Wireguard an OPNsense

[philipp-schoene]

Hallo,
ich bin neu im Thema OPNsense. Bisher habe ich eine FritzBox 7490 betrieben und habe den nun durch eine OPNsense ersetzt.
Es gibt zwar ein Wireguard-Plugin, aber ich weiß nicht, wie ich dieses einrichten muss. Es soll zunächst ein Laptop und ein Smartphone eingerichtet werden. Danach Fritzboxen meiner Familie. Wie gehe ich am besten vor?

 

[tiermutter]

Moin,

damit ich nicht alles abschreibe, fang doch einfach mal damit an Dich an der Anleitung langzuhangeln und dazu die entsprechenden Fragen zu stellen:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html

Damit richtest Du erstmal einen Tunnel für Dich ein (Laptop und Smartphone?), danach erstellst Du einen neuen Tunnel für die Fritten, damit Du deren Zugriff einschränken kannst. Letztere sollen sicherlich nicht über dein Internet geroutet werden, wie sieht es mit Deinen Geräten aus? Sollen die nur Zugriff aufs LAN haben oder auch über den hemischen Anschluss ins Internet gehen?

 

[philipp-schoene]

Ja danke für die Anleitung. Ich bin mir noch nicht so sicher ob ich Wireguard richtig verstanden habe. Mein LAN ist das Fritz-Standard-Netz 192.168.178.0/24
Ich habe nun ein Interface wg1 in local erstellr. Das hat die TunnelAddress 192.168.2.1/24
Dann habe ich zwei Endpoints erstellt mit der EndpointAddress meines dynDNS erstelltmit den AllowedIPS 192.168.2.20/24 und 192.168.2.21/24

Eine Config habe ich erstellt und in den Wireguard-Client eingelesen. Die Keys habe ich jeweils mit den Sternchen ersetzt

[Interface]
PrivateKey = **x**
Address = 192.168.2.20/32
DNS = DNSIP

[Peer]
PublicKey = **y**
AllowedIPs = 0.0.0.0/0
Endpoint = dynDNS:51820

Der Client sagt auch dass er aktiv ist. sendet wenige kB

bei der OPNsense sie es wie folgt aus

interface: wg1
  public key: **z**
  private key: (hidden)
  listening port: 51820

peer: **w**
  endpoint: WAN-IP:51820
  allowed ips: (none)
  transfer: 0 B received, 106.66 KiB sent
  persistent keepalive: every 25 seconds

peer: **y**
  endpoint: WAN-IP:51821
  allowed ips: 192.168.2.0/24
  transfer: 0 B received, 106.66 KiB sent
  persistent keepalive: every 25 seconds

Handshakes
wg1    **w**    0
wg1    **y**    0

Sehe ich das richtig, dass es keine richtige Verbindung gibt?

 

[tiermutter]

Mach mal bitte Screenshots von den Configs und lasse bei den Keys nur die ersten Zeichen stehen, das ist sonst zu unübersichtlich.
Ich denke Du hast da Dreher bei den Keys drin, daher kommt kein Handshake zustande.
So etwa sollte das aussehen, das mit rotem X wird nicht übergreifend benötigt:




Ansonsten: Alle erforderlichen Portfreigaben eingerichtet? Die IP ist auch ansprechbar bzw der DDNS funktioniert auch?

 

[philipp-schoene]

Auf der WAN-Schnittstelle habe ich den Port 51820 UDP zugelassen.

 

[tiermutter]

Screenshot von der Server config fehlt
In jedem Fall passt die config am Client nicht, da sind zwei mal die selben Keys eingegeben...

Der Port ist Standard, oder?
Die IP in der endpoint Konfig ist eine /32 und keine /24, sollte aber eigentlich keine Auswirkung haben.

 

[philipp-schoene]

Stimmt, durch das herumprobieren, sind die Keys durcheinandergeraten. Das habe ich kontrolliert und nun sind beide Clients verbunden.
Da ich nach der Anleitung oben verfahren bin, gelten die Firewallregeln für das Interface wg1, oder?
Wenn ich nun ein Site-to-Site VPN aufbauen möchte, ist das ähnlich? Wobei ich eine Wireguard und zwei IPSec-Verbindungen habe.

 

[tiermutter]

Jo, bei dir scheint es wg1 zu sein.
WG site 2 site habe ich noch nicht gemacht und IPsec auch nicht.
In jedem Fall einen eigenen WG Tunnel dafür anlegen damit du "die anderen" besser isolieren kannst.

 

[philipp-schoene]

Ich vermute das bei Site2Site nciht die 32 sondern dann die 24-Maske genommen wird. Muss ich denn ein virtuelles zwischennetz aufbauen. Also 192.168.10.0/24 [Real] - 192.168.20.0/24 [Virtuell] - 192.168.30.0/24 [Real] oder kann ich das virtuelle Netz weglassen? Das 30er-Netz existiert bei mir nicht lokal

 

[tiermutter]

Ich glaube site 2 site war einem Roadwarrior sehr ähnlich, müsste aber selbst schauen wie genau das geht. Dass es dort /24 sind klingt logisch, bin mir aber nicht sicher.
Das /32 ist ja kein Netz, sondern ein einzelnes Gerät / IP.

 

[philipp-schoene]

... oder /32 ist ein sehr kleines Netz
Ich probiere es mal. Ist mit der Entfernung nicht ganz so einfach

 

[tiermutter]

Wer hätte es gedacht, das ist auch schon in den docs beschrieben
https://docs.opnsense.org/manual/how-tos/wireguard-s2s.html

 

[philipp-schoene]

Das habe ich schon gesehen, daher rührte auch meine Frage

Muss ich denn ein virtuelles zwischennetz aufbauen. Also 192.168.10.0/24 [Real] - 192.168.20.0/24 [Virtuell] - 192.168.30.0/24 [Real] oder kann ich das virtuelle Netz weglassen? Das 30er-Netz existiert bei mir nicht lokal