4
Wireguard mit OPNsense, kein Handshake möglich
Ich habe schon seit längerem ein Problem mit OPNsense. Als ich in einem Netzwerk mit einer Fritz!Box als Gateway unterwegs war und dort eine OPNsense für ein zusätzliches Netzwerk aufgebaut habe, konnte ich ohne Probleme eine VPN Verbindung mit Wireguard erstellen.
Nun habe ich ein Netzwerk wo ich die OPNsense als Gateway zum Internetprovider (Telekom) nutze und bekomme auf Biegen und Brechen keine Verbindung zu dem VPN Server, obwohl ich alles gleich mache, bis auf dass ich das Port-Forwarding auf der OPNsense und nicht auf der Fritzbox vornehme.
Um mal die Basics abzuhaken:
Auf der OPNsense:
Instance:
Tunnel Address: 10.0.2.0/24
Port: 32010
Peer:
Allowed IPs: 10.0.2.2/32
Endpoint Port: 32010
Die Client Config:
[Interface]
ListenPort: 42010
Address: 10.0.2.2/32
DNS: 192.168.100.1, <Domain der OPNsense>
[Peer]
AllowedIPs: 192.168.100.0/24
Endpoint: DynDNS Addresse der OPNsense (wird richtig aufgelöst):32010
Die Keys sollten auch stimmen, denn das komische ist, wenn ich noch physisch mit der OPNsense Verbunden bin, also das LAN Kabel noch im Rechner habe, aber in Linux eine andere Wlan-Verbindung als die aktuelle Verbindung ausgewählt habe, kappt der Handshake, sobald ich die Verbindung trenne, sende ich die Handshake Initiation vergeblich.
Also habe ich das Problem zumindest für mich auf das Port-Forwarding, bzw. die Firewall Regeln der OPNsense eingeschränkt. Hier habe ich ein Port-Forwarding von Port 32010 zu 192.168.100.1 Port 32010 und die entsprechende Automatische Route beim WAN Interface. Die Default Roules beim wireguard Interface und der Wireguard Group habe auch angelegt. Ich weiß mir echt keinen Rat mehr. Ist hier schon mal wer über dieses oder ein ähnliches Problem gestolpert?
Nun habe ich ein Netzwerk wo ich die OPNsense als Gateway zum Internetprovider (Telekom) nutze und bekomme auf Biegen und Brechen keine Verbindung zu dem VPN Server, obwohl ich alles gleich mache, bis auf dass ich das Port-Forwarding auf der OPNsense und nicht auf der Fritzbox vornehme.
Um mal die Basics abzuhaken:
Auf der OPNsense:
Instance:
Tunnel Address: 10.0.2.0/24
Port: 32010
Peer:
Allowed IPs: 10.0.2.2/32
Endpoint Port: 32010
Die Client Config:
[Interface]
ListenPort: 42010
Address: 10.0.2.2/32
DNS: 192.168.100.1, <Domain der OPNsense>
[Peer]
AllowedIPs: 192.168.100.0/24
Endpoint: DynDNS Addresse der OPNsense (wird richtig aufgelöst):32010
Die Keys sollten auch stimmen, denn das komische ist, wenn ich noch physisch mit der OPNsense Verbunden bin, also das LAN Kabel noch im Rechner habe, aber in Linux eine andere Wlan-Verbindung als die aktuelle Verbindung ausgewählt habe, kappt der Handshake, sobald ich die Verbindung trenne, sende ich die Handshake Initiation vergeblich.
Also habe ich das Problem zumindest für mich auf das Port-Forwarding, bzw. die Firewall Regeln der OPNsense eingeschränkt. Hier habe ich ein Port-Forwarding von Port 32010 zu 192.168.100.1 Port 32010 und die entsprechende Automatische Route beim WAN Interface. Die Default Roules beim wireguard Interface und der Wireguard Group habe auch angelegt. Ich weiß mir echt keinen Rat mehr. Ist hier schon mal wer über dieses oder ein ähnliches Problem gestolpert?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32192236841
Url: https://administrator.de/contentid/32192236841
Printed on: April 28, 2024 at 05:04 o'clock
4 Comments
Latest comment
Du schreibst "Port Forwarding" zum Server. 🤔
Gibt es einen triftigen Grund warum du den Wireguard VPN Server der OPNsense nicht nutzt??
Kein verantwortungsvoller Netzwerker leitet ungeschützten Internet Traffic in seine lokalen Netze, schon gar nicht durch eine Firewall. VPNs gehören bekanntermaßen IMMER in die Peripherie, also auf deine OPNsense selber.
Auch im Hinblick darauf das die OPNsense ja selber direkt aktiv WG supportet ist so ein Design eigentlich überflüssig aber nundenn. Warum einfach und sicher machen wenn es kompliziert und unsicher auch geht...
Oder du hast dich oben missverständlich ausgedrückt betreffend deines Designs.
Zu deiner Thematik musst du 2 Dinge einrichten.
Außerdem gibt es in deinem Setup mehrere grobe Fehler:
Alles weitere beschreibt dir das hiesige Wireguard Tutorial im Detail inklusive einer lauffähigen OPNsense WG Konfig!
Einmal die Suchfunktion benutzt hätte den Thread und dein Stolpern überflüssig gemacht! 😉
Nebenbei:
Wenn du einen IKEv2 VPN Server auf der OPNsense statt WG einrichtest, erspart dir das die überflüssige Frickelei mit Extra VPN Clientsoftware und du kannst bequem überall die Onboard VPN Clients nutzen.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gibt es einen triftigen Grund warum du den Wireguard VPN Server der OPNsense nicht nutzt??
Kein verantwortungsvoller Netzwerker leitet ungeschützten Internet Traffic in seine lokalen Netze, schon gar nicht durch eine Firewall. VPNs gehören bekanntermaßen IMMER in die Peripherie, also auf deine OPNsense selber.
Auch im Hinblick darauf das die OPNsense ja selber direkt aktiv WG supportet ist so ein Design eigentlich überflüssig aber nundenn. Warum einfach und sicher machen wenn es kompliziert und unsicher auch geht...
Oder du hast dich oben missverständlich ausgedrückt betreffend deines Designs.
Zu deiner Thematik musst du 2 Dinge einrichten.
- Einmal eine inbound Regel die deinen verwendeten Wireguard UDP Port auf das WAN Interface erlaubt
- Und einmal eine Port Forwarding Regel die diesen Traffic dann auf das lokale Netz und die Ziel IP (lokaler WG Server) forwardet. (ENTFÄLLT natürlich solltest du doch den WG auf der OPNsense nutzen!)
Außerdem gibt es in deinem Setup mehrere grobe Fehler:
- Für die WG Tunnelports sollte man immer Ports aus dem Ephemeral Bereich 49152 bis 65535 vergeben
- Die Tunnel Adresse des Servers ist falsch. Dort ist fälschlicherweise eine Netzwerk Adresse angegeben statt einer Host IP Adresse
- Im Client definiert man niemals einen Listenport. Sowas ist ausschliesslich nur für Server relevant
- Die interne IP Adresse des Clients hat eine falsche Subnetzmaske
- In der Peer Definition des Clients fehlt die interne WG Server IP
Alles weitere beschreibt dir das hiesige Wireguard Tutorial im Detail inklusive einer lauffähigen OPNsense WG Konfig!
Einmal die Suchfunktion benutzt hätte den Thread und dein Stolpern überflüssig gemacht! 😉
Nebenbei:
Wenn du einen IKEv2 VPN Server auf der OPNsense statt WG einrichtest, erspart dir das die überflüssige Frickelei mit Extra VPN Clientsoftware und du kannst bequem überall die Onboard VPN Clients nutzen.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich verwende dazu ja den eingebauten Wireguard der OPNsense.
OK, das war oben dann sehr missverständlich beschrieben weil du irgendwas von "Port Forwarding auf der OPNsense" halluziniert hast, was natürlich dann ziemlicher Blödsinn ist, denn das ist nicht erforderlich nutzt man den onboard OPNsense WG Server! 🧐Kann man also nur hoffen das du nicht wirklich irgendwelches (sinnfreies) Port Forwarding in der FW definiert hast?!
Die Inbound Roule wird ja dann automatisch von OPNsense angelegt
Nein, die OPNsense macht das nicht automatisch bei WG sondern nur bei IPsec!Abgesehen davon ist die Regel auch komplett falsch, denn oben definierst du UDP 32010 als Server Port, erstellst die Regel dann aber fälschlicherweise mit UDP 42010! So kann eingehender Traffic vom Client niemals die Firewall passieren!
wie es hier auch im Abschnitt Port Forwarding erklärt wird.
Es gibt keinerlei Port Forwarding was im WG Setup zu konfigurieren ist auf der OPNsense! Wozu auch?? Es muss ja keinerlei Traffic in interne Netze ergo auch kein Port Forwarding!Guckst du auch HIER.
Ich habe hier die Ports durchgetauscht, einfach um das auch noch auszuprobieren
Klingt eher nach hilfloser Probierei als strategisches, zielgerichtetes Vorgehen..?! Fazit:
Lies dir nochmal in aller Ruhe das OPNsense Wireguard Setup Praxis Tutorial durch und vergleiche das genau mit deinem Setup, dann siehst du auch sofort deine groben Fehler die dir oben ja auch schon aufgezählt wurden.
Ansonsten helfen, wie immer, auch Screenshots deines WG Setups was uns das wilde Rumraten erspart und eine zielführende Hilfe erleichtert.
Okay, habs jetzt raus was das Problem war, es war tatsächlich der Port. Wenn ich einen aus dem Ephemeral Bereich 49152 bis 65535 nehme geht es ohne Probleme, danke.
Wie bereits gesagt....
All diese Frickelei ersparst du dir wenn du einen IKEv2 VPN Server aufsetzt und immer die überall vorhandenen Onboard Clients benutzt. 😉
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn es das denn nun war nicht vergessen deinen Thread hier dann auch als erledigt zu markieren!
How can I mark a post as solved?
All diese Frickelei ersparst du dir wenn du einen IKEv2 VPN Server aufsetzt und immer die überall vorhandenen Onboard Clients benutzt. 😉
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn es das denn nun war nicht vergessen deinen Thread hier dann auch als erledigt zu markieren!
How can I mark a post as solved?
