09.04.2022 aktualisiert um 13:05:49 Uhr
Goto Top
Vermutlich ist das, wie üblich, ein "Hairpin NAT" Problem oder "NAT Reflection" wenn du aus dem lokalen WLAN kommst:
https://docs.opnsense.org/manual/nat.html
Thema: "NAT Reflection".
Kann man aber problemlos in den Advanced Settings customizen.
Die Theorie dahinter ist hier ganz gut erklärt:
https://help.mikrotik.com/docs/display/ROS/NAT
Chris1986D
Chris1986D 13.04.2022 um 17:43:39 Uhr
Goto Top
Vielen Dank für deinen Vorschlag face-smile
Ich habe die NAT Reflections mal aktiviert, leider ohne Erfolg.

Über OpenVPN funktioniert das ganze ja auch per WLAN.
Mit meinem Smartphone funktioniert es sogar mit Wireguard über das gleiche WLAN.
Nur mit dem TDT Router geht’s leider nicht face-sad

An der OPNsense unter Wireguard/List Configuration wird auch der passende Endpoint Port des TDT Routers angezeigt…

Gibt es weitere Ideen dazu?

Viele Grüße
Christoph
aqui
aqui 13.04.2022 aktualisiert um 18:27:46 Uhr
Goto Top
Ich habe die NAT Reflections mal aktiviert, leider ohne Erfolg.
Dazu gibt es ja mehrere Settings. WAS genau hast du denn gemacht ?
Gibst du das Ziel als nackte IP an oder als FQDN Hostnamen ?
Chris1986D
Chris1986D 13.04.2022 um 18:46:20 Uhr
Goto Top
Ich hatte alle 3 Möglichkeiten ausprobiert, auch gleichzeitig.

0494864f-128a-4cd0-8508-73df3d90c256.

Ziel ist die externe IP des Standortes.
aqui
aqui 13.04.2022 aktualisiert um 19:01:03 Uhr
Goto Top
OK, sorry hatte vergessen das du OPNsense hast. Hier bei einer pfSense funktioniert das problemlos.
Wenn, wäre so oder so nur der letzte Haken relevant weil alles andere bei dir ja nicht gemacht wird.
Komisch ist das es im WLAN Segment klappt aber im LAN Segment nicht. Das ist sehr ungewöhnlich, denn für die Firewall sind das ja nichts anderes als 2 gleichberechtigete lokale Netzwerk Segmente.
Hast du mal in die Logs gesehen ob dort bei VPN Zugriff aus dem LAN irgendwas an Fehlern zu sehen ist ? (Logs vorher löschen).
Chris1986D
Chris1986D 16.04.2022 um 15:56:10 Uhr
Goto Top
Ich habe heute nochmal etwas getestet und mir in der OPNsense den Status der Verbindungen angeschaut:

1. Fahrzeug über LTE Anbindung mit Standort-WAN Adresse als Ziel (funktioniert):
fahrzeug_lte

2. Fahrzeug über WLAN mit Standort-WAN Adresse als Ziel (funktioniert nicht):
fahrzeug_wlan

3. Fahrzeug über WLAN mit "Gateway Adresse des WLAN Netzes" als Ziel (funktioniert):
fahrzeug_wlan_routervlan
Chris1986D
Chris1986D 22.04.2022 um 13:42:51 Uhr
Goto Top
Hallo zusammen,

ich habe nochmal kontakt zu dem Router Hersteller (TDT) aufgenommen. Die Konfig im Fahrzeug passt soweit. Es scheint also ein Problem in der OPNsense zu sein.

Mit einem Notebook funktioniert die Wireguard Verbindung in dem WLAN. Allerdings wird in der Wireguard Software (im Windows) nach dem Verbinden als Endpoint nicht die externe WAN-Adresse des Standortes angezeigt, sondern der Gateway des WLAN Netzes (10.74.40.254).

Hat jemand noch eine Idee, was ich versuchen könnte um die VPN Verdingung herzustellen?

Viele Grüße und ein schönes Wochenende face-smile
Christoph
aqui
aqui 22.04.2022 um 13:50:42 Uhr
Goto Top
Es scheint also ein Problem in der OPNsense zu sein.
Und da kann es eigentlich nur das NAT Hairpinning sein bzw. das du es falsch eingestellt hast.
Zumindestens auf einer pfSense mit 2.6.0 funktioniert dein Setup mit dem entsprechenden Hairpinning Setup fehlerlos.
Chris1986D
Lösung Chris1986D 24.04.2022 um 08:34:58 Uhr
Goto Top
Ich habe den Fehler gefunden. Es lag doch an dem OpenWRT Router.
Die Firewall Regeln haben dort keine ICMP Umleitung zugelassen…

Viele Grüße
Christoph