WireGuard via FB 7590 an OPNSense => Regel?

4445Z

New member
Hallo zusammen,
ich bin neu hier und benötige bitte eure Hilfe.

Ffg. Szenario habe ich hier:
- FritzBox 7590 (192.168.1.1) baut via WireGuard ein VPN-Tunnel auf
-- Dieser VPN-Tunnel steht auch und kann die Geräte im 192.168.1.x-er-Bereich von außerhalb (Smartphone) erreichen
- Hinter der 7590 befindet sich die OPNSense mit aktuellster Firmware
- Mein LAN ist nun an der OPNSense im LAN-IP-Bereich 192.168.0.x angeschlossen

Das Problem ist nun:
Ich erreiche leider - bei bestehender VPN-Verbindung (via Android) kein Endgerät im 0er-Adressbereich.
Könnte mir bitte jemand sagen, welche Regel ich dafür einrichten muss? Ich kenne die OPNSense leider noch nicht
besonders gut und möchte natürlich keine unnötigen Löcher aufreissen ...

Die VPN-Verbindung ist - wie gesagt - eine WireGuard-Verbindung mit der Fritte 7590.
Das ist nur durch Beta-Firmware (momentan also "FritzLabor") möglich.

Herzlichen Dank vorab!

VG
Thorsten
 
Moinsen und willkommen im Forum,
du hast also deine Fritzbox als Router. Dieser baut dein Transfer-LAN auf mit 192.168.1.0/24er Bereich. Darin ist dann der WAN Port der openSense untergebracht. Ein LAN Port der openSense bedient dann dein eigentliches LAN mit 192.168.0.0/24...

Also LAN der Fritzbox mit 192.168.1.0/24 und LAN der opensense 192.168.0.0/24?
Du erreichst also auch den WAN Port deiner opensense (da dieser ja im 192.168.1.0/24 Bereich.
Wenn du nun an Geräte HINTER der opensense ran willst, dann benötigst du eine Allow Regel am WAN Interface der opensense...
Denn im default blockt die opensense incoming ja erstmal alles.

edit: ich selber nutze wireguard nicht. Daher keine Erfahrung damit...
Überlegungen:
> auf der opensense ist wireguard schon "erprobter" als die Laborversion der fritzbox...den wireguard-Server einfach auf die opensense packen als Option?
> mit welcher IP landest du denn nach erfolgter wireguard Einwahl im LAN der fritzbox?
 
Hallo "the other", herzlichen Dank für die schnelle Antwort.
Genau richtig verstanden. Wäre es zu dreist von mir zu fragen, wie ich diese Allow-Regel im WAN anlege?
Brauche ich beide Richtungen oder reicht die "->" (Incoming)?
Sollte ich den Allow auf einen bestimmten Port für VPN machen oder auf eine bestimmte IP? Wenn ja, ist es die, die im WireGuard-Konfigscript unter "Interface" "Adressen" steht?
Und noch eine Frage: Darf bei "Erlaubte IPs" in der WireGuard-App eine Adressrange stehen, die meinem 0er-Bereich entspricht oder gerade eben nicht?
- Danke vorab!
 
Wenn der Client die Verbindung zur Fritzbox aufbaut und diese dem Client nur das eigene lokale Netz mitteilt, wird aus der ganzen Numemr allerdings nicht. Besser wäre es, das VPN direkt auf der Firewall terminieren zu lassen, da man von dort aus (VPN-Netz) auch direkt Regeln für sämtliche lokale Netze erstellen kann.

Je nachdem, ob die Fritzbox die Route in die entsprechenden - hinter der Firewall liegenden - Netze kennt UND diese auch an den VPN-Client übergibt, würde auch eine Firewall-Regel reichen, wobei sich mir nicht der Sinn erschliesst, dass etwas "vor" der Firewall (WAN-seitig) auch "hinter" die Firewall darf.

Kurzum: Da man - soweit ich weiss - bei der Fritzbox auch nur "ein" (lokales) Netz angeben kann, wird man wohl händisch eine VPN-Config für den Client basteln und in der Fritzbox importieren müssen. Alternativ geht "sämtlicher" Traffic über die Fritzbox, dann mag das nochmal anders aussehen.
 
Moinsen,
naja, so ganz generell:
wenn die Einwahl mit wireguard auf die fritzbox klappt, dann bist du ja bereits in deren LAN. Hier hat dein zugreifender Client dann ja eine IP, oder?

Wenn du unbedingt wireguard auf der fritzbox laufen lassen willst, dann muss derjenige Client, der das soll, auch durch die Firewall auf dem WAN Interface gelangen.
Wenn du im Transfernetz zwischen Fritzbox und opensense gar keinen Zugriff brauchst (weil da ggf. gar kein anderes Gerät hängt), dann wäre eine Idee, den wireguard Server auf die openSense zu verlagern...ist da schon ausgereifter als die Laborversion (und bietet vermutlich wesentlich bessere Konfigurationsmöglichkeiten!)...

Generell zu den Regeln:
Source wäre hier entweder WAN net (dann gibst du aber alles was aus dem Bereich zwischen Fritzbox und opensense frei!!), daher besser die IP des zugreifenden Clienten hier als Source angeben.
Protokoll wäre vermutlich IPv4, Ports am Anfang alle (kannst du später begrenzen auf die benötigten)
Action eben allow...

Aber: wie schon mehrfach hier geschrieben (auch von @blurrrr): besser direkt auf die opensense damit! Damit wird ales wesentlich einfacher und vermutlich auch stabiler...
:)
 
Moinsen,
ich maße mir hier mal einen ernst aber gut gemeinten Vorschlag an:

bevor du mit VPN (egal welches) experimentierst wäre es IMHO sinniger, sich erstmal in Ruhe (also ohne schon irgendwelche Löcher von außen in deine Firewall zu reißen) mit der Materie Firewall und Regeln auseinanderzusetzen. Das ist schon ziemlich komplex, gerade für Neulinge.

Wenn du dann weißt, was du da tust (und warum), dann kannst du dein Heimnetz allmählich nach außen hin öffnen...

Ist nur ein Tipp, natürlich absolut deine Entscheidung...
;)
 
Okay ... danke an euch beiden! Leider war ich damit nicht erfolgreich. Sprich: Ich habe die WireGuard-VPN-Verbindung bereits auf der FireWall eingerichtet gehabt (anhand eines Youtube-Videos); dies hat allerdings gar nicht geklappt. Bei der Fritte ist es halt recht charmant, dass das mit wenig Aufwand so weit geklappt hat.
Aber wenn ihr meint, es wäre der bessere Weg: Habt Ihr eine Empfehlung für ein How-To?
 
Moinsen,
ich nutze weder die opensense noch das wireguard VPN Protokoll. Hier laufen pfsense und openVPN (auf der pfsense).

Muss es wireguard sein? Muss das mit VPN sein, bevor ein Verständnis der eigentlichen opensense Funktionalität besteht?
:)

ps/edit: es gibt hier im Forum aber durchaus user, die sowohl praktische Erfahrungen mit opensense als auch wireguard auf opensense haben (und bei denen das läuft). Mit ein wenig Geduld, kommt da bestimmt ein konkreterer Tipp...
;)
 
OpenVPN und IPSec habe ich schon durch .. ohne Erfolg.
Hatte vorher eine IPFire ... da war OpenVPN kein Thema ... sprich: hatte ich problemlos am Laufen
 
Moinsen,
das tut mir leid zu hören, ich hoffe es geht allen gut nach so einem Schrecken!

Mach einfaches openVPN auf der opensense für den schnellen Einstieg...oder IPsec.
Zur allergrößten Not in der Eile: pack deine Kameras in das Netzwerk der Fritzbox und lass da auf der Fritzbox ein (oldschool) VPN laufen. Geht mit der fritzbox easy und für "ganz schnell" ausreichend...
 
Moinsen,
@blurrrr : er / sie nutzen opensense... :)

Wenn bisher kein VPN ging:
was für einen Internetanschluss hast du? IPv4, dual stack (beides IPv4 und v6) oder nur DSlite??
 
Danke! Ja, zum Glück "nur" Materialschaden...aber der Schrecken ist natürlich das Problem.
Zurück zur Technik:
Dann gehe ich das Thema noch einmal mit OpenVPN auf der OPNsense an. Danke für den Hinweis.
Gibt es empfehlenswerte HowTo´s?
 
@blurr: Ich hatte Probleme mit dem DynDNS. Habe es aber noch nicht mit dem von AVM probiert. Wäre ggf. ein Weg.
@the other: Glasfaser (Dt. Glasfaser), IP4 und IP6 ... als es noch funktionierte, war es allerdings DSL IP V4
 
Bei mir läuft das so:

Fritzbox > FritzVPN (IPSec)
Ich baue ein VPN einzig für das Fritzbox LAN auf, um z.B. auf meine IP-Cam zuzugreifen, die sich in diesem Netzwerk befindet. Zugriff auf ein Subnet hinter der pfSense Firewall ist untersagt.

Fritzbox > pfSense VPN (OpenVPN)
Ich baue ein VPN über die pfSense Firewall auf, um z.B. auf alle dahinter liegenden Subnetze zuzugreifen, kann aber auch auf meine IP-Cam im vorgelagerten Fritzbox Transfernetz zugreifen, wenn ich mag.
 
Moinsen,
hmm...AFAIK bietet DeutscheGlasfaser oft einfach nur DSlite an, damit hast du zwar eine "echte" IPv6 aber keine eigene "echte" IPv4. Das sorgt dann beim Zugriff aufs Heimnetzwerk von extern oft für Stolpersteine.
Sicher, dass du sowohl IPv4 als auch IPv6 hast (echtes Dualstack)?
 
Nein, nicht sicher.
Habe gerade mal unter wieistmeineip.de geschaut. Ergebnis:
Test IPv4:OK
Test IPv6:fehlgeschlagen
Test Dual Stack:OK
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.193
Beiträge
43.815
Mitglieder
3.779
Neuestes Mitglied
Oldtimer
Zurück
Oben