WireGuard auf Opnsense

Guten Abend,
ich bin am verzweifeln, denn ich versuche seit einiger Zeit WireGuard auf Opnsense zum laufen zu bekommen. Vorher nutzte ich pfsense, und komischerweise lief das Setup ohne Probleme. Ich bin mehreren Dokumentation gefolgt, u.a. auch die von Opnsense selbst.

Zu meinem Netz:

- Zwei GWs gesammt, Eins via ISP und eins über sep. VPN Verbindung (mehrere Standorte mit "kill-switch")
- Mehrere VLANs für verschd. Bereiche und Aufgaben
- OpenVPN Client (VPN GW), OpenVPN-Server für Zugriff auf interne Bereiche
- Selective Routing für manche Clients (via ISP) rest über VPN
- Keine Static-pub-IP (via DDNS)

Zu meinem Problem mit WG:

Es kommt zu keinem Handshake (<PubKey> = 0); obwohl In/Out traffic erscheint:

listconf

Am Pub/Priv Key beider Geräte kann es nicht liegen, 1000x neu generiert und geprüft.
Log auf dem Handy sagt nichts aussagekräftiges (Handshake did not complete after 5 [...] )

Zur Config:

- Smartphone via WG-App

screenshot_20211108-223607_1_1_1

- Server Config

server

- Endpoint

dev1


- Firewall WAN

wanrules

- Firewall WG Interface:

wghomerule

- NAT Outbound

natoutbound


Erkennt jemand einen Fehler? Ich sehe vor lauter Bäumen den Wald nichtmehr...

Content-Key: 1484396894

Url: https://administrator.de/contentid/1484396894

Ausgedruckt am: 26.11.2021 um 20:11 Uhr

Mitglied: Visucius
Visucius 09.11.2021 um 07:16:47 Uhr
Goto Top
Klingt nach nem Fehler der „allowed IPs“. Mit 0.0.0.0 habe ich es nie zum Laufen gebracht.

Ein anderes Thema ist NAT ja/nein … da kenne ich OPNsense aber nicht.
Mitglied: Reini82
Reini82 09.11.2021 um 08:23:43 Uhr
Goto Top
Moin,

sieht an sich sauber aus. NAT kann man machen mit Wireguard. Laut dem ersten Bild "List Configurations" hat der Client auch mal Verbindung gehabt da bei Transfer/Received Werte stehen. Setze mal die Firewall Regel für Wireguard bei Source entweder auf any oder auf Source=192.168.123.0/24. Evlt. klemmt es an dieser Stelle.

Ansonsten (aber hast ja schon 1000 mal gemacht :) face-smile ) die PublicKeys an beiden nochmal konfigurieren/prüfen.

Gruß
Mitglied: aqui
aqui 09.11.2021 aktualisiert um 10:56:35 Uhr
Goto Top
Oder den Schritten des hiesigen Tutorial noch einmal genau folgen:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Und... die derzeitigen Einschränkungen des Pakets beim Setup unbedingt beachten:
https://administrator.de/knowledge/pfsense-2-5-2-wireguard-package-und-d ...
Mitglied: gambgamb
gambgamb 11.11.2021 um 14:41:24 Uhr
Goto Top
Vielen Dank für die Antwort, das Routing verwirrt mich jedoch ziemlich. Gibt es da vielleicht eine Schritt für Schritt Anleitung für den WireGuard Fall? Die Informationen aus deinem helfen mir nur bedingt weiter.

Auf meiner Oonsense ist Version 1.7 installiert
Mitglied: aqui
aqui 12.11.2021 aktualisiert um 16:06:56 Uhr
Goto Top
Was verwiirt dich denn da konkret ? Das ist doch stinknormales IP Routing wie es auch hier im Grundlagentutorial beschrieben ist. Da ist doch nun wahrlich nichts Verwirrendes dabei.
Wireguard rennt hier völlig problemlos auf einer aktuellen OPNsense. Mit deiner Version stimmt etwas nicht. diese Versionsnummer ist nei OPNsense völlig unbekannt. :-( face-sad
Schritt für Schritt Anleitungen findest du z.B. hier:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Roa ...
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
https://homenetworkguy.com/how-to/configure-wireguard-opnsense/
Mitglied: gambgamb
gambgamb 13.11.2021 um 19:30:47 Uhr
Goto Top
Ich meinte die os-wireguard Version. Heute auf 1.8 geupdated. Ebenso habe ich (da ich wieder im LAN bin) versucht mich via Wifi auf den WG-Server (öffentliche IP durch DDNS) zu verbinden und das klappt.
Ausserhalb des LANs klappt das nicht (LTE & co)

Änderungen IP:
Client 10.0.0.2
WG-Server: 10.0.0.1/24

Hier nochmal paar Screenshots:

Interface 'WG':
interface22

Statische Route:
staticroute33

Gateway:
11


Desweiteren habe ich unter Local > Disable Routes CHECK > Gateway 10.0.0.1 versucht
NAT Regeln habe ich vorerst gelöscht
Mitglied: aqui
aqui 14.11.2021 um 20:38:15 Uhr
Goto Top
Ausserhalb des LANs klappt das nicht (LTE & co)
Hast du einen DS-Lite Anschluss oder nutzt dein Mobilprovider CGN (zentralisiertes NAT)
Das kannst du checken ob du eine öffentliche IPv4 Adresse am Firewall WAN Interface hast.
Wenn du DS-Lite oder einen CGN Provider hast ist ein VPN Zugang, egal welches VPN Protokoll, technisch unmöglich weil du das CGN NAT des Providers nicht überwinden kannst !
Das solltest du also zuallererst mal wasserdicht klären, denn wenn das der Fall ist, ist es sinnlos mit dem VPN weiterzumachen.
Mitglied: gambgamb
gambgamb 14.11.2021 um 22:09:43 Uhr
Goto Top
Nein hat mein Anschluss nicht. Ich habe noch parallel 2 OpenVPN Server am Laufen (Wollte die durch WG ersetzen).
Mitglied: hacktor
hacktor 14.11.2021 aktualisiert um 22:34:05 Uhr
Goto Top
Zitat von @gambgamb:
Hier nochmal paar Screenshots:

Interface 'WG':
interface22


Hier ist der Fehler! Du musst hier ebenfalls die IP des WG Server fest eintragen wenn du ein Interface für Wireguard aktivierst (10.0.0.1/24)


Statische Route:
staticroute33

Gateway:
11


Desweiteren habe ich unter Local > Disable Routes CHECK > Gateway 10.0.0.1 versucht
NAT Regeln habe ich vorerst gelöscht
Statische Routen zu einem Netz das auf dem selben Router terminiert ist ist völliger Blödsinn sorry, sollte man als Netzwerker eigentlich wissen, die müssen weg!
Mitglied: gambgamb
gambgamb 15.11.2021 um 00:08:03 Uhr
Goto Top
10.0.0.1/24 Habe ich dem Interface vergeben.
Trotzdem keine Funktion :( face-sad
FW-Regeln passen

Dann nochmal neues GW erstellt, mit der 10.0.0.2, Rest auf default

Klar machen statt. Routen die auf dem Router terminiert sind keinen Sinn. Doch mittlerweile ist es einfach nurnoch trial and error
Mitglied: gambgamb
gambgamb 15.11.2021 um 00:26:07 Uhr
Goto Top
Was mir gerade aufgefallen ist, meine Öffentliche IP (pppoe) 93.xxx.xxx.xxx weicht von der auf dem WAN_PPPOE 62.XXX.XXX.XXX ab.
Mitglied: hacktor
hacktor 15.11.2021 aktualisiert um 07:36:32 Uhr
Goto Top
Zitat von @gambgamb:

Was mir gerade aufgefallen ist, meine Öffentliche IP (pppoe) 93.xxx.xxx.xxx weicht von der auf dem WAN_PPPOE 62.XXX.XXX.XXX ab.
Dein DYDNS funktioniert wohl nicht?!

Du sagtest du verwendest zwei WAN Gateways, dann hast du dir wohl in deiner Firewall ein asynchrones Routing gebaut bei dem Traffic über das eine reinfliesst über das andere raus geht. Das wäre damit zu erklären... Leider bringst du hier dazu viel zu wenig Infos aus deiner Config.
Im Zweifelsfall erst mal nur mit einem GW die OPNSense clean aufsetzen Dann wirst du sehen das das sofort läuft, du hast dir da wohl mit deinen GW Rules in der FW nur selbst ein Bein gestellt so meine Vermutung.

Dann nochmal neues GW erstellt, mit der 10.0.0.2, Rest auf default
😆🙃 Das ist ehrlich gesagt Hexenbeschwörung statt Fehlersuche.
Doch mittlerweile ist es einfach nurnoch trial and error
Das ist Blödsinn sinnlose Routen zu setzen, setze das Teil nochmal clean auf und gehe dabei strategisch vor!
Mitglied: gambgamb
gambgamb 15.11.2021 um 07:49:22 Uhr
Goto Top
Doch doch mein DDNS geht. OpenVPN geht ja auch darüber rein.
Er zeigt auf meine Öffentliche. Upstream GW (Telekom) ist jedoch anders.
Mitglied: hacktor
hacktor 15.11.2021 aktualisiert um 08:00:22 Uhr
Goto Top
Joa dann lass uns hier nicht verhungern und poste mal deine detaillierten FW und Policy-Routing-Regeln, ansonsten kann man dir hier nicht helfen.

Denn diese Aussage
- Selective Routing für manche Clients (via ISP) rest über VPN
lässt mich eben vermuten daß du da unabsichtlich ein asynchrones Routing gebaut hast.
Mitglied: aqui
aqui 15.11.2021 aktualisiert um 17:22:42 Uhr
Goto Top
10.0.0.1/24 Habe ich dem Interface vergeben.
Wenn die 10.0.0.1 der WG Server selber ist (internes IP Netz) dann ist das auch falsch, denn das ist dann eine /32er Host Subnetzmaske !
Siehe dazu auch das hiesige Wireguard Tutorial unter Allowed IPs !!
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Das 10.0.0.0er IP Netz dafür zu wählen ist auch nicht besonders intelligent, denn dieses Allerweltnetz wird im VPN Umfeld massenhaft verwendet. Da wird es nicht lange dauern bis du Probleme bekommst !
Siehe zu dem Thema auch hier:
https://administrator.de/tutorial/vpns-einrichten-mit-pptp-117700.html#t ...
Lesen und verstehen... ;-) face-wink
Upstream GW (Telekom) ist jedoch anders.
Ist ja auch logisch das das anders ist. Spielt aber für die Connectivity und die Thread Problematik hier keinerlei Rolle da du das ja eh dynamisch vom Provider bekommst.
Also vergessen und daran halten was oben steht...!! "und gehe dabei strategisch vor!" ;-) face-wink
Mitglied: aqui
aqui 25.11.2021 um 18:03:42 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch als erledigt zu setzen:
https://administrator.de/faq/32
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 22 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 15 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...