Wireguard 2.5 Clients

bubbler

Wireguard Server & Peer konfiguriert , Screenshots anbei.
Meine Problem: Connect von beiden Geräten funktioniert , Internet , DNS etc alles funktioniert - wobei wie man im Screen sieht
1:) werden die Interfaces als offline angezeigt mit Fehlern - verstehe ich nicht ganz
2:) Versuch mit meinem Notbook in mein LAN 192.168.0.0/24 zu kommen klappt nicht.

Such mich zum Wolf - wäre super erfreud über einen Tip - DANKE

Screenshot_2021-04-05 pfSense-control home arpa - VPN WireGuard Tunnel.png

WG0 + WG1 erstellt ( 1 x Iphone , 1 x Notbook )

Screenshot_2021-04-05 pfSense-control home arpa - Status Dashboard.png

Firewall Regeln erstellt für Wg0 , Wg1 , Wan , LAN , Wireguard

Screenshot_2021-04-05 pfSense-control home arpa - Firewall Regeln WAN.png

Screenshot_2021-04-05 pfSense-control home arpa - Firewall Regeln WG1(1).png

Screenshot_2021-04-05 pfSense-control home arpa - Firewall Regeln WireGuard.png

Screenshot_2021-04-05 pfSense-control home arpa - Firewall Regeln WG0.png

Screenshot_2021-04-05 pfSense-control home arpa - Firewall NAT Ausgehend.png

bubbler

So, den Fehler mit Gateway kann man zumindest kosmetisch ändern , wenn man entweder Monitoring deaktiviert , bzw ich hab die Monitoring IP auf WGserver gesetzt nicht auf den clienten ( Server hat bei mir 10.8.0.1 / client 10.8.0.2 ) - jetzt ist er grün and no packet los.

bubbler

Tja , hab den Fehler gefunden - da ich in meinem Netzwerk als Standard noch immer die Kerio Hardware Firewall nutze haben alle PC als Gateway die Kerio.
Wenn ich den Gateway bei einem Testpc ändere auf die Pfsense dann gehts.

Was es nicht alles gibt - habe ich nicht gewusst !

D.h. Es wird zwar alles richtig geroutet aber der / die Windows PC blocken. Gibt es eine Möglichkeit ( ohne alle Gateways zu ändern ).

JeGr

@bubbler said in Wireguard 2.5 Clients:

D.h. Es wird zwar alles richtig geroutet aber der / die Windows PC blocken. Gibt es eine Möglichkeit ( ohne alle Gateways zu ändern ).

Nein es wird eben NICHT richtig geroutet, deine Geräte routen zu der anderen Firewall die du betreibst und nicht zur pfSense und das ist der Fehler. Du kannst schlecht irgendwelche Geräte von links außen ins Netz holen, wenn deine Geräte im Netz keinerlei Ahnung haben, wie sie die erreichen sollen. Welchen Sinn machen denn zwei Firewalls im gleichen Netz?

Das ist typisch asymmetrisches Routing. Du kannst jetzt auf deiner Kerio Firewall zwar die Netze per Routing eintragen und die zur pfSense routen lassen, was dann das Problem vielleicht löst, es gibt bei asym. Routing aber immer Fehlerpotential und Seiteneffekte, die einem ziemlich in die Suppe spucken. Darum sollte man sowas auflösen.

Grüße

bubbler

Hi , vielen Dank für die Antwort und Info
Kerio noch im laufenden Betrieb da 15 clients online sind , aber wir wollen von Kerio weg ( war mal eine super FW aber mittlerweile - naja und zu teuer )

Problem löst sich mittlerweile auf , da wir nach und nach die Gateway auf die pfsense ändern - dann klappt sowieso alles wunderbar.

Danke

JeGr

@bubbler Genau das - richtiger Weg und dann klappt das auch mit dem Routing. :)

Allerdings demnächst dann erstmal wieder ohne Wireguard, denn das wird erstmal wieder rausgepatcht bis es dann mal wieder offiziell in den Kernel reinkommt. Daher würde ich da jetzt erstmal OpenVPN alternativ einrichten damit man das nutzen kann.