opnsense site-to-site mit wireguard und einem zentralen Einwahlpunkt für Clients

  • Hallo zusammen,


    um zwei verschiedene Standorte zu verbinden, die jeweils ein eigenes VLAN haben, nutze ich opnsense mit wireguard als site-to-site VPN.

    Funktioniert in den Standorten einwandfrei.


    Wenn ich mich von zuhause einwähle, nutze ich zwei wireguard-Verbindungen. Zu jedem Server jeweils eine und die Netze dahinter sind erreichbar.

    Gern würde ich nur zu einem Server die Verbindung aufbauen und diesen nutzen, um das zweite Netz auch zu erreichen.


    Meine Frage:

    Verstehe ich das richtig, daß ich dann auf der opnsense eine neue Schnittstelle auf wg-Basis erstellen muß und Route nebst Gateway dort einrichte, um zum zweiten Netz durchzukommen?

    Oder funktioniert das auch ohne "extra" Schnittstelle, was mir eigentlich lieber wäre? Im Augenblick komme ich nicht zum zweiten Server durch, obwohl ich zuhause beide Subnetze im wireguard-Adapter eingetragen habe. Im Interface ist übrigens meine Tunneladresse mit /32 eingetragen, im Peer mit den AllowedIPs dann das gesamte Tunnel-Netz mit /24 plus die beiden VLANs (auch /24).


    [Interface]

    PrivateKey = ....

    Address = 192.168.6.19/32


    [Peer]

    PublicKey = ....

    AllowedIPs = 192.168.6.0/24, 192.168.111.0/24, 192.168.112.0/24

    Endpoint = ....

  • Im Augenblick komme ich nicht zum zweiten Server durch, obwohl ich zuhause beide Subnetze im wireguard-Adapter eingetragen habe. Im Interface ist übrigens meine Tunneladresse mit /32 eingetragen, im Peer mit den AllowedIPs dann das gesamte Tunnel-Netz mit /24 plus die beiden VLANs (auch /24).

    Stimmt denn die Return Route sowohl im WireGuard, als auch in der Kernel Route vom OPNSense?

    Du kannst mit tcpdump auch testen, wo die Pakete nicht durchkommen.

  • Oder funktioniert das auch ohne "extra" Schnittstelle, was mir eigentlich lieber wäre?

    Das sollte möglich sein. Du musst nur einen neuen Peer auf dem WG Server einrichten, auf dem sich die mobilen Clients einwählen.


    Im Augenblick komme ich nicht zum zweiten Server durch, obwohl ich zuhause beide Subnetze im wireguard-Adapter eingetragen habe.

    Und der zweite Server kennt auch den Weg zurück zu dir zu Hause? Die Routen müssen Ende zu Ende bekannt sein, nicht nur im VPN Client.