wireguard+opnsense+2Gbit fiber instellingen help a.u.b.
Hallo,
Gaarne de hulp van mensen gevraagd i.v.m. het opzetten van een wireguard verbinding met opnsense. Aangezien er gebruik wordt gemaakt van vlan tag 300 en de desbetreffende interface en gateway is het mij tot op heden niet gelukt een werkende vpn gateway met firewall regels te configureren dat samenwerkt. Het wireguard gedeelte laat een succesvolle handshake zien met de vpn server.
Wie kan zijn ervaring en instellingen delen? Voorbeelden op het internet bevatten geen situatie met vlan tags/interface.
Bij voorbaat dank!
Bladzijde 1 / 1
Het wireguard gedeelte laat een succesvolle handshake zien met de vpn server.
Dus wat ik begrijp, zie je onder services de Wireguard Daemon up and running?
Het wireguard gedeelte laat een succesvolle handshake zien met de vpn server.
Welke VPN server hebben we het nu over, Wireguard intern?
Neem aan dat je deze YT ook hebt doorgenomen?
Het wel of geen VLAN op een WAN interface maakt geen verschil, hij bouwt een tunnel op als de firewall rules goed zijn aangemaakt.
Heb je firewall rules aangemaakt …. ook onder de WAN?
EDIT: Of hebben we het hier over een externe VPN, die je via de Wireguard op je opnsense als client hebt ingericht?
Deze YT
Externe vpn, mullvad in dit geval. De tweede video die je hebt gelinkt gaat verder niet in op firewall rules, nat etc.
Hopelijk kom je tot een werkend systeem, zou moeten lukken gezien de toch wel redelijke beschrijving van hoe het moet.
BTW, gebruik zelf geen OPNsense, maar de moeder van deze fork pfsense.
EDIT;
Ga nog wel eens verder kijken of er iets is dat je moet doen i.v.m. de VLAN op de WAN interface, want dit zet mij wel even aan het denken. Zeker omdat de tunnel zijn eigen interface maakt zonder bekend te zijn met die VLAN … hmmm
Heb tal van yt videos bekeken. Allemaal verschillend. Het gateway gedeelte is waar het om draait. Er zal iets van een koppeling moeten gemaakt worden met de bestaande gateway (die weer bestaat uit de vlan met tag 300 en diens eigen interface) en de gateway die gecreëerd wordt tijdens het wireguard configureren. Dat laatste komt niet online (rood icoontje) met 100% loss. Heb al geprobeerd om het vlan gerelateerde te selecteren i.p.v. wan en wireguard opties in de diverse secties, maar dat deed niets.
Als ik even kijk naar de Tailscale binnen pfsense, dan zie ik dat er voor Tailscale Interface Group is aangemaakt. Tailscale maakt ook gebruik van het Wireguard protocol, die werkt probleemloos.
Alleen al aan het verschil in documentatie, snap je denk ik wel waarom ik pfsense gebruik. Tevens is de community voor pfsense, naar mijn mening, iets meer aanwezig.
Tailscale ‘Group Members’ is niet gemaakt, geen enkele is gekozen.
Firewall Rules zijn leeg ..
Nogmaals, Tailscale is een Wireguard client op deze manier. Of er op de achtergrond toch nog meer gebeurt wat niet zichtbaar is, dat kan ik niet zeggen … maar het werk super.
Nog iets, Tailscale en Mullvad zijn recent ook een samenwerking begonnen. Hierdoor kun je via Tailscale ook Mullvad als ‘exit node’ instellen, maar dat is voor een ander topic.
Hoe zien jouw gateways eruit? Gevoelige info blurren inderdaad. Bij voorbaat dank.
Met de gateways, bedoel je waarschijnlijk de interfaces.
Heb wel diverse gateways, maar dat ontstaat door de verschillende VLAN’s.
Hieronder een overzicht van mijn opbouw, maar zoals al aangegeven … geen afzonderlijke gateway assigned voor de Tailsccale connection.
Tailscale is eigenlijk een ‘virtuele interface, die ontstaat uit mijn setup daarvoor. Er is dus geen fysieke interface aan gekoppeld, maar dat is met een virtuele interface ook niet nodig.
Dat alles heeft te maken met Layer 2 en/of Layer 3 functionaliteit van je device.
VLAN’s zijn ook virtueel en Layer 2, zo zal ook je Wireguard interface worden gezien.
WG is een segment in je Layer 2, welke gekoppeld worden door de Layer 3 .. je router.
Het wireguard gedeelte laat een succesvolle handshake zien met de vpn server.
Je geeft al aan dat je wel de ‘handshake’ ziet lukken, dus de client en de server zijn het eens over de opgezette tunnel.
Het enige waar het dan zou kunnen knellen, zijn de devices welke geautoriseerd zijn met hun betreffende keys. Dus zijn de public & private keys correct, of heb je eventueel verwisseld met elkaar?
Nee met gateways bedoel ik gateways. Hetgeen in elke tutorial handmatig wordt gecreëerd bij het opzetten van een wireguard tunnel met externe vpn server. Deze wordt gekoppeld aan de "virtuele" mullvad interface. Een interface die eerder automatisch is gecreëerd.
Alle clients (devices) in het netwerk zouden via de opgezette tunnel in opnsense moeten kunnen verbinden naar het internet, want 192.168.1.0/24(32) is gespecificeerd in een van de stappen volgens mij. Nat en firewall regels zijn gemaakt.
Keys zijn volgens de tutorial en config file op de juiste plek gezet. Anders was er ook er geen handshake mogelijk volgens mij.
9 van de 10 keer, zit de firewall en de settings die je daar hebt gedaan roet in het eten te gooien.
Even zeker stellen wat je wilt, je wilt een exit node hebben via Mullvad.
Site A is jouw OPNsense en de Site B is de Mullvad ‘site’, de info voor Site B krijg je dus van Mullvad.
Trouwens ook in deze S2S, hebben ze het nergens over iets met een interface. Als je jouw OPNsense inricht als de server, dan komt de interface wel in beeld.
LET OP: Direction : IN => bedoelt men verkeer dat de WAN IN gaat …. dus eigenlijk wat er uitgaat het WWW op .. dus OUT TO WWW! Heb je dit bij je firewall rule wel goed staan, dit omgekeerd denken?
Je haalt dingen door elkaar. S2S is wanneer je 2 opnsense machines op verschillende locaties hebt staan en met elkaar wilt verbinden d.m.v. wireguard.
In de officiële documentatie op de wiki van opnsense staat een aparte how to voor mullvad beschreven. Deze sectie is echter niet up tot date volgens bronnen op het internet.
Ik zie nog wel iets staan over normalization wat ik nog niet geprobeerd hebt. Overigens zou ik volgens bovenstaande alle clients op de Lan apart moeten configureren verder. De yt videos (m.u.v. enkelen) laten zien dat dit niet hoeft. Overigens dient ook opgemerkt te worden dat er een verschil in configureren bestaat tussen wireguard (kernel) en wireguard go.
Mvg
Voor nu komen wij er hier denk ik dan ook niet uit, waarom OPNsense zo dwarsligt in het doorlaten van je clients.
Weet niet of daar nog iets nieuws in staat, maar anders is denk ik de beste weg om met de OPNsense community eens een uitleg te geven. Zij zullen wel personen binnen de community hebben, die precies doen wat jou op dit moment niet lukt.
Blijf erbij dat je firewall rule dwarsligt in het doorlaten van het verkeer, zeker omdat de handshake wel werk.
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.
