Wireguard Verbindung verhindert Zugriff ins lan

Edit & tldr;

GeraetXY im lan hatte lokale Firewall welche traffic von ausserhalb des Subnetzes verboten hat. Dies fuehrte mich zur Fehlannahme, dass ich keine Geraete im Lan erreichen kann.

Takeaway: nmap von subnetz dauert laenger, ist aber zuverlaessiger als ICMP.

Halloechen!

ich habe auf meiner UDM einen Wireguard Server (teilweise) erfolgreich konfiguriert. Internet und DNS funktionieren bestens, allerdings wird der Zugriff auf Maschinen im lan verhindert.
> ping -c3 dings.bums.home

wird korrekt zu einer IP aufgeloest, allerdings laeuft alles ins leere.

Firewall regel erstellt:

LAN IN: [ACCEPT] VPN-net -> lan an position 1 der FW-table.

Immernoch kein Erfolg.

Allowed IPs in der Wireguard config sind 0.0.0.0/0, ip_des_clients/32 und explizit auch das lan subnet.

Scheinbar mache ich etwas falsch. Kann mir hier jemand einen Tipp geben?

Zitat von jkasten

Wie sind denn deine Netze aufgebaut, eigentlich musst du da gar nichts einrichten da alles automatisch angelegt wird. Es sei denn du hast per Firewall alles mögliche selber blockiert.

Ich habe eine regel fuer LAN-IN am Ende der Liste. Diese Blockt allen traffic zwischen meinen subnetzen. Auch dem VPN. Ich moechte explizit den Datenverkehr zwischen VPN und lan-01 (nummer am ende arbitraer waehlbar) erlauben, default ist dann demnach Block.

Zitat von DoPe

LAN IN: [ACCEPT] VPN-net -> lan .... ist die Richtung aus Deinem LAN zu den Clients auch da?

Meinst du client-01 in LAN -> client-02 in VPN-subnetz? Sollte, aber ich teste das mal eben.

Mit Ausnahme diverser Spezialfaelle sieht mein FW Regelsatz so aus

LAN-IN:
1. Accept VPN -> LAN

2. Block LAN_all -> LAN_all

wobei LAN_all VPN, lan-01, lan-02 etc. beinhaltet.

LAN-OUT oder Internet-OUT etc. benutze ich garnicht.

Okay, das Problem liegt nicht bei Unifi oder Wireguard.
Lediglich mein testserver in besagtem lan ist per VPN nicht erreichbar. Sollte also wohl eher an der Maschine liegen.

DoPe hat mich drauf gebracht mal die andere Richtung zu testen. Hierbei fiel es mir auf. danke dafuer!

Zitat von DoPe

Du scheinst einfach zu ignorieren das Traffic in beide Richtungen erlaubt sein muss.... auch vom LAN Device zum VPN Client zurück. Das hat mit LAN-OUT und Internet-OUT nix zu tun.

Meinte nur dass ich Ausschliesslich die LAN-IN Table nutze. Bin mit shorewall gross geworden und versuche daher die Konzepte die dort angebracht hierher zu uebersetzen.

Ich bin mit der firewall implementierung von unifi nicht so uebermaesig zufrieden. Als Shorewall fanboy finde ich die Idee mit dem LAN-IN,OUT,LOCAL etc. eher verwirrend und es fuegt mehr komplexitaet hinzu als es sein muss.

Klar, bidirectionale kommunikation ist schon wuenschenswert. Aber das wird von lan-01 -> LAN_all implementiert.

Wie auch immer, ich fand den fehler dank deines Tipps . Manchmal muss man echt Stumpf die einfachen Dinge in betracht ziehen. Dies war in meinem Fall: Der Testserver im lan hatte eine locale FW laufen, welche traffic von IPs ausserhalb seines subnetzes per DROP verweigert.... War dumm, gebe ich zu. Nobody is perfect

Danke jedenfalls!