opnSense und wireguard auf unraid

[stulpinger]

Wieder mal ein Hallo aus Kärnten

nachdem mir gestern schon super geholfen wurde, heute eine Frage bzgl. wireguard ...

Habe auf der opnSense openVPN installiert (mit Unterstützung von youtube) , externer Zugriff ohne Probleme, d.h. opnSense, unRAID, Synology RS und das ganze "Zeugs" von extern erreichbar einziger Wermutstropfen, MagentaTV meldet, dass die IP nicht freigegeben wäre ...

Nächster Gedanke, bestehende wireguard Installation auf meinem unRAID-Server zu nutzen, hat/hätte den Vorteil bzgl. QR-Code generierung für meine mobilen Devices, also quasi fixe IP pro Gerät für den externen Zugriff und dann in weiterer Folge diverse Firewall-Regeln etc.

Unter opnSense/NAT Port Forward konfiguriert Richtung unRAID, funktioniert , auch webdav und drive Richtung Synology haut hin

VPN Verbindung per wireguard wird aufgebaut und funktioniert scheinbar, aber kein Zugriff auf meine diversen Server im Lokalen LAN

Gedanke meinerseits, nachdem ich ja verbunden bin mit meinem unRAID-Server, dass ich mich ja schon im lokalen LAN befinde bzw. am unRAID-Server ja per VPN lande:

Firewall-Regel unter LAN erstellt, aber noch immer kein Zugriff ...

Haupt-LAN ist 192.168.0.0/24
Wireguard IPs 10.253.0.0/24

Irgendwie ist wieder der Wald da

LG aus Österreich/Kärnten/Klagenfurt

 

[the other]

Moinsen,
was genau soll denn

MagentaTV meldet, dass die IP nicht freigegeben wäre

bedeuten?

 

[stulpinger]

Hatte mit der UDM Pro schon vorher das Problem, das beim Fernsehen per VPN (openVPN auf der Synology) MagentaTV nicht mitspielte, per wireguard-VPN bzw. L2Tp/IPSec auf der UDM Pro lief das ganze ohne Probleme, aber das ist nicht essentiell
hat sicher was mit Split-Tunnel zu tun bzgl. komplette Datenübertragung per VPN

Hätte nur gerne wireguard als zweites Standbein am laufen ...

 

[blurrrr]

Hab mich nie groß mit IGMP und/oder Magenta-TV beschäftigt... Frage wäre ja schon, von "wo" beziehst Du die Pakete - aus dem Internet, oder von einer lokalen Box? Falls die Pakete direkt aus dem Internet kommen (Telekom-seitig), würde es ggf. schon helfen, entsprechenden Traffic auch durch das VPN zu schicken (so dass Anfragen von der IP Deines Telekom-Anschlusses kommen). Geht es um einen lokalen Zugriff (also irgendwas in Richtung Magenta-Box im LAN), "könnte" es eventuell(!) helfen, die VPN-IP zu maskieren (NAT), damit die Anfrage (vermeintlich) aus dem gleichen Netz kommt, wo auch die Magenta-Box kommt.... Halte ich aber eigentlich für eher für unwahrscheinlich (komme auch nur darauf, da Du etwas von einer "freigegebenen" IP sagtest).

Aufgrund dieser nicht-Freigabe gehe ich eher davon aus, dass Dein Client direkt zur Telekom gerannt ist (nicht via VPN) und diese IP schlichtweg nicht berechtigt ist. Probier einfach mal aus, ob ein "alles"-durch-den-Tunnel-schicken evtl. Abhilfe schafft. Danach bleibt auch noch immer das Thema bzgl. der unterschiedlichen Netze, aber erstmal sollte man ja überhaupt mal Zugriff bekommen (ganz egal, welche Folgefehler da dann noch auf einen warten). Miunter kommt auch noch jener hier ins Spiel: https://docs.netgate.com/pfsense/en/latest/services/igmp-proxy.html, ist dann aber etwas für "später"... erstmal zusehen, dass die Verbindung überhaupt zustande kommt

 

[stulpinger]

Bin einen Schritt weiter gekommen
OpenVPN auf der Synology reaktiviert
In der config-Datei .ovpn meine subdomain + Port eingetragen und "redirect-gateway def1" aktiviert
Zugriff per VPN und Magenta-TV läuft von extern

In Österreich gibt es seit kurzem eine Hybridbox von/für Magenta-TV, d.h. die Box hat einen Kabel und Internet-Anschluß
Diese Box hängt bei mir in einem VLAN und läuft , ohne das ich bzgl. IGMP etc. was tun musste

OpenVPN auf der OpnSense - werde mich Abends damit beschäftigen, man kann da doch einiges konfigurieren
Wireguard auf unRAID und in Verbindung mit OpnSense muss einstweilen hinten anstehen

 

[the other]

Moinsen,
ich würde denken: wenn es auf der Synology mit dem doch sehr abgespecken Konfigmenue geht, dann geht es auf der *sense sicherlich auch...

 

[stulpinger]

Werd's auf jeden Fall probieren - mir wäre es nämlich auch lieber, dass VPN auf der OpnSense läuft und nicht im lokalen Netz
"abgespeckt" = "minimalistisch"

 

[stulpinger]

Finale

OpenVPN läuft jetzt auf der opnSense (inkl. Magentazugriff) - musste nur unter VPN/OpenVPN/Servers ein Häckchen bei "Redirect Gateway" setzen

Wireguard auf unraid läuft auch wieder, war von der Unifi-Firewall verwöhnt bzgl. Regeln, OPNsense verbietet ja erstmal "Alles", dementsprechende Regel unter WAN für die ankommenden WireGuard-IPs erstellt und es läuft