Wireguard MultiWAN Setup

bumann

New member
Hi,

hat hier jemand ne Ahnung ob man das irgendwie realisieren kann Wireguard mit mehreren WAN
einzurichten? Meine Erfahrung ist, wenn man meherer WAN hat, kann man Wiregurad nur auf einem nutzen.
 
Ich habe noch nicht energisch daran rumprobiert, aber mit WG geht das nicht, jedenfalls nicht so wie man sich das vorstellt.
Mit OVPN habe ich es so realisiert, dass der Client erst zum Glasfaseranschluss eine Verbindung aufbaut und nach kurzem Timeout (3s) zum LTE Anschluss. Das funktioniert tadellos, aber bei WG kann man dem Client nicht sagen "mach erstmal da und dann dort".
Man könnte allerdings zwei Peers je Gerät einrichten: Einer verbindet sich zu WAN1 und der andere zu WAN2, dann muss man halt manuell das Failover auswählen...
 
Mit dem Ovpn ist ein guter Tip. Das Problem beim Wireguard fängt schon da an das man nur über ein WAN gleichzeit eine Wiregurad verbindung aufbauen kann. Bzw akzeptiert OPNsense nur auf exklusiv einem WAN eine Verbindung. Falls ich also zwei Clients anbinden will, einen über WAN1 und einen über WAN2, dann möchte er das nicht. Entweder beide auf WAN1 oder beide auf WAN2. Es scheint so das kommt von der madigen Implementierung von Wireguard auf OS ebene.
 
Eigentlich sollte WG auf allen Interfaces lauschen... habe es selbst aber nie soweit ausprobiert.
Es scheint so das kommt von der madigen Implementierung von Wireguard auf OS ebene.
Du könntest es mit dem Kernelmod versuchen, hab ich selbst aber noch nicht gemacht und wird halt auch nicht offiziell supported. Ich weiß ad hoc aber auch nicht wie der Fahrplan mit dem kmod ist bzw. woran es hier hapert...
 
Sooo....
Ich hatte diesen Thread als Anlass genommen, das nochmal ordentlich einzurichten und hatte heute nun die Gelegenheit das auch mal "richtig" zu testen.

Im Grunde habe ich auf der Sense in der WG Config nur für die Clients jeweils einen Failover-Endpoint angelegt.
In der Client Konfig habe ich diese dann entsprechend eingerichtet, weitgehend mit der non-Failover Konfig, nur halt Schlüssel, IP und IP des WAN angepasst.

Der WG Server lauscht durchaus auf allen WAN und könnte auch mit beiden gleichzeitig arbeiten, allerdings spielt hier das Routing der Sense nicht mit, denn die Antworten auf die Anfrage die über das LTE Interface reinkommen, sollen über das WAN Interface beantwortet werden, solange das noch aktiv ist. Somit kommt kein Handshake zustande. OVPN ist hier besser implementiert, da wird automatisch über das Interface geantwortet, über das die Anfrage kommt.
Das bedeutet also, dass man nur zu dem Interface connecten kann, welches mit höherer Prio online ist.
Sind WAN (hohe Prio) und LTE (niedrige Prio) online, kann nur das VPN zum WAN aufgebaut werden.
Ist WAN offline und nur LTE online, kann das VPN zum LTE aufgebaut werden, was als Fallback völlig iO ist.

Unterm Strich ist es bei WG mit zusätzlichem Konfigurationsaufwand verbunden und man muss manuell prüfen ob/wann man zu dem Failover Interface verbinden muss. Bei OVPN entfällt das alles.
Ich habe übrigens nie verstanden, wie WG sich damit brüsten kann "einfach einzurichten zu sein"... die Einrichtung ist grauenvoll und unübersichtlich!
 
Hier nochmal die Konfig aus Windows....

Der Tunnel für das WAN Interface:
1669896405434.png

Und der Tunnel für das LTE Interface:
Gelb markiert sind die Änderungen gegenüber dem WAN.
1669896537122.png
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.872
Beiträge
49.053
Mitglieder
4.533
Neuestes Mitglied
Karlmaster
Zurück
Oben