OpenSense + Wireguard + Windows-Netz

[engelbrecht]

Guten Morgen,

bitte entschuldigt das mein erster Post gleich als Problem daherkommt, bin im Hauptberuf kein ITler und ein wenig mit meinem Latein am Ende. :-(

Ich habe seit einigen Tagen eine OpenSense Firewall 24.7.1 im Einsatz als Ersatz für eine alte Sophos SG105. Auf der Sphos hatte ich auch eine VPN-Verbindung für den Zugriff in das interne Netz aktiv.

Die OpenSense hängt an einer Fritte (ExposedHost)

Die Einrichtung der OS hat soweit gut geklappt, lediglich Wireguard macht Ärger ...

Der Client (momentan unter Linux) verbindet sich wohl, jedoch erhalte ich keinen Zugriff in das interne Netz (192.168.99.xx)

Die Config des Clients sieht wie folgt aus:

[Interface]
PrivateKey = aPDzjjG0bYVijErdFADSIJyXb9wMi3HgJb5iAfvDolM=
Address = 10.10.10.2/32
DNS = 10.10.10.1,8.8.8.8,1.1.1.1
MTU = 1420

[Peer]
PublicKey = eGntn8owjST5gS6W/HE7DLPl/GLcCiSKZMpyGbwStGY=
Endpoint = meineendpunktadresse.nett:51820
AllowedIPs = 0.0.0.0/0,::/0

Ich hänge mal Screenshots meiner Config an, vielleicht sieht einer hier den Fehler oder kann mir einen Tipp geben, ich würde mich sehr freuen.

Vielen lieben Dank vorab,
Frank

 

[blurrrr]

Moin,

Der Client (momentan unter Linux) verbindet sich wohl, jedoch erhalte ich keinen Zugriff in das interne Netz (192.168.99.xx)

schau Dir am besten mal das (Live-)Log der Firewall, wenn Du einen entsprechenden Zugriffsversuch unternimmst. Vielleicht findet sich da ja schon des Rätsels Lösung

 

[engelbrecht]

Geht leider so nicht da ich sobald ich die VPN hier auf dem Rechner starte aus unerfindlichen Gründen nicht mehr surfen kann ...

Siehts du keinen offensichtlichen Fehler in der Konfig?

Edit:

Hab ein paar Logeinträge von heute morgen gefunden:

2024-08-14T08:25:16    Notice    wireguard    wireguard instance WSLVPN_SRV_1 (wg0) started   
2024-08-14T08:25:16    Notice    wireguard    /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: keeping inet default route to 192.168.0.254   
2024-08-14T08:25:16    Notice    wireguard    /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: configuring inet default gateway on wan   
2024-08-14T08:25:16    Notice    wireguard    /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: entering configure using 'opt2'   
2024-08-14T08:25:16    Notice    wireguard    wireguard instance WSLVPN_SRV_1 (wg0) stopped

 

[the other]

Moinsen,
versuch doch mal dies: bei der Server Konfiguration hast du als Adressbereich mit einem /32er Netzwerk gearbeitet. Hier mal eine /24 eintragen und erneut versuchen...

 

[blurrrr]

Nur mal zum Verständnis: Du sitzt mit Deinem Client in einem Netzwerk hinter der OPNsense und wählst Dich jetzt von innen nach aussen ein? Spielt eigentlich auch keine Rolle, wenn die VPN-Verbindung nicht aufgebaut ist, solltest Du ja dennoch an die OPNsense kommen, dann schau dort einfach ins normale Log und Filter ggf. auf IPs aus dem Wireguard-Client-Netz, da wird sich sicherlich schon etwas finden

aus unerfindlichen Gründen

Naja, so "unerfindlich" sind die Gründe meistens nicht, das hat schon alles seine guten Gründe. Ich bin zwar so garnicht im Wireguard-Thema, aber die Firewall-Logs sagen einem i.d.R. schon wo der Hase lang läuft (insbesondere, wenn der Tunnel auch entsprechend aufgebaut wird).

Was die Zweitbaustelle "surfen" angeht, so muss man dabei noch bedenken, dass ggf. noch diverse Dinge fehlen, z.B. entsprechender DNS für die VPN-Clients, entsprechende Firewall-Regeln und nicht zu vergessen die NAT-Regel für das Wireguard-Netz, so dass eine entsprechende Maskierung der WG-VPN-Clients mit der OPNsense WAN-IP stattfindet, sobald die VPN-Client-Pakete die OPNsense in Richtung öffentliches Internet verlassen.

EDIT: Wollte eigentlich grade auch nochmal auf einer Test-OPNsense nachschauen, nur ist mir beim klicken durch das WG-Interface ständig das Webinterface abgeschmiert (Reload der Dienste hat nix gebracht, Neustart der Firewall hat das Problem dann behoben, kann es aber irgendwie auch nicht sein)... Hier ist somit erstmal eine Update-Orgie angesagt...

 

[engelbrecht]

Das war etwas missverständlich, sorry. Ich sitze derzeit nicht direkt im Netzwerk hinter der OpenSense sondern in einem entfernten Büro und komme daher nur per AnyDesk (ich weis, böse, fliegt auch raus wenn alles läuft) auf die FW. Das fällt mir dann leider aus sobald ich die VPN starte.

 

[tiermutter]

Also erstmal solltest Du die Schlüssel nachher alle abändern, da sie nun bekannt sind

bei der Server Konfiguration hast du als Adressbereich mit einem /32er Netzwerk gearbeitet.

Server = Instance, da ist korrekt ein /24 hinterlegt, beim Peer gehört das /32 rein. Passt so.

Ist denn überhaupt sichergestellt, dass Du per IPv4 zugreifen kannst? Weil die Regel die WG Verbindungen erlaubt ja nur auf v4 basiert...
Ferner kommt dazu:
1. Damit Internetzugriff weiterhin funktioniert, muss auch Outbound NAT erstellt werden.
2. Damit auch Zugriff auf das entfernte LAN möglich ist, wird eine entsprechende FW Regel auf dem WG Interface benötigt.

 

[tiermutter]

Ah ok, die Regel auf WG ist schon da und NAT wurde schon erwähnt (Sorry, war einige Zeit abgelenkt)

 

[tiermutter]

Dann wäre noch zu prüfen ob zB ein Ping auf die Sense funktioniert und was ein tracert ergibt...

 

[the other]

Moinsen,
ja, in den screenshots sehe ich auch eine /24 angegeben.
Aber hier

Address = 10.10.10.2/32

sehe ich was anderes in der client config...

 

[tiermutter]

Das passt auch... ist ja die IP des Clients, also /32.
Warum zur Hölle man das bei WG zwei Mal angeben muss und warum das dann teils auch noch so dämlich genannt ist versteht die Welt bis heute nicht

 

[tiermutter]

Achja: Beim Peer auf Seite der Sense auch mal den Port mit angeben. Afaik nur nötig wenn von Default abgewichen wird, aber ich kenne die 24.7 noch nicht...

 

[blurrrr]

Ich sitze derzeit nicht direkt im Netzwerk hinter der OpenSense sondern in einem entfernten Büro und komme daher nur per AnyDesk (ich weis, böse, fliegt auch raus wenn alles läuft) auf die FW.

Nur mal so als Vorschlag zum "testen"... Beschränk das WG-VPN doch ggf. erstmal nur auf das Remote-Netz und Management-Zugriff gibste dann noch via WAN "nur" für Deine momentane öffentliche IP am Standort frei. Somit bist Du da unabhängig von einer funktionierenden VPN-Verbindung, musst nicht über die Systeme von Drittparteien und kannst in Ruhe den Wireguard-Kram testen.

 

[the other]

Moinsen,

Mein Fehler...war wohl etwas spät gestern...

 

[engelbrecht]

Hab es hinbekommen, läuft Fragt mich nicht aber wie ... ? Muss mich erst mal sammeln

 

[the other]

Moinsen,

Hab es hinbekommen, läuft

Sehr gut!

Muss mich erst mal sammeln

Kenn ich, siehe mein post #14

Fragt mich nicht aber wie ... ?

Doch.
Wie?
Spass beiseite, wäre schön, wenn du das noch aufklären könntest...
Hauptsache es läuft wie gewünscht.

 

[engelbrecht]

Also, ich habe bei dem Peer (inzwischen entfernt) den Port nachgetragen und zwei Ausnahmeregeln für IPv6 hinzugefügt. Die gabs bisher nur für IPv4

 

[engelbrecht]

1. Damit Internetzugriff weiterhin funktioniert, muss auch Outbound NAT erstellt werden.

Was genau meint das? Und wie müsste ich es dann einrichten? Bin da echt noch total unbeleckt ...

 

[tiermutter]

Poste mal ein Screenshot von Firewall/Outbound NAT.
Unter Umständen wird das automatisch angelegt, ich weiß aber nicht mehr in welchem Fall das so war...

 

[the other]

Moinsen,
unter PFsense muss zuerst ein Interface zugeteilt werden, dann erfolgt der Eintrag unter outbound NAT automatisch.
Laut Anleitung zur OPNsense ist es da ebenso:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
(Step 4 und folgende)
Zumindest hab ich es so verstanden...