Site to site opnsense <--> hetzner wireguard

bruno · 4. Februar 2026 um 08:40

Hey Leute,

ich brauch mal eure Hilfe:

Was ich möchte ist, über einen VPS Server bei Hetzner in das heimische Netzwerk via IPV6, da Zuhauseanschluß IPV4 DS Lite hat.

Dazu habe ich beim VPS Server eine Side to Side Verbindung via Wireguard angelegt, die mit der OPNSense verbunden ist.

Und auf dem VPS einen Peer erstellt, und einen für das Handy zum VPS (das klappt)

VPS
wg0.conf
[Interface]
Address = 172.31.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = XXXXXXXXXXXXXXXX=

[Peer]
PublicKey = XXXXXXXXXXXXXXXX
AllowedIPs = 192.168.178.0/24, 10.0.3.0/24
Endpoint = IPV6:51820
PersistentKeepalive = 25

[Peer]
PublicKey = XXXXXXXXXXXXXXXX=
AllowedIPs = 172.31.0.0/24
Endpoint = ipv4:64892

3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 172.31.0.1/24 scope global wg0
valid_lft forever preferred_lft forever

OPNSense
192.168.178.0/24 Heimnetzwerk
Peer VPS
AllowedIPs 192.168.178.0/24, 10.0.3.0/24
Feste IPv4 vom VPS Server

In der OPNSense wird der Tunnel als grün angezeigt.
von PC über OPNSense nach VPS = ping 172.31.0.1 → funktioniert
von VPS nach OPNSense = ping 192.168.178.88 → funktioniert NICHT
von VPS nach OPNSense ping 10.0.3.1 → funktioniert NICHT

VPS Routen:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default _gateway 0.0.0.0 UG 100 0 0 eth0
10.0.3.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
172.31.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
_gateway 0.0.0.0 255.255.255.255 UH 100 0 0 eth0
ns1.recursivedn _gateway 255.255.255.255 UGH 100 0 0 eth0
ns2.recursivedn _gateway 255.255.255.255 UGH 100 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0

VPS wg

interface: wg0
public key: xxxxxxxxxxx=
private key: (hidden)
listening port: 51820

peer: ONSENSE=
endpoint: [ipv6]:51820
allowed ips: 192.168.178.0/24, 10.0.3.0/24
latest handshake: 52 seconds ago
transfer: 8.52 KiB received, 5.29 KiB sent
persistent keepalive: every 25 seconds

dazu zwei Fragen:

1.) warum kann ich nicht nach Hause pingen?
2.) Wie kann ich den WG Tunnel vom Handy so einrichten, das ich sowohl ipv4 als auch ipv6 benutzen kann oder braucht es dafür zwei TunnelConfigs?

Vielen Dank

Bruno

m-electronics · 4. Februar 2026 um 13:24

Moin,

Soweit ich richtig verstanden habe, hast du bereits einen Tunnel vom VPS zur OPNsense…

Da du nicht vom VPS auf die OPNsense pingen kannst, können das 2-3 Dinge sein:

Fehlende Allowed-IPs auf der OPNsense (und gegf. auch auf dem VPS)
Fehlende Routen auf der OPNsense (OPNsense weiß nicht, woher 172.31.0.0/24 kommt, weil die OPNsense in diesem Netz (zumindest laut deinen Allowed-IPs auf dem VPS) keine IP hat
Fehlende Firewall-Regeln auf der OPNsense

bruno · 4. Februar 2026 um 14:39

zu 1.) bei der opnsense, hab ich beim VPS peer allowed IPs: 10.0.3.9/24 und 171.31.0.0/24 stehen

zu 2.) ipv4 172.31.0.0/24 link#10 US 1420 wg1 wg1

zu3.) wg1 In 2026-02-04T15:38:05 ICMP 172.31.0.1 192.168.178.88 block

dann ist es wohl 3.)

Müsste ich dann den gesamten verkehr von 172.31.0.1 freigeben, wenn ich auf meine Homenetzwerk 192.168.178.0/24 zugreifen möchte?

bruno · 4. Februar 2026 um 14:41

anscheinend 3.)

wg1 In 2026-02-04T15:38:05 ICMP 172.31.0.1 192.168.178.88 block Default deny / state violation rule

von daher wohl alles von 172.31.0.1 freigebn nach 192.168.178.0/24 oder sehe ich das verkehrt?

bruno · 4. Februar 2026 um 14:43

wg1 In 2026-02-04T15:38:05 ICMP 172.31.0.1 192.168.178.88 block Default deny / state violation rule

also alles von 172.31.0.1 nach 192.168.178.0/24 freigeben oder?

bruno · 4. Februar 2026 um 19:31

also Punkt 3:9 War es…. vielen Dank