2 "Cloud Gateway Ultra" mit öffentlichem Wireguard VPN-Server verbinden

Es gibt 4 Antworten in diesem Thema, welches 175 mal aufgerufen wurde. Der letzte Beitrag () ist von deylo.

  • Hallo zusammen,


    nachdem ich nun endlich meinen Cloud Gateway Ultra installiert und beschäftigt habe folgt nun die Installation des zweiten Cloud Gateway Ultra, den ich bei meinen Eltern aufstellen will, wenn sie fertig eingerichtet sind.

    Momentan laufen sie über zwei separate 5G-Router, wie es später auch der Fall sein wird.


    Da ich bei Mobilfunk-Internet keine öffentliche IP-Adresse habe, jedoch später einen PiHole installieren möchte, habe ich mir bei Hetzner eine virtuelle Maschine (mit fester IP) gemietet und darauf OPNsense mit Wireguard installiert. Damit verbinden sich beide Cloud-Gateways, das funktioniert schonmal.


    Vorab: Ich bin kein Profi in Sachen Netzwerk, beschäftige mich aber sehr gern damit und möchte die Funktionsweisen begreifen.


    Mein Problem: ich komme nicht von einer Maschine (Standort A) auf eine andere Maschine (Standort B). Ping ist unmöglich.

    Ich habe mich schon mit statischen Routen und Firewallregeln beschäftigt, jedoch weiß ich nicht so recht, welche Schnittstelle ich für welche ankommenden Pakete freigeben muss und wo die Daten überhaupt langfließen.


    Meine Konstellation in einer Skizze:



    Mein Überblick der Schnittstellen von OPNsense

    :


    Bei einem "tracert" kommt immer nur Zeitüberschreitung und der letzte Hop ist maximal die IP 10.2.0.3.

    Nun weiß ich nicht so recht, womit ich nun bei der Fehlersuche anfangen soll.

    10.2.0.3 ist ja Wireguard selbst, der mich da scheinbar nicht rauslässt. Aber ich weiß nicht, welche Firewallregeln ich noch öffnen soll. Ich vermute die Daten laufen von Schnittstelle/Gerät wg01 über vtnet1?


    Ich hoffe ich habe alles vernünftig erklärt.


    Vielleicht habt ihr ja eine Idee, ich bin Euch sehr dankbar,

    viele Grüße.


    PS: Es kann auch die Unifi Firewall sein, deshalb frage ich hier und nicht bei OPNsense :smiling_face:

  • Bin kein OpenSense Nutzer, aber warum sind die WireGuard Clients in unterschiedlichen Subnetzen?

    Ich verbinde bei mir auf dem Ultra die HomeOffice PCs an einem WG Server und damit sind sie im gleichen Subnetz.

    Je nachdem was du dann in der Client Config freigegeben hast unter Allowed IPs sollte er eigentlich sehen können.


    Was du aber bei einem Server/Client Verbindung nicht von Hause aus hast ist die Möglichkeit aus dem Serverbereich zum Clientbereich zu kommen. Da braucht es dann denke ich noch Routen und evtl. Freigaben. Glaube OpenSense macht von Hause aus erstmal alles dicht.

  • Ein anderes Subnetz habe ich genommen, weil ich der Meinung war, dass es übersichtlicher ist, weil da später noch Smartphones als Clients eingebunden werden sollen bei Standort A.

    Meinst Du, das könnte zum Problem werden, bzw. eins sein?


    Genau, es sollte schon beidseitig erreichbar sein. Heißt aber für mich, dass wenn die Route vom Client an Standort A zu Standort B steht, kommt doch auch der Server durch oder? Abgesehen davon, dass er im anderen VLAN ist, aber das ist ein anderes Thema.

  • Nein, denn der weiß ja nicht wie er ins 172.21 und .22 kommen soll.

    Die Route ist ihm nicht bekannt.


    Schau das mal auch wenn es nicht 100%ig dein Fall ist:


    Das musst du quasi 2x machen plus die serverseitigen Routen.

    Und pack die Clients in ein Subnetz. Wird es einfacher machen denke ich.


    Edit:

    Schau dir auch mal sein neues Video über die neuen Funktionen von ipv64 an. Evtl. Kannst du dir damit den Hetzner Umweg sparen.

  • Danke erst einmal für Deine Antworten.


    Das Video mit den neuen Funktionen und dem Reverse Proxy Manager im CDN habe ich auch schon gesehen. Soweit ich es überblickt habe, brauche ich dazu aber auch mindestens eine öffentliche IPv6-Adresse, unter der ich auch erreichbar bin. Die IPv6 wird aber auch nicht zu mir geleitet, daher fällt die Möglichkeit in meinen Augen leider auch weg.


    Ich schaue mir das Video mal an und gehe die Einstellungen durch und versuche es auch mit einem Subnetz, statt zweien.