Wireguard Site-to-Site Firewall-Regeln

Es gibt 18 Antworten in diesem Thema, welches 4.294 mal aufgerufen wurde. Der letzte Beitrag () ist von zwelch82.

    Hi,

    ich hab mal eine Frage wegen Firewall-Regeln und Wireguard Site-to-Site.


    Ich hab meine Firewall-Regeln nun nach der Anleitung 2.0 aus dem Wiki aufgebaut.

    Funktioniert auch soweit super. Nur nicht für das entfernte Netz, das per Wireguard verbunden ist.


    Ich hab in einer VM Wireguard laufen, da Unifi ja noch keine Site-to-Site Verbindungen über Wireguard unterstützt.


    Mein Setup:

    • entferntes Netz: 192.168.2.0/24
    • Wireguard-Server: 192.168.1.254
    • Wireguard-Config: kein NAT / kein Masquerade
    • statische Route in UniFi: 192.168.2.0/24 via 192.168.1.254

    In der Firewall hab ich das Netz 192.168.2.0/24 und den Gateway 192.168.2.1 genauso geblockt wie lokale VLANs.


    Aus dem entfernten Netz 192.168.2.0/24 kann ich aber weiterhin auf alles im lokalen Netz zugreifen.

    Die Firewall-Regeln greifen also nicht.


    Was muss ich nun machen, dass die Firewall-Regeln greifen?


    Danke schonmal für die Hilfe.

    Mag sein, dass ich es gerade falsch verstehe, aber Clients aus dem entfernten Netz sind doch durch die Konfiguration Deines VPN-Servers sozusagen als Entitäten aus dem Netz 192.168.1.0/24 in Deinem lokalen Netz, oder? Zumindest wäre es es ja bei einer Client-To-Site-Verbindung so.

    Stimmt meine Vermutung, musst Du die Firewall-Beschränkungen auf 192.168.1.0/24 beziehen.

    Stimm ich zu was Networker gesagt hat.


    Deine entferntes Netz ist ja nachdem es durch den Wireguard Server (192.168.1.254) durchgeht wieder im lokal Netz.


    Also wäre die möglich Lösung ein weiteres Netzwerk aufzuziehen für die Wireguard clients.

    Hmmm...aber die Clients aus dem entfernten Netz (192.168.2.0/24) sind doch durch die Kopplung per Wireguard Site-to-Site nicht Teil des lokalen Netzes (192.168.1.0/24).

    Hier wird doch meiner Ansicht nach nur wie in ein anderes VLAN geroutet.


    Ich möchte ja nur, dass Pakete aus dem entfernten Netz vom Wireguard-Server an die UDM-Pro geleitet werden, damit diese das lokale Routing macht und die Firewall-Regeln greifen.

    Nachdem die Clients durch den Wireguard Server durch sind weiss doch die UDM nicht mehr woher sie kommen, oder?


    Was für IP Adressen haben denn die Clients die durch Wireguard reinkommen im lokalen Netz?

    Ich mache mal ein Beispiel für Client-To-Side:


    Mein Endgerät befindet sich im Netz 192.168.111.0/24, hat also auch eine entsprechende IP-Adresse.


    Der entfernte Standort hat folgende Konfiguration:

    Hauptnetz: 10.0.0.0/24

    VPN-Netz: 10.222.222.0/24


    Mein Endgerät erhält bei Einwahl über VPN als eine IP-Adresse im Bereich 10.222.222.0/24 - völlig egal, wie die Konfiguration des lokalen Netzes aussieht.


    Wenn mein VPN-Zugriff auf das Hauptnetz 10.0.0.0/24 eingeschränkt werden soll, müssen die entsprechenden Firewallregeln sich auf die Quelle 10.222.222.0/24 beziehen - und eben nicht auf 192.168.111.0/24.


    Ich bin mir mangels eigener Erfahrung nicht sicher, ob es bei Site-To-Site Besonderheiten gibt, aber prinzipiell ist das Schema sicherlich dasselbe.

    Ok, sorry. Dann kann ich nicht weiter helfen. Bin noch nicht so weit, dass ich das selber aufgesetzt habe aber gedanklich würde ich für Wireguard ein seperates Netzwerk definieren, damit ich dann die Kontrolle habe, was diese Clients machen dürfen.

    Für Client-to-Site hast du Recht. Hier wird ein eigenes lokales Netz für die VPN-Clients angelegt.

    Bei Site-to-Site verhält sich das aber anders.

    Ok. Ich bin noch nicht so weit in the Ubiquiti Welt das ich da schon dazu sprechen kann. Ich vorher nur pfsense/OPNSense gespielt und daher mein Gedankengang. Hoffe jemand hier kann Dir da weiterhelfen ...

    Hallo zwelch82 ,


    pinge oder lasse von einem Client aus 192.168.2.0/24 eine Maschine in Deinem lokalen Netz (192.168.1.0/24) anpingen und schaue auf der Zielmaschine, wer sie anpingt. Dann müsstest / solltest Du sehen wer da kommt.


    Ich habe das gerade bei meinem Setup (großes USG <-> kleines USG mit WG S-2-S und Transfer-Netz) geprüft: ich sehe auf meinem NAS die echte Quell-IP:

    Quelle (RasPi):

    Code
    $ ping -c 4 10.10.101.10
PING 10.10.101.10 (10.10.101.10) 56(84) bytes of data.
64 bytes from 10.10.101.10: icmp_seq=1 ttl=62 time=10.5 ms
64 bytes from 10.10.101.10: icmp_seq=2 ttl=62 time=10.4 ms
64 bytes from 10.10.101.10: icmp_seq=3 ttl=62 time=10.4 ms
64 bytes from 10.10.101.10: icmp_seq=4 ttl=62 time=9.60 ms

--- 10.10.101.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 8ms
rtt min/avg/max/mdev = 9.596/10.219/10.465/0.374 ms

    Ziel (Synology):

    Ich hab Adguard Home im lokalen Netz (192.168.1.0/24) laufen und hier melden sich die entfernten Clients mit den IPs des entfernen Netzes (192.168.2.0/24):

    Zitat von swag

    Dein WireGuard läuft auf einen eigenen Host ?


    Mal einen traceroute probiert ob der Traffic vom 192.168.2 überhaupt über die dmp geht. (Der WG Server ist ja im 192.168.1)

    Ja, mein Wireguard läuft in einer eigenen VM.


    Genau, das ist mein Problem. Wie kann ich die Wireguard-VM zwingen, die Pakete direkt an die UDM-Pro zu leiten?

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von zwelch82 mit diesem Beitrag zusammengefügt.

    Zitat von swag

    Dein WireGuard läuft auf einen eigenen Host ?

    Bei uns läuft das auf dem USG mit.

    Wenn es in Deinem Szenario kein "VPN-Netz" gibt, musst Du den Traffic zwischen beiden Netzen pauschal unterbinden und dann explizit für die Geräte freigeben, die eben doch Ressourcen im jeweils anderen Netz erreichen sollen dürfen, würde ich meinen.

    Zitat von swag

    Die USG kann jetzt auch WG, Ist das irgendwie performant ? Die USG ist ja nicht die schnellste. Läuft diese parallel zu einer DMP oder anderen FW ?

    Siehe wiki:

    WireGuard-Installation auf dem USG - ubiquiti - Deutsches Fan Forum


    Bei mir läuft es auf dem großen bei PPPoE-Einwahl hinter Vigor 165 mit 3 S-2-S (288525Kbps / 46717Kbps; SVDSL), bei meinem Gegenüber auf dem kleinen nur zu mir hinter einer FRITZ!Box mit DHCP (100Mbps/40Mbps; DSL) und macht da auch keine Probleme. Wir beide können unsere Anschlüsse komplett ausreizen. Mittlerweile überstehen wir sogar IP-Adresswechsel ohne Probleme.