9
OPNsense: Wireguard von extern und intern nutzen
Guten Abend zusammen,
ich habe aktuell folgendes Problem, bei dem ich leider nicht weiterkomme:
Ein Fahrzeug mit mehreren PC-Arbeitsplätzen soll am Standort per WLAN und unterwegs per LTE an das lokale LAN angebunden werden (Site to Site).
Am Standort ist eine OPNsense und im Fahrzeug ein TDT Router vorhanden (OpenWrt).
Bis jetzt lief das ganze per OpenVPN (über WLAN und LTE). Ich möchte dies nun auf Wireguard umstellen.
Über LTE funktioniert der Handshake bei Wireguard auch, allerdings im WLAN nicht. Mit OpenVPN hat es bei beiden Varianten funktioniert. In der OPNsense habe ich eine neue Regel im VLAN WLAN angelegt, welche den Zugriff auf die WAN Adresse mit dem Wireguard Port erlaubt. Ich sehe in der Firewall auch keine Pakete, die blockiert werden. Leider funktioniert der Handshake aber nicht.
Alternativ gäbe es noch die Variante das Fahrzeug im Standort ohne VPN Verbindung anzubinden. Allerdings müsste ich der OPNsense dann irgendwie mitteilen, wann das Fahrzeug LAN (10.74.80.0) per WLAN und wann per VPN erreichbar ist. Die Routen müssten dann ja unterschiedlich sein. Leider weiß ich nicht, ob und wie ich das umsetzen kann.
Viele Grüße
Christoph
ich habe aktuell folgendes Problem, bei dem ich leider nicht weiterkomme:
Ein Fahrzeug mit mehreren PC-Arbeitsplätzen soll am Standort per WLAN und unterwegs per LTE an das lokale LAN angebunden werden (Site to Site).
Am Standort ist eine OPNsense und im Fahrzeug ein TDT Router vorhanden (OpenWrt).
Bis jetzt lief das ganze per OpenVPN (über WLAN und LTE). Ich möchte dies nun auf Wireguard umstellen.
Über LTE funktioniert der Handshake bei Wireguard auch, allerdings im WLAN nicht. Mit OpenVPN hat es bei beiden Varianten funktioniert. In der OPNsense habe ich eine neue Regel im VLAN WLAN angelegt, welche den Zugriff auf die WAN Adresse mit dem Wireguard Port erlaubt. Ich sehe in der Firewall auch keine Pakete, die blockiert werden. Leider funktioniert der Handshake aber nicht.
Alternativ gäbe es noch die Variante das Fahrzeug im Standort ohne VPN Verbindung anzubinden. Allerdings müsste ich der OPNsense dann irgendwie mitteilen, wann das Fahrzeug LAN (10.74.80.0) per WLAN und wann per VPN erreichbar ist. Die Routen müssten dann ja unterschiedlich sein. Leider weiß ich nicht, ob und wie ich das umsetzen kann.
Viele Grüße
Christoph
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2452060552
Url: https://administrator.de/contentid/2452060552
Ausgedruckt am: 18.11.2024 um 14:11 Uhr
9 Kommentare
Neuester Kommentar
Vermutlich ist das, wie üblich, ein "Hairpin NAT" Problem oder "NAT Reflection" wenn du aus dem lokalen WLAN kommst:
https://docs.opnsense.org/manual/nat.html
Thema: "NAT Reflection".
Kann man aber problemlos in den Advanced Settings customizen.
Die Theorie dahinter ist hier ganz gut erklärt:
https://help.mikrotik.com/docs/display/ROS/NAT
https://docs.opnsense.org/manual/nat.html
Thema: "NAT Reflection".
Kann man aber problemlos in den Advanced Settings customizen.
Die Theorie dahinter ist hier ganz gut erklärt:
https://help.mikrotik.com/docs/display/ROS/NAT
Vielen Dank für deinen Vorschlag 
Ich habe die NAT Reflections mal aktiviert, leider ohne Erfolg.
Über OpenVPN funktioniert das ganze ja auch per WLAN.
Mit meinem Smartphone funktioniert es sogar mit Wireguard über das gleiche WLAN.
Nur mit dem TDT Router geht’s leider nicht
An der OPNsense unter Wireguard/List Configuration wird auch der passende Endpoint Port des TDT Routers angezeigt…
Gibt es weitere Ideen dazu?
Viele Grüße
Christoph
Ich habe die NAT Reflections mal aktiviert, leider ohne Erfolg.
Über OpenVPN funktioniert das ganze ja auch per WLAN.
Mit meinem Smartphone funktioniert es sogar mit Wireguard über das gleiche WLAN.
Nur mit dem TDT Router geht’s leider nicht
An der OPNsense unter Wireguard/List Configuration wird auch der passende Endpoint Port des TDT Routers angezeigt…
Gibt es weitere Ideen dazu?
Viele Grüße
Christoph
Ich habe die NAT Reflections mal aktiviert, leider ohne Erfolg.
Dazu gibt es ja mehrere Settings. WAS genau hast du denn gemacht ?Gibst du das Ziel als nackte IP an oder als FQDN Hostnamen ?
Ich hatte alle 3 Möglichkeiten ausprobiert, auch gleichzeitig.
Ziel ist die externe IP des Standortes.
Ziel ist die externe IP des Standortes.
OK, sorry hatte vergessen das du OPNsense hast. Hier bei einer pfSense funktioniert das problemlos.
Wenn, wäre so oder so nur der letzte Haken relevant weil alles andere bei dir ja nicht gemacht wird.
Komisch ist das es im WLAN Segment klappt aber im LAN Segment nicht. Das ist sehr ungewöhnlich, denn für die Firewall sind das ja nichts anderes als 2 gleichberechtigete lokale Netzwerk Segmente.
Hast du mal in die Logs gesehen ob dort bei VPN Zugriff aus dem LAN irgendwas an Fehlern zu sehen ist ? (Logs vorher löschen).
Wenn, wäre so oder so nur der letzte Haken relevant weil alles andere bei dir ja nicht gemacht wird.
Komisch ist das es im WLAN Segment klappt aber im LAN Segment nicht. Das ist sehr ungewöhnlich, denn für die Firewall sind das ja nichts anderes als 2 gleichberechtigete lokale Netzwerk Segmente.
Hast du mal in die Logs gesehen ob dort bei VPN Zugriff aus dem LAN irgendwas an Fehlern zu sehen ist ? (Logs vorher löschen).
Ich habe heute nochmal etwas getestet und mir in der OPNsense den Status der Verbindungen angeschaut:
1. Fahrzeug über LTE Anbindung mit Standort-WAN Adresse als Ziel (funktioniert):
2. Fahrzeug über WLAN mit Standort-WAN Adresse als Ziel (funktioniert nicht):
3. Fahrzeug über WLAN mit "Gateway Adresse des WLAN Netzes" als Ziel (funktioniert):
1. Fahrzeug über LTE Anbindung mit Standort-WAN Adresse als Ziel (funktioniert):
2. Fahrzeug über WLAN mit Standort-WAN Adresse als Ziel (funktioniert nicht):
3. Fahrzeug über WLAN mit "Gateway Adresse des WLAN Netzes" als Ziel (funktioniert):
Hallo zusammen,
ich habe nochmal kontakt zu dem Router Hersteller (TDT) aufgenommen. Die Konfig im Fahrzeug passt soweit. Es scheint also ein Problem in der OPNsense zu sein.
Mit einem Notebook funktioniert die Wireguard Verbindung in dem WLAN. Allerdings wird in der Wireguard Software (im Windows) nach dem Verbinden als Endpoint nicht die externe WAN-Adresse des Standortes angezeigt, sondern der Gateway des WLAN Netzes (10.74.40.254).
Hat jemand noch eine Idee, was ich versuchen könnte um die VPN Verdingung herzustellen?
Viele Grüße und ein schönes Wochenende
Christoph
ich habe nochmal kontakt zu dem Router Hersteller (TDT) aufgenommen. Die Konfig im Fahrzeug passt soweit. Es scheint also ein Problem in der OPNsense zu sein.
Mit einem Notebook funktioniert die Wireguard Verbindung in dem WLAN. Allerdings wird in der Wireguard Software (im Windows) nach dem Verbinden als Endpoint nicht die externe WAN-Adresse des Standortes angezeigt, sondern der Gateway des WLAN Netzes (10.74.40.254).
Hat jemand noch eine Idee, was ich versuchen könnte um die VPN Verdingung herzustellen?
Viele Grüße und ein schönes Wochenende
Christoph
Es scheint also ein Problem in der OPNsense zu sein.
Und da kann es eigentlich nur das NAT Hairpinning sein bzw. das du es falsch eingestellt hast.Zumindestens auf einer pfSense mit 2.6.0 funktioniert dein Setup mit dem entsprechenden Hairpinning Setup fehlerlos.
Ich habe den Fehler gefunden. Es lag doch an dem OpenWRT Router.
Die Firewall Regeln haben dort keine ICMP Umleitung zugelassen…
Viele Grüße
Christoph
Die Firewall Regeln haben dort keine ICMP Umleitung zugelassen…
Viele Grüße
Christoph
1
