WireGuard mit OPNsense

Hallo zusammen,

ich versuche ein Setup mit WireGuard und OPNsense, mal zum Testen.
Ich bekomme leider zum Verrecken keinen Handshake hin und stehe etwas auf dem Schlauch.

Nach Anleitung, bspw. die Offizielle von OPNsense oder die von @aqui, sind Server und Endpoints konfiguriert. DNS Name wird aufgelöst, die PublicKeys habe ich mehrfach kontrolliert, IPs mit korrekter Notation hinterlegt, wg0 assigned (ohne Interface IP), Firewallregeln geprüft, Dienst mehrfach neu gestartet, ganze Appliance neugestartet,... Auf dem FW UDP Port ist im Log auch Traffic zu sehen, wenn ich einen Verbindungsversuch unternehme. Im Log beim WireGuard Server wird der Client auch gelistet, im Tab Handshake auch, aber es wird keiner gemacht (mit "0" markiert).

Hier hat jemand das gleiche Problem.

Habe keine Idee mehr, wo ich noch schauen könnte.
Vielleicht jemand von euch?

VG
Tezzla

Content-Key: 666829

Url: https://administrator.de/contentid/666829

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

Mitglied: aqui
aqui aktualisiert am 18.05.2021
Grundlagen zu dem Thema hast du alle gelesen ?
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...

Vor allem aber in den Firewall Regeln ein PERMIT vom Wireguard UDP Port 51820 (Sofern du den Default verwendest ?!) auf die WAN IP Adresse erlaubt ?!
Screenshots deines Setups und auch des Log Outputs wären wie immer zielführend für eine Hilfe.
Mitglied: Tezzla
Tezzla am 18.05.2021
Zitat von @aqui:
Grundlagen zu dem Thema hast du alle gelesen ?
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Ja, wie oben sogar namentlich erwähnt :-) face-smile

Vor allem aber in den Firewall Regeln ein PERMIT vom Wireguard UDP Port 51820 (Sofern du den Default verwendest ?!) auf die WAN IP Adresse erlaubt ?!
Jap, man sieht auch die Verbindung im LiveLog.

Screenshots deines Setups und auch des Log Outputs wären wie immer zielführend für eine Hilfe.
Ich werds gleich nochmal bauen, habe es eben aus Frust alles in die Tonne geworfen.
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Hatte ich gerade erst hier eine beispielhafte Anleitung für verfasst ...
https://administrator.de/forum/ros-7-richtige-wireguard-config-666701.ht ...

Gruß w.
Mitglied: Tezzla
Tezzla am 18.05.2021
Zitat von @148121:
Hatte ich gerade erst hier eine beispielhafte Anleitung für verfasst ...
https://administrator.de/forum/ros-7-richtige-wireguard-config-666701.ht ...

Habs fast exakt genauso gebaut außer andere interne Subnetze und UDP Port.
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Naja es funktioniert ja schon bei hunderten Installationen mit OpnSense, ohne deine exakten Settings hier vorliegen zu haben ist ja wie immer nur Raten mit der berühmten Glaskugel :-) face-smile.
Mitglied: aqui
aqui am 18.05.2021
Jap, man sieht auch die Verbindung im LiveLog.
Dann sollte ja eigentlich alles im grünen Bereich sein wenn dort keine Errors zu sehen sind ! ;-) face-wink
Wie gesagt: Screenshots des Setups und ggf. Regelwerkes des WAN und wg0 Ports wären hilfreich.
Mitglied: Tezzla
Tezzla am 18.05.2021
WAN Port war nur Source any mit UDP 51820 auf This Firewall (testweise auch WAN_address, war aber egal).
Beim wg Interface hab ichs auch mal mit any-any versucht.

Ich werds gleich nochmal bauen, kann das mittlerweile fast blind klicken und tippen. :-) face-smile
Mitglied: Tezzla
Tezzla am 18.05.2021
Server
serverconfig - Klicke auf das Bild, um es zu vergrößern

Client
endpointconfig - Klicke auf das Bild, um es zu vergrößern

Clientlist
listconfig - Klicke auf das Bild, um es zu vergrößern

Regeln
firewallrules_wg0 - Klicke auf das Bild, um es zu vergrößern
firewallrules_wan - Klicke auf das Bild, um es zu vergrößern

WAN Regel wird auch angewendet, steht so im Live Log der opnsense

Wireguard.conf auf dem Client

Result: Kein Handshake.
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Allowed IPs für den Endpoint ist auf der OpnSense falsch eingetragen. Schau dir mein Beispiel nochmal ganz genau an ;-) face-wink.
Mitglied: Tezzla
Tezzla aktualisiert am 18.05.2021
Zitat von @148121:
Allowed IPs für den Endpoint ist auf der OpnSense falsch eingetragen. Schau dir mein Beispiel nochmal ganz genau an ;-) face-wink.

Ich schnall's nicht.
Der Client soll erstmal nur mit dem wg subnet kommunizieren. Kein LAN Segment dahinter.
Ich kann nicht mal den wg Server anpingen, was bei dem Regelwerk ja aber drin sein sollte oder seh ich's jetzt einfach nicht?! :-D face-big-smile
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Trag im Endpoint der OpnSense folgende Adresse ein
192.168.123.100/32
Mitglied: Tezzla
Tezzla aktualisiert am 18.05.2021
Keine Veränderung, no handshake.
Hab grad auch nochmal (und nochmal) die PublicKeys überschrieben. Sind aber auch alle an den richtigen Stellen eingefügt: Der vom Client im Endpoint auf der opnsense. Der vom Server im Client unter [peer].
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Also laut deinem Screenshot läuft ja bereits Traffic in beide Richtungen.
Wenn kein Handshake da ist müssen schon die Keys falsch sein.

Werf mal TCPdump an.
Mitglied: Tezzla
Tezzla am 18.05.2021
Der Client sagt im Log "Handshake did not complete after 5 seconds".
Ich werd nachher mal mit Wireshark gucken.
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Zitat von @Tezzla:

Der Client sagt im Log "Handshake did not complete after 5 seconds".
Dann sind meistens die Keys nicht in Ordnung. Tippe ich zu 95% drauf. Da passiert schnell mal ne Verwechslung.
Mitglied: Tezzla
Tezzla aktualisiert am 18.05.2021
Das kann ich ausschließen.
Habs wie zwei Posts weiter oben mehrmals hin und her geprüft, auch durch Notepad gejagt und verglichen: Der vom Client in den opnsense Endpoint, der vom Server in den Client unter [peer]. Mehr isses ja nich..

Dienste neu gestartet, Interfaces deaktiviert/aktiviert, Wireguard deaktiviert, aktiviert,...
Im List Config Tab steht noch die 192.168.123.0/24 bei allowed IPs, auch wenn ich sie im Endpoint geändert und diesen sogar schon neu angelegt habe. Manchmal vermute ich, dass das in der Appliance verbuggt ist.
Mitglied: 148121
148121 aktualisiert am 18.05.2021
Zitat von @Tezzla:

Das kann ich ausschließen.
Habs wie zwei Posts weiter oben mehrmals hin und her geprüft, auch durch Notepad gejagt und verglichen: Der vom Client in den opnsense Endpoint, der vom Server in den Client unter [peer]. Mehr isses ja nich..
Public und Private Key lässt sich da aber schnell verwechseln wenn man nicht aufpasst ;-) face-wink.
Dienste neu gestartet, Interfaces deaktiviert/aktiviert, Wireguard deaktiviert, aktiviert,...
Im List Config Tab steht noch die 192.168.123.0/24 bei allowed IPs, auch wenn ich sie im Endpoint geändert und diesen sogar schon neu angelegt habe. Manchmal vermute ich, dass das in der Appliance verbuggt ist.
Kannst du ja selbst prüfen indem du dir mal mit den Settings ne OpnSense VM aufsetzt.
Mitglied: aqui
Lösung aqui aktualisiert am 18.05.2021
Und vermutlich machst du bei den Allowed IPs auch noch einen Denkfehler. Siehe Wireguard "Merkzettel" oben. Lesen hilft wirklich... ;-) face-wink
Dein VPN internes IP Netz ist ja die 192.168.123.0 /24
Gesetzt den Fall dein Server hat die .1 und die Clients 1 bis x fangen bei .11 und höher an aufsteigend dann steht in den "Allowed IPs" beim Server:
[Interface]
Address = 192.168.123.1/24
PrivateKey = AB1234P6j2O0PH1838gYnv5p5n27HVmVWJRjZr12345=
ListenPort = 51820

[Peer]
PublicKey = 4321Abc06YX3gA4P0sQzywNX8c1sHSeu+oqsrI84321=
AllowedIPs = 192.168.123.11/32, <lokales_client1_netz>

[Peer]
PublicKey = xYZab12=ABRHJZgfr=QzywNX8c1sHSeu+oqsrI8432JUH5Fbf
AllowedIPs = 192.168.123.12/32, <lokales_client2_netz>


Entsprechend dann beim Client 1:
[Interface]
Address = 192.168.123.11/24
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=

[Peer]
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = <opnSense_addresse>:51820
AllowedIPs = 192.168.123.1/32, <lokales_server_netz>


Da ist in deinem Setup bei den internen IP Adressen und des Allowed Statement etwas nicht richtig !
Deine Interface Deklaration hat immer die FALSCHE Subnetzmaske und ebenso ist bei der Peer Dekalartion einen FALSCHE Subnetmaske ! Das solltest du besser korrigieren !
Mitglied: 148121
Lösung 148121 aktualisiert am 18.05.2021
Jetzt sehr ichs auch auf seinem Bild, der Client hat die falsche Interface Maske, 32 statt richtigerweise ne 24er.
Mitglied: aqui
aqui am 18.05.2021
Kollege @Tezzla sollte doch besser nochmal die Wireguard Doku ganz genau lesen ! ;-) face-wink
https://www.wireguard.com/
Mitglied: Tezzla
Tezzla vor 29 Tagen
Vielleicht habe ich mich von der Bezeichnung „allowed IPs“ an der falschen Stelle zur falschen Angabe verleiten lassen. Ich werds heute nicht mehr anfassen und morgen nochmal drüber schauen.
Mitglied: aqui
aqui vor 29 Tagen
Wir sind gespannt...
Mitglied: Tezzla
Tezzla vor 29 Tagen
Und ich erst :-) face-smile
Mitglied: Tezzla
Tezzla vor 21 Tagen
Habs jetzt über eine andere opnsense Appliance gemacht. Läuft direkt.
Danke für's Augen öffnen mit dem Subnetzgefummel. :-) face-smile
Mitglied: aqui
aqui vor 21 Tagen
Immer gerne ! 😉
Mitglied: Tezzla
Tezzla vor 21 Tagen
Eine letzte Frage noch: bei mir werden die auskommentierten Zeilen in der Config auf Windows Systemen verworfen, sobald die Config abgespeichert wurde. Ist das ein "Feature"?

Also kommentiere ich bspw. in einem Peer :


Ist das # foobar nach dem Speichern einfach weg.
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback58 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 23 StundenTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...