VPN Wireguard Verbindung zwischen 2 UDM Pro - Ping geht nicht durch

Mal paar allgemeine Tips, da mehr mit den Angaben nicht möglich ist.

- Wireguard Client in UDM NATet per Default

- evtl. fehlende Firewallregeln um Pakete von extern reinzulassen.

Die statische Route gilt für die UDM selbst, Du müsstest ein policy based routing einrichten, damit die gewünschten Geräte das 192.168.20.0/24 Netz via WG Tunnel geroutet erreichen.

Auf der Wireguard Server Seite hast Du für den Client (UDM) auch das Netz 192.168.21.0/24 als hinter dem Client befindlich angegeben?

Zu guter letzt aufpassen, dass man sich nicht von irgendeiner Windows Firewall verschaukeln lässt, die Antworten per Default nicht auf Pings aus anderen IP Bereichen.

Hi,

ich würde diesen Beitrag gerne noch einmal hervorholen.

Ich habe den genau gleichen Aufbau.

Laire hast du das Problem lösen können?

Ich vermute auch eine Firewall-Regel auf der UDM-B, finde allerdings keine funktionierende.

Eine statische Route aus dem Netz A in das WG-Netz und in das Netz B habe ich erstellt.

Die Windows Firewall ist es nicht, da ich jeweils zwischen zwei Linux-Servern pinge.

Ich würde ich freuen, wenn wir eine Lösung hinbekommen können.

Quote from hanmey

Die Windows Firewall ist es nicht, da ich jeweils zwischen zwei Linux-Servern pinge.

Auf denen sollte doch auch irgendein IPtables laufen, dass nicht pauschal jede Anfrage aus anderen Netzen zulässt, oder nicht?

Ja, also anpingen kann man die.

Der Ping an die UDM B mit IP 192.168.2.2 kommt auch nicht durch.

Der Ping an ein Gerät hinter der UDM und an die UDM selbst sind 2 verschiedene Paar Schuhe. Das sind in jedem Fall mal 2 verschiedene Firewallregeln - eine betrifft Internet_In und eine Internet_Local (ohne ZBF) und bei ZBF sind mal 2 verschiedene Zonen das Target.

Quote from DoPe

Der Ping an ein Gerät hinter der UDM und an die UDM selbst sind 2 verschiedene Paar Schuhe. Das sind in jedem Fall mal 2 verschiedene Firewallregeln - eine betrifft Internet_In und eine Internet_Local (ohne ZBF) und bei ZBF sind mal 2 verschiedene Zonen das Target.

Okay, ich habe in der ZBF auf UDM B die Regel:

Quelle Extern mit IP Bereich der VPN-Verbindung und IP-Bereiche der UDMs. Das Ziel ist das Gateway.

Als Ping versuche ich aus dem Netz A direkt die IP 192.168.2.2, also die die Adresse des VPN Clients der UDM B. Laut Traceroute kommt der Ping nicht in die UDM B rein.

Das sollte ja der erste Schritt für die ZBF sein, oder?

Kannst Du bitte erstmal eine kurze Übersicht erstellen, welche IP Netze auf welcher Seite sind, welche UDM der Wireguard Server und welche der Client ist mit den jeweiligen WG Tunnel IPs. Was hast Du an Routen angelegt (static und policy based und die im WG Server hinterlegten Netze beim Client) und Wie sind die NAT Einstellungen bei der WG Client UDM?

So mitten drin ohne Übersicht rumstochern wird vermutlich nichts bringen.

Geht bei Dir schon irgendwas? Bitte beide Richtungen checken, da Client und Server sich unterschiedlich verhalten können.

Ich wollte mich inhaltlich an den Thread-Autor halten.

Ich habe jetzt einige Abbildungen erstellt. Ich hoffe, daraus wird alles ersichtlich.

In den Abbildungen sind die Pfeile jeweils Pings. Die grünen funktionieren und die roten nicht.

Auf dem WG-Server habe ich im Client B das Remote Client Network eingetragen. Dadurch sollte die Route eingetragen sein.

Ping von Client A an Client C funktioniert. Somit sollte das Routing auf UDM A soweit ok sein.

Am NAT auf UDM B habe ich nichts geändert.

Auf der UDM B ist eine Policy-Based-Route eingestellt, welche den WG Client als Schnittstelle für die Zielnetze der UDM A hat.

Die Pings von Seite B auf Seite A funktionieren auch.

Das sollte den aktuellen Stand ganz gut abbilden.

hanmey Mal Quick and Dirty und sicher nicht perfekt.

Leg Dir mal ein Firewall Objekt an z.B. "Netze A via WG" und pack da mal das VPN Tunnelnetz 192.168.2.0/24 (/24 muss nicht stimmen falls Du das Netz kleiner gewählt hast) und das Netzwerk von UDM A 192.168.1.0/24 (hier dürfte /24 passen). Das Objekt heisst bei meinem Screenshot "BSB Netze via WG".

Dann in die Zonenbasierte Firewall links External + oben Gateway auswählen und eine Regel hinzufügen (für Traffic von A auf die UDM B selbst).

Dann in die Zonenbasierte Firewall links External + oben Internal (da sollte das 192.168.10.0/24 ja drin sein?!?) auswählen und eine Regel hinzufügen (für Traffic von A in das 192.168.10.0/24 Netz von UDM B). Statt Main-LAN dann den Namen deines 192.168.10.0/24er Netzes auswählen.

Bei Routing - NAT noch folgenden Eintrag erstellen. "WG zu BSB" ist der VPN Tunnel zu UDM A. Bei Destination IP das Netz von UDM A angeben also 192.168.1.0/24 Wichtig ist unten Manuell und der Haken bei Exclude.

Und dann hab ich hier noch regeln, da muss ich erstmal schauen ob die noch nötig sind oder Reste von vor der ZBF. Teste das bitte erstmal so.

EDIT: Die anderen Regeln scheinen Altlasten zu sein. Zumindest kann ich kein Problem bemerken wenn die pausiert sind. Die Ergeben auch eigentlich keinen Sinn mehr

Moin,

so ich bin jetzt einen Schritt weiter.

Ich habe die Regeln angelegt.

Jetzt funktioniert der Ping UDM-A -> UDM-B und UDM-A -> Client B

Nur Client A -> UDM-B und Client A -> Client B funktioniert nicht.

Öhmm das sind die gleichen Regeln in den gleichen Zonen, nur eine andere Quelle... sicher dass die Netze im Firewall Objekt korrekt sind?

Ja die Netze sind richtig. Dort ist nur das Tunnelnetz und Netz A eingetragen.

Beide Regeln habe ich in der UDM B eingestellt. Das sind dort auch die einzigen.

Hätte ich in der WG-Config noch etwas weiters beachten sollen?

Habe das Netz B als Remote Client Network eingetragen. Das Tunnelnetz kann ich dort nicht angeben.

Nein bei der WG Konfig gibt es nichts zu beachten, außer eben den Remotenetzwerken beim entsprechenden Client. Das Tunnelnetz braucht selbst dort keine Route, da ja die UDM eine Adresse aus dem Tunnelnetz benutzt und somit das Netz kennt.

Ich würde jetzt erstmal schauen was genau geht, was genau nicht geht und mit tracert/traceroute schauen, ob die Pakete wenigstens in das richtige Interface gehen und nicht, warum auch immer übers Default Gateway gehen. Ich befürchte mal, das ist jetzt nur eine kleine Einstellung die nicht passt und gefühlt nicht mal mit der Thematik zu tun hat.

Moin

es ist mittlerweile etwas länger her

Allerdings ist das Problem trotzdem noch nicht gelöst..

Wenn ich mir der Traceroute von Client A --> WG-Client(192.168.2.2) ansehe, kommt der nur bis zur 192.168.1.1

Wenn ich mir der Traceroute von Client A --> WG-Server(192.168.2.1) ansehe, kommt der direkt zur 192.168.2.1

Nicht böse gemeint, aber ich bin raus ... nach 4 Monaten fange ich nicht an mich wieder neu hier reinzudenken. Soviel Zeit hab ich dann auch nicht über.