Wireguard (in opnsense) Internetzugang geblockt

[Server07]

Moin,

also hab noch mal versucht tiefer einzusteigen, aber ings. noch keine Besserung.
Hatte mir auch mal die Logs -live view der Firewall angeschaut aber sehe nicht, das irgendwas geblockt wird.

>Zum Verständniss:
Client Mobile komuniziert mit WAN Schnittstelle via IPv6. WAN nach LAN muss auch IPv6 nutzen oder kann intern rein in IPv4 bleiben?
Hatte mir auch mal zwei WG Profile erstellt, mit nur IPv4 & IPv4&IPv6 aber machte keinen Unterschied.

Neue Interface Wireguard zeigt mir in Dashboard, 10.0.0.1 , 2a00:6020:1000:xxxx:aaab::1
Client WG Interface
ID: 10.0.0.2/32 - 2a00:6020:1000:xxxx:aaab::2/128
DNS: 10.0.0.1

Sollte eigentlich passen oder muss ich den DNS port von 10.0.0.1 auf 192.168.0.1 irgendwie noch weiterleiten.
NAT Regel für IPv4 habe ich nur folgende Regel, wegen Adguard auf 5310.

Wireguard ist jetzt wie ne eigene virtuelle Schnittstelle mit eingenem IPv4 Adressraum 10.0.0.xxx oder?

 

[tiermutter]

WAN nach LAN muss auch IPv6 nutzen oder kann intern rein in IPv4 bleiben?

Das kann v4 bleiben... es ist egal wie der Tunnel aufgebaut wird und was dann darin genutzt wird.

Wireguard ist jetzt wie ne eigene virtuelle Schnittstelle mit eingenem IPv4 Adressraum 10.0.0.xxx oder?

Ja.

Versuch erstmal immer 8.8.8.8 oder sonstwas mit ping zu erreichen um DNS Probleme auszuschließen.
Dann auch mal bitte Screenshots von allen WG Einstellungen auf der Sense und dem Client, sowie FW Regeln / evtl. Weiterleitungen auf dem WG interface und der WG Gruppe, ggf. auch Floating rules.

 

[Server07]

Frische Opnsense Installation - außer WG & Adguard wurde noch nichts weiter eingerichtet, da erstmal Wireguard laufen muss...

Teil I:

Firewall Floating , Wiregard
- leer

Firewall rest

 

[Server07]

WG Screens mit nur IPv4:

 

[tiermutter]

Das sieht eigentlich alles gut aus, bis auf ein bissl Makulatur...
Bitte nochmal Screenshot von dem WG interface.

Hast Du nach Erstellung des Interface WG oder die Sense nochmal neu gestartet?

 

[Server07]

Ja aber mache ich grad nochmal.
Interface Wiregard:

 

[tiermutter]

Sieht auch gut aus. Eigentlich gehört bei "Lock" nen Haken hin, habe ich aber auch nicht und hilft sicherlich auch nicht beim Problem.

Dann statt ping mal nen traceroute nach 8.8.8.8

 

[Server07]

Also WG client ist ein Android Gerät (WLAN aus). Hier der Screen.
Interessant auch, WG lief früher im mobilen & WLAN, jetzt verbindet WG nur, wenn WLAN aus ist..

 

[tiermutter]

Dann sollte ein Ping aber auch durchgehen
Und Ping/ Traceroute an google.de ?

 

[Server07]

(Mobile Daten + WG ist verbunden)

Ping an 8.8.8.8 geht
Ping google.com - Unbekannter Host DNS Fehler

 

[tiermutter]

Gut, dann haben wir jetzt nur noch ein DNS Problem
Wenn AGH bei dir DNS macht, dann schau mal in der AGH GUI, ob die WG IP der Sense im "Setup Guide" Menü aufgeführt ist.

 

[Server07]

Im DHCPv4 Server fehlte noch das DNS servers + Gateway die 192.168.0.1, aber brachte kein Fortschritt.
Der AdGuard Home DNS-Server belauscht die folgenden Adressen: 192.168.0.1:5310.

 

[tiermutter]

Im DHCPv4 Server fehlte noch das DNS servers + Gateway die 192.168.0.1, aber brachte kein Fortschritt.

Das hat auch nichts mit Wireguard zu tun...

Der AdGuard Home DNS-Server belauscht die folgenden Adressen: 192.168.0.1:5310.

Mehr nicht? Da sollte im Idealfall jedes Interface in v4 und v6 auftauchen, darunter auch die WG Adressen.
Ich weiß nicht mehr wie die Einrichtung genau abläuft, aber hast Du gewählt dass AGH auf allen Interfaces lauschen soll?
Das kann man nachträglich glaube ich nicht über die GUI anpassen, aber über SSH (Putty oder WinSCP) sollte das in der /usr/local/AdGuardHome/AdGuardHome.yaml möglich sein. Das sollte so aussehen:

dns:
  bind_hosts:
    - 0.0.0.0

 

[tiermutter]

Bei mir sieht es übrigens so aus:

 

[Server07]

Also yaml file hab ich geupdated. War vorher nur LAN, denke so besser, aber kommt nicht durch.



Hängt es evtl. das ich Port 53 nicht für alle weiterleite?

Habe folgendes ergänzt, aber noch ohne Erfolg...

 

[tiermutter]

da sollte die WG IP hin. Und damit nicht alles unnötig umgeleitet wird was sowieso schon auf dem richtigen Weg ist, gehört eigentlich eine Dest. adress rein. So sieht es bei mir aus:

 

[Server07]

Hier kann ich noch nicht folgenden.

Wiregard IPs/Netz sind 10.0.0.x und mein client hat 10.0.0.2.
Source wären dann doch alle IP aus 10.0.0.x (sprich "Wiregard net" + Anfrage an DNS Port 53) oder muss ich also source einfach 10.0.0.1 schreiben?

Ziel wäre doch der DNS Service der AGH mit 192.168.0.1:5310 (sprich "LAN adr" + Port 5310) oder?

 

[tiermutter]

Als Source einfach ANY, also alles.
AGH sollte wie gesagt auch auf dem WG Interface lauschen, dann kann dies auch direkt verwendet werden. Warum sollte die Anfrage aus dem VPN erst an das LAN Interface geleitet werden? Ist theoretisch machbar und sollte auch funktionieren, aber wieso Umwege wenn es auch direkt geht?

 

[Server07]

ok super, klar AHG hört auch an 10.0.0.1:5310. Hatte noch alten Fall im Kopf, das nur 192.168.0.1 der DNS Zugang war aber AHG hört ja mit! So sollte die Konfig sein oder - will jedoch auch nicht.



Kann noch was in der Grund Konfig für LAN WAN falsch sein?





Kann unbound DNS oder was anderes noch noch mit reinpfuschen, hab ich mittlerweile auch deaktiviert...
Müsste ich nicht in den Firewill logs sehen, wenn was geblockt wird?

 

[tiermutter]

Bei deinem NAT nimm den source Port und destination raus, nimm ANY. Außerdem arbeitet DNS auf UDP und TCP, hier also beides rein.

LAN / WAN spielt da eigentlich nicht mit rein...
Ja du könntest mal alle Regeln auf Logging setzen und schauen was passiert. Ein packet capture auf allen Interfaces könnte auch Aufschluss bringen.

Warum lauscht AGH eigentlich nicht auf port 53? Hast du noch was anderes auf 53 laufen?