Wireguard (in opnsense) Internetzugang geblockt

Moin,

also hab noch mal versucht tiefer einzusteigen, aber ings. noch keine Besserung.
Hatte mir auch mal die Logs -live view der Firewall angeschaut aber sehe nicht, das irgendwas geblockt wird.

>Zum Verständniss:
Client Mobile komuniziert mit WAN Schnittstelle via IPv6. WAN nach LAN muss auch IPv6 nutzen oder kann intern rein in IPv4 bleiben?
Hatte mir auch mal zwei WG Profile erstellt, mit nur IPv4 & IPv4&IPv6 aber machte keinen Unterschied.

Neue Interface Wireguard zeigt mir in Dashboard, 10.0.0.1 , 2a00:6020:1000:xxxx:aaab::1
Client WG Interface
ID: 10.0.0.2/32 - 2a00:6020:1000:xxxx:aaab::2/128
DNS: 10.0.0.1

Sollte eigentlich passen oder muss ich den DNS port von 10.0.0.1 auf 192.168.0.1 irgendwie noch weiterleiten.
NAT Regel für IPv4 habe ich nur folgende Regel, wegen Adguard auf 5310.
NAT.jpg
Wireguard ist jetzt wie ne eigene virtuelle Schnittstelle mit eingenem IPv4 Adressraum 10.0.0.xxx oder?
 
Server07 schrieb:
WAN nach LAN muss auch IPv6 nutzen oder kann intern rein in IPv4 bleiben?
Zum Vergrößern anklicken....
Das kann v4 bleiben... es ist egal wie der Tunnel aufgebaut wird und was dann darin genutzt wird.
Server07 schrieb:
Wireguard ist jetzt wie ne eigene virtuelle Schnittstelle mit eingenem IPv4 Adressraum 10.0.0.xxx oder?
Zum Vergrößern anklicken....
Ja.

Versuch erstmal immer 8.8.8.8 oder sonstwas mit ping zu erreichen um DNS Probleme auszuschließen.
Dann auch mal bitte Screenshots von allen WG Einstellungen auf der Sense und dem Client, sowie FW Regeln / evtl. Weiterleitungen auf dem WG interface und der WG Gruppe, ggf. auch Floating rules.
 
Frische Opnsense Installation - außer WG & Adguard wurde noch nichts weiter eingerichtet, da erstmal Wireguard laufen muss...

Teil I:

Firewall Floating , Wiregard
- leer

Firewall rest

FW LAN.jpg
FW WG Group.jpg
FW ports.jpg

FW WAN.jpg
 
Das sieht eigentlich alles gut aus, bis auf ein bissl Makulatur...
Bitte nochmal Screenshot von dem WG interface.

Hast Du nach Erstellung des Interface WG oder die Sense nochmal neu gestartet?
 
Sieht auch gut aus. Eigentlich gehört bei "Lock" nen Haken hin, habe ich aber auch nicht und hilft sicherlich auch nicht beim Problem.

Dann statt ping mal nen traceroute nach 8.8.8.8
 
Also WG client ist ein Android Gerät (WLAN aus). Hier der Screen.
Interessant auch, WG lief früher im mobilen & WLAN, jetzt verbindet WG nur, wenn WLAN aus ist..

TR.jpg
 
Gut, dann haben wir jetzt nur noch ein DNS Problem :)
Wenn AGH bei dir DNS macht, dann schau mal in der AGH GUI, ob die WG IP der Sense im "Setup Guide" Menü aufgeführt ist.
 
Im DHCPv4 Server fehlte noch das DNS servers + Gateway die 192.168.0.1, aber brachte kein Fortschritt.
Der AdGuard Home DNS-Server belauscht die folgenden Adressen: 192.168.0.1:5310.
 
Server07 schrieb:
Im DHCPv4 Server fehlte noch das DNS servers + Gateway die 192.168.0.1, aber brachte kein Fortschritt.
Zum Vergrößern anklicken....
Das hat auch nichts mit Wireguard zu tun...
Server07 schrieb:
Der AdGuard Home DNS-Server belauscht die folgenden Adressen: 192.168.0.1:5310.
Zum Vergrößern anklicken....
:oops::oops: Mehr nicht? Da sollte im Idealfall jedes Interface in v4 und v6 auftauchen, darunter auch die WG Adressen.
Ich weiß nicht mehr wie die Einrichtung genau abläuft, aber hast Du gewählt dass AGH auf allen Interfaces lauschen soll?
Das kann man nachträglich glaube ich nicht über die GUI anpassen, aber über SSH (Putty oder WinSCP) sollte das in der /usr/local/AdGuardHome/AdGuardHome.yaml möglich sein. Das sollte so aussehen:
Code: 
dns:
  bind_hosts:
    - 0.0.0.0
 
Also yaml file hab ich geupdated. War vorher nur LAN, denke so besser, aber kommt nicht durch.

AG.jpg

Hängt es evtl. das ich Port 53 nicht für alle weiterleite?

Habe folgendes ergänzt, aber noch ohne Erfolg...
NAT forward.jpg
 
1686223151631.png
da sollte die WG IP hin. Und damit nicht alles unnötig umgeleitet wird was sowieso schon auf dem richtigen Weg ist, gehört eigentlich eine Dest. adress rein. So sieht es bei mir aus:
1686223242782.png
 
Hier kann ich noch nicht folgenden.

Wiregard IPs/Netz sind 10.0.0.x und mein client hat 10.0.0.2.
Source wären dann doch alle IP aus 10.0.0.x (sprich "Wiregard net" + Anfrage an DNS Port 53) oder muss ich also source einfach 10.0.0.1 schreiben?

Ziel wäre doch der DNS Service der AGH mit 192.168.0.1:5310 (sprich "LAN adr" + Port 5310) oder?

NAT update.jpg
 
Zuletzt bearbeitet:
Als Source einfach ANY, also alles.
AGH sollte wie gesagt auch auf dem WG Interface lauschen, dann kann dies auch direkt verwendet werden. Warum sollte die Anfrage aus dem VPN erst an das LAN Interface geleitet werden? Ist theoretisch machbar und sollte auch funktionieren, aber wieso Umwege wenn es auch direkt geht?
 
ok super, klar AHG hört auch an 10.0.0.1:5310. Hatte noch alten Fall im Kopf, das nur 192.168.0.1 der DNS Zugang war aber AHG hört ja mit! So sollte die Konfig sein oder - will jedoch auch nicht.

rules 2.jpg

Kann noch was in der Grund Konfig für LAN WAN falsch sein?
L1.jpgL2.jpg

w1.jpg


Kann unbound DNS oder was anderes noch noch mit reinpfuschen, hab ich mittlerweile auch deaktiviert...
Müsste ich nicht in den Firewill logs sehen, wenn was geblockt wird?
 
Bei deinem NAT nimm den source Port und destination raus, nimm ANY. Außerdem arbeitet DNS auf UDP und TCP, hier also beides rein.

LAN / WAN spielt da eigentlich nicht mit rein...
Ja du könntest mal alle Regeln auf Logging setzen und schauen was passiert. Ein packet capture auf allen Interfaces könnte auch Aufschluss bringen.

Warum lauscht AGH eigentlich nicht auf port 53? Hast du noch was anderes auf 53 laufen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 70 (Mitglieder: 2, Gäste: 68)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.973
Beiträge
58.173
Mitglieder
5.970
Neuestes Mitglied
draccor

Teilen

Zurück
Oben