Hallo zusammen,
ich bin noch recht neu in dem ganzen OPNsense Thema, dafür hab ich mir jetzt eine eigene OPNsense im Heimnetz eingerichtet und eine in meinem Cloud Netzwerk bei Hetzner.
Ich habe mir dann eine Site to Site Verbindung mit Wireguard eingerichtet.
Es funktioniert auch soweit, dass die OPNsense im Hetzner Netz, Clients in meinem Netz und die OPNsense bei mir zuhause, Clients im Hetzner Netz findet. Die Clients erreichen auch jeweils die OPNsense im Tunnel auf der anderen Seite. Allerdings erreiche ich von keinem Client einen Client auf der anderen Seite, außer dem Hetzner Gateway.
Ich habe in beiden OPNsense das Gateway und Routing für das jeweils andere Netz eingerichtet und im Hetzner Netz die Route für 0.0.0.0/0 auf die 10.100.0.2 (OPNsense) gestellt.
Ich sehe auch in der Firewall der OPNsense im Hetzner Netz, das meine Pings ankommen und durchgelassen werden.
Ich weiss gerade nicht was ich beim Routing falsch eingestellt habe oder ob da evtl. noch eine Firewall Regel fehlt, vielleicht kann mir hier ja jemand helfen.
Ping von Hetzner OPNsense an mein Macbook im Heimnetz:
Klingt so als würden die Regeln im Routing nicht greifen. Magst du mal mit tracert bzw. traceroute schauen und den Output posten, sowie die Routen? Damit Ping von Subnetz Site A zu Subnetz Site B durchgeht, muss ICMP in die jeweiligen Subnetze erlaubt sein. Am besten Logging für die Zeit des Troubleshootings aktivieren, damit du dort nachvollziehen kannst, ob das Paket das Default Gateway verlassen hat.
Vlt. auch noch spannend, ich hab mir, um während den Feiertagen auch weiter daran arbeiten zu können mein MacBook als Road Warrior wie hier beschrieben eingerichtet: WireGuard Road Warrior Setup — OPNsense documentation Über die Verbindung komme ich in beide Netzwerke rein und kann alle Clients erreichen.
Ok, also dein Hetzner Netz hat die 10.100.X.X/16, darin befindet sich auch die OPNsense - alles gut. Aber die OPNsense in deinem Heimnetz hat ebenfalls eine IP im 10.100.X.X/16 Bereich - wenn ich das richtig sehe - und da knallt‘s dann. Um einen besseren Überblick zu kriegen, poste mal bitte deine Netze z.B.:
Zuhause: 192.168.0.0/24
WireGuard / Transfernetz: 10.100.1.0/30
Hetzner: 10.100.5.0/24
Deine Netze sind ziemlich groß und überschneidet sich mit dem Transfernetz. Eine 255.255.0.0 (bzw. /16) Subnetzmaske heißt, dass die IP Range von 10.100.0.0 - 10.100.255.255 geht.
Probiere das Hetzner Netz auf 10.100.0.0/24 (oder irgendein anderes /24) umzubauen, sodass es sich nicht mit dem Transfernetz überschneidet und probiere es dann nochmal aus. Route kannste so lassen.
Das würde erklären, warum du von Zuhause und deinem MacBook über das Transfernetz kommst, aber aus dem Hetzner Netz nicht.
Ah ja jetzt klappt es. Perfekt danke dir Um von zuhause die Clients zu erreichen, musste ich übrigens noch die Route auf den Clients auf das Hetzner Gateway einstellen: ip route add default via 10.100.0.1 aber danach hat alles geklappt. Besten Dank @Max
Schön, dass es geklappt hat. Wenn du die Route manuell setzen musst, scheint die OPNsense nicht dein Default Gateway zu sein? Haste ne FRITZ!Box oder einen andere Router dazwischen? Dann kannst du die Route auch dort setzen, dann musst du das nicht für jeden einzelnen Client machen.
Um von zuhause die Clients zu erreichen, musste ich übrigens noch die Route auf den Clients auf das Hetzner Gateway einstellen: ip route add default via 10.100.0.1 aber danach hat alles geklappt. Besten Dank