Wireguard Fehlermeldungen

fuddel18 · 9. Juni 2024 um 10:31

Hallo zusammen,

ich habe ein kleines Problem mit meiner OPNsense und Wireguard.

Vorweg bis jetzt funktioniert alles. Habe nur in den Logs von der OPNSense unter dem Wireguard Punkt Error Meldungen.

Aufbau:

Habe drei Wireguard Server.

Der erste Wireguard Server ist für Clients wie Smartphone, Notebooks usw.

Der zweite Wireguard Server ist für Router wie Mikrotik, GLI Router, usw.

Und der dritte Wireguard Server ist für Site to Site VPN.

WG Server 1: 10.1.1.0/24

WG Server 2: 10.2.2.0/24

WG Server 3: 10.3.3.0/24

Standort A: 192.168.10.0/20, da mehrere Subnetze in VLANs aufgeteilt.

Standort B: 192.168.20.0/20, da mehrere Subnetze in VLANs aufgeteilt.

Kann von meinem Smartphone per Wireguard auf diverse Geräte in meinem Netzwerk zugreifen.
Kann von meinem Smartphone per Wireguard über mein Netzwerk auf Geräte von dem anderen Netzwerk zugreifen. (Standort B)
Von meinen Netzwerk (Standort A) kann ich über den Site to Site VPN auf deine anders Netzwerk (Standort B) zugreifen.

Standort A: Einwahl ins Internet über Draytek Modem mit OPNSense

Standort B: Einwahl ins Internet über Fritzbox und dahinter ne OPNSense (geht nicht anders)

Routen sind der OPNsense und Fritzbox gesetzt.

Fehlermeldungen:

Error Wireguard:

/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command ‚/usr/bin/wg syncconf ‚wg3‘ ‚/usr/local/etc/wireguard/wg3.conf‘‘ returned exit code ‚1‘, the output was ‚Name does not resolve: `xxxxxxxxxxxxxxxxxx.myfritz.net:12345‘ Configuration parsing error

Error Wireguard:

/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command ‚/sbin/route -q -n add -‚inet‘ ‚10.1.1.11/32‘ -interface ‚wg2‘‘ returned exit code ‚1‘, the output was ‚‘

Error Wireguard:

/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command ‚/sbin/route add -‚inet‘ ‚10.2.2.3‘ -interface ‚wg2‘‘ returned exit code ‚1‘, the output was ‚add host 10.2.2.3: gateway wg2 fib 0: route already in table‘

Warning Wiregard:

/usr/local/opnsense/scripts/Wireguard/wg-service-control.php: ROUTING: gateway IP could not be found for 192.168.10.0/20

Wie gesagt funktionieren tut alles mich wundert nur die Fehlermeldungen.

Hoffe es ist Verständlich und ihr könnt mir helfen.

Gruß

Lonaril · 11. Juni 2024 um 09:01

Wichtige Frage vorweg:
An welchem Standort werden die 3 WG-Server betrieben?

Die statische Route in der FritzBox kann ich verstehen, aber wozu noch extra Routen in der OPNsense? (Das würde die dritte Fehlermeldung erklären.)

Mit „AllowedIPs“ unter „[Peer]“ in der Wireguard-Config werden automatisch auch die Routen gesetzt. Theoretisch kann man bei S2S-Verbindungen bei WG gänzlich auf die Tunnel-IPs verzichten. Nicht von dem Begriff „Server“ bei Wireguard verwirren lassen, da WG nur ein Netzwerk-Interface-Device ist. Als Server fungiert das Interface erst (wirklich), wenn man unter [Interface] den " ListenPort" angibt. Theoretisch kann ein WG-Interface auch beides sein, Server als auch Client. Das ist ja das schöne an Wireguard.

Am Rande noch die Frage:
Warum drei WG-Server, wenn man alles mit einem umsetzen kann? (Ich möchte nur den Gedankengang dafür verstehen.)

fuddel18 · 11. Juni 2024 um 20:20

Danke, für deine Antwort.

Ja, die drei Wireguard Server in bei einem Standort (Standort A).
Es ist eine Route an der OPNSense (Standort A) in Richtung Fritzbox (Standort B).

In der OPNSense hinter der Fritzbox ist keine Route eingetragen.

Der ListenPort habe ich in den VPN Wireguard Interface „wg“ eingetragen. (Standort A).

Die Aufteilung in die drei Wireguard Server kommt daher das ich es gern trennen möchte.

Wireguard Server 1 für Client wie Smartphone, Notebooks usw.
Wireguard Server 2 für Mobile Mikrotik Router
Wireguard Server 3 für Site to Site

Lonaril · 11. Juni 2024 um 23:19

Was mir beim ersten mal nicht aufgefallen ist, ist die Definition der beiden LAN-Netzwerke von Standord A und B, die sind so gesehen falsch und würden zudem auch zu Fehlern verleiten. Besser hier nächstes Mal einen IP-Netz-Calculator verwenden.

Korrekte Werte wären für

Standort A: 192.168.0.0/20 (Netzadresse)
192.168.0.1 - 192.168.15.254 Benutzbare IPs
192.168.15.255 Broadcast-Adresse
Standort B: 192.168.16.0/20 (Netzadresse)
192.168.16.1 - 192.168.31.254 Benutzbare IPs
192.168.31.255 Broadcast-Adresse

Die Blöcke sind immer gemäß ihrem Präfix ausgerichtet, sie können nicht beliebig beginnen.
Dies würde die Warnung ggf. erklären, da 192.168.10.0/20 keine Netzadresse ist, sondern eine Hostadresse.

Von welcher Seite stammen eigentlich die Fehlermeldungen?

Grundsätzlich wäre es immer hilfreich, auch die Konfiguration oder Screenshots derer zu posten.

fuddel18 · 14. Juni 2024 um 23:06

Bilder kommen noch. Bin grade etwas eingespannt.

IP Adressen könnte für die Zwei Standorte auch so vergeben:
Standort A: 10.86.0.0/16
Standort B: 10.89.0.0/16

Die Meldungen sind und von der OPNSense Standort A.