Wireguard (in opnsense) Internetzugang geblockt

[Server07]

Hallo zusammen,

mein Wireguard läuft, komme ins eigene Netz aber noch nicht ins Internet mit dem Client. Das ist unterwegs jedoch sehr praktisch, um sicher sich im Internet sich zu bewegen und bei den Durchsatzraten von Wireguard mit Glasfaser kein Problem mehr.
Muss ich bei OpnSense noch eine Firewall regel öffnen? Von außen muss ich via IPv6 zur Opensense.
Musste früher in Ubuntu immer noch in den configs zu itables was hinzufügen...aber Hintergrund war mir nie klar.

Opnsense:

Lokal - Tunnel: 10.0.0.1/24 - 2a00:6020:2000:aaaa:aaab::1/80​

Endpunkt -IP : 10.0.0.2/32 - 2a00:6020:2000:aaaa:aaab::2/128​

Client:

Interface​

ID: 10.0.0.2/32 - 2a00:6020:2000:aaaa:aaab::2/128​

DNS: 192.168.0.1/32​

​

Teilnehmer:​

Erlaubte IP: 0.0.0.0/0, ::/0​

​

DNS ist die Opnsense IP(192.168.0.1).

Firewall hinzugefügt:

WAN:

• IPv4&6 UDP in port 51820 open

Wireguard group:

• IPv4&6 in + out - allow all

 

[tiermutter]

Moin,

2a00:6020:2000:aaaa:aaab::1/80

Das ist sicherlich halbwegs praktikabel, aber da Du bei der DG keine statische IPv6 hast könnte sich die IP irgendwann mal ändern und dann passt das nicht mehr. Ich verwende hier daher ULA die unabhängig von der globalen IP funktionieren.

DNS: 192.168.0.1/32

Verwende hier die WG IP der Sense.

Erlaubte IP: 0.0.0.0/0, ::/0

Manche Clients mögen 0.0.0.0/0 nicht, Windows macht da zB gerne Ärger. Ich verwende daher 0.0.0.0/1, 128.0.0.0/1, ::/1

IPv4&6 UDP in port 51820 open

v4 kannst Du zu machen, aber das ist nur Makulatur.

Weitere Regeln bedarf es nicht, vermutlich hast Du nur ein DNS Problem.
Zur weiteren Diagnose musst Du mal schauen ob Du öffentliche v4 anpingen kannst und natürlich auch ob v6 Adressen pingbar sind. Im Zweifel erstmal nur mit v4 aufsetzen um v6 als Fehlerquelle auszuschließen.

 

[tiermutter]

::/0

ist übrigens falsch, das ist ::/1
Huch, gar nicht, sorry... ist dasselbe wie mit dem 0.0.0.0/0, das mögen manche clients nicht. Irgendwie habe ich da wohl nen Fehler bei mir drin

 

[Server07]

Was ist gemeint mit ULA?
Ja meine IPv6 ändert sich, grad nervig weil ich weder Dynv6 , noch spDNS irgendwie nicht laufen will (ddclient oder opnsense version)...

Bzgl. DNS, ja das ist meine IP der opnsense, wo auch Wireguard läuft & adguard als DNS im Netzwerk ( ::/1 werde ich mal testen...).
Sollte eigentlich passen, oder muss man dort auch ipv6 angeben?

 

[tiermutter]

Einfach mal nach ULA googlen... Ist das äquivalent zu internen v4 Adressen.
::/0 ist eigentlich ok, hier wäre der Workaround für OS die nicht gerne zulassen dass die default Route überschrieben wird ::/1, 8000::/1.

Wie gesagt, lass v6 im Tunnel erstmal außen vor und bringe v4 zum laufen, dann machen wir v6.

 

[Server07]

So ich das verstanden habe -bekomme ich bei DG keine eigene IPv4, wie früher mit DSL.
Daher musste ich auf IPv6 ausweichen...

 

[tiermutter]

Ja... Der Tunnelaufbau läuft weiter über v6, der bleibt unverändert.
Aber IM Tunnel kümmern wir uns erstmal nur um v4, alles andere an v6 fliegt erstmal raus.

 

[the other]

Moinsen,
Ja, in der Regel gibt es keine echte öffentliche IPv4 bei DG als Provider...
Interessantes zu ULA und IPv6 findest du hier im Forum genug:
Unter Foren > Theorie > Netzwerk zB
https://forum.heimnetz.de/threads/ipv6-im-lokalen-netzwerk-lan.386/

Oder auch ne kleine Auswahl...
https://forum.heimnetz.de/threads/sammlung-beitraege-zum-thema-ipv6-und-heimnetz.2071/

 

[Server07]

Danke ertmal für die Links, werde ich mir mal im Detail anschauen. Basic IPv6 Wissen und Aufbau kann man immer vertiefen!

- Bzgl. LUA hatte ich natürlich schon mal gegoogled, aber außer LuaSockets nciht viel gefunden, bzgl. Netzwerk, war das gemeint?
- Mit nur persönlicher IPv6 bei DG, muss ich doch im DynDNS via IPv6 gehen oder? IPv4 hilft ja nur für die Clients oder?
- Ist opnsense ddclient stabil und verlässlich, nach ersten Sync will er 24h später geht das jetzt auch nicht mehr. (spDNS geht, dynv6 nicht)

Ohne Wireguard ist es echt nervig, das muss stabil laufen....

 

[tiermutter]

Netzwerk, war das gemeint?

Nein... ULA!

Mit nur persönlicher IPv6 bei DG, muss ich doch im DynDNS via IPv6 gehen oder? IPv4 hilft ja nur für die Clients oder?

Das verstehe ich nicht, kannst du das nochmal erläutern?

Ist opnsense ddclient stabil und verlässlich

Ich nutze ddclient nur in einer Linux VM, auf der Sense nutze ich produktiv das legacy plugin.

 

[Server07]

Das verstehe ich nicht, kannst du das nochmal erläutern?

In Gegensatz zum alten Telekom DSL Vertrag, bekommt man bei DG (außer Businesskunden) keine eigene IPv4 mehr, die man für bspw. VPN früher nutzen konnte..

Folgende Erklärung fand ich damals ganz gut:

IPv4 nativ (d.h. nicht getunnelt) aber mit CGNAT, eine Adresse aus 100.64.0.0-100.127.255.255 (100.64.0.0/10).

CGNAT heißt Carrier Grade NAT und bedeutet, dass die IPv4 Adresse im Netz des Providers auf eine "öffentliche" IPv4 Adresse umgesetzt wird, so wie es dein Router mit den Adressen im LAN macht. Ohne Portweiterleitungen, die man bei CGNAT i.d.R. nicht erstellen kann, ist die IPv4 Adresse nicht für Verbindungen von außen erreichbar. Verbindungen müssen "von innen nach außen" aufgebaut werden, also von einem Gerät an deinem Anschluss ins Internet.

Das Fritzbox VPN unterstützt nur IPv4 und ist damit nur von innen nach außen möglich. Wireguard funktioniert mit IPv6 auch von außen nach innen, wenn beide Geräte IPv6-fähig sind und der Port in der Firewall entsprechend freigeschaltet wird.

Also von außen brauche ich die IPv6, nur um auf die OpnSense zuzugreifen.
Im Netzwerk klar reicht mir IPv4 völlig. Mit folgendem Setting komme ich ins lokale LAN, aber das Internet selber ist nicht mehr erreichbar...

Client:

Interface​

ID: 10.0.0.2/32​

DNS: 192.168.0.1/32​

Teilnehmer:​

Erlaubte IP: 0.0.0.0/0, ::/0​

 

[tiermutter]

DG (außer Businesskunden) keine eigene IPv4 mehr,

Verstehe, du bekommst keine öffentliche v4 mehr. Ja das ist klar, aber kein Problem.

Also von außen brauche ich die IPv6, nur um auf die OpnSense zuzugreifen.

Genau, d7 baust den Tunnel daher über v6 auf, da die Sense als VPN Server nur so erreichbar ist.

 

[tiermutter]

DNS: 192.168.0.1/32

Hier muss die Tunnel IP der Sense hin. Also vermutlich 10.0.0.1 oder wer macht DNS? Der DNS muss auch auf diesem Interface lauschen.

 

[tiermutter]

Achja, ich kenne es nur so, dass der DNS ohne Netzmaske angegeben wird.

 

[tiermutter]

Wenn angepasst erstmal schauen ob dann öffentliche IPs wie 8.8.8.8 angepingt werden können.

 

[Server07]

Hier muss die Tunnel IP der Sense hin. Also vermutlich 10.0.0.1 oder wer macht DNS? Der DNS muss auch auf diesem Interface lauschen.

Also mein DNS wird von OpnSense verwaltet, die hat die 192.168.0.1 im LAN. Lediglich Port 53 wird auf 5310 umgeleitet, wo Adguard läuft, aber das sollte ja hier weniger stören...
Dachte 10.0.0.x ist das IPv4 Netz, was innerhalb von WIregard läuft. Alle Geräte von dort greifen dann auf den normalen DNS zu, wie so auch alle anderen aus dem LAN 192.168.0.xxx ...

Achja, ich kenne es nur so, dass der DNS ohne Netzmaske angegeben wird.

DNS: 192.168.0.1 korrekt, war damals falsch oben & kopiert, aber ist mittlerweile ohne Präfix /32.
DNS: 10.0.0.1 funktioniert scheibar auch fürs LAN, aber kein Internet

 

[Server07]

ping 8.8.8.8 geht ins leere
ping 10.0.0.1 klappt

 

[tiermutter]

Ok, dann ist es kein DNS Problem sondern vermutlich NAT Problem.
Hast du ein Interface für WG erstellt?
Nein = machen
Ja = Screenshot von outbound NAT posten

 

[Server07]

So habe ein INterface wiregard erstellt, ohne weitere Konfiguration zu machen.

Der der Screenshot

 

[tiermutter]

Sieht gut aus... Und verspürst du Besserung?