OPNsense WireGuard Route?

Ich baue mit WireGuard ein VPN von einer OPNsense zu einem MikroTik auf.

Funktioniert ohne Problemen. Jetzt möchte ich gerne den kompletten Traffic von einem bestimmtem Gerät durch das VPN leiten. Hab ich hinbekommen. Mein Problem ist aktuell, da ich ja in WireGuard bei den Allowed IPs das Netzt 0.0.0.0/0 angeben muss. Dadurch wird automatisch eine Route (0.0.0.0/0) in der OPNsense angelegt, was dazu führt das der Traffic von allen Geräten bei mir im Netzwerk durch das VPN geht.

Lösung 1:

Bei allen Firewall Regeln das Gateway von default auf das WAN Interface umstellen.

Ist mir persönlich zu viel Aufwand.

Lösung 2:

Die Route die durch WireGuard gesetzt wird manuell zu löschen unter den Routen.

Starte ich die OPNsense oder WireGuard neu wird diese wieder automatisch gesetzt.

Find ich nicht so geil.

Gibt es noch andere Möglichkeiten das zu lösen.

Eventuell mit NAT oder so.

1 Antwort

R3C0NF1GUR3D

29.04.2025, 15:57

Hey!
Also für mein Verständnis:
Durch AllowedIPs = 0.0.0.0/0 wird eine Default-Route (0.0.0.0/0) automatisch von WireGuard erzeugt. Diese überschreibt die normale WAN-Route → gesamter Traffic geht durchs VPN.

Die Lösung 1 ist meiner Meinung nach die beste

WireGuard als Interface registrieren:
In OPNsense → Interfaces → Assignments → New Interface auf dein WireGuard-Device → speichern und aktivieren.

Wichtig ist dann Firewall Rule auf LAN:
-Erstelle eine neue Regel im LAN-Interface.
-Source: Das eine Gerät (z.B. IP deines Clients).
-Gateway: Wähle hier WireGuard Gateway.

Standard-Gateway nicht anfassen!! Alles andere bleibt auf „default“ → alle anderen Geräte gehen übers normale WAN.

Wichtig:
Wenn du WireGuard als Gateway für ein einzelnes Gerät verwendest, musst du sicherstellen, dass im Firewall → NAT → Outbound Modus auf „Hybrid“ oder „Manual“ gestellt ist.

Lösung 2:
Problem dabei:

Du willst den kompletten Internetverkehr für ein Gerät tunneln. Wenn du bei AllowedIPs nicht 0.0.0.0/0 nutzt, erreichst du das Ziel nicht vollständig. Also ungeeignet für deinen Fall.

Ansonsten als Notlösung also "Lösung 3" die Route Manipulieren per Shellscript/CRON (Notlösung)

Ein kleines Skript auf der OPNsense, das nach jedem Boot/Service-Start die unerwünschte Route löscht.

Woher ich das weiß:Studium / Ausbildung

Ähnliche Beiträge

Wireguard funktioniert nicht richtig?

Hallo zusammen,

ich habe vor, einen privaten VPN Server über meinen Raspberry Pi zu hosten. Ich habe mich bereits informiert und würde dies gerne über PiVPN machen. Ich habe auf meinem Raspberry Pi alles notwendige eingerichtet und wollte nun als test auf meinem Laptop einen Tunnel starten. Dies wollte ich über Wireguard machen (habe wireguard schon beim setup von PiVPN angegeben). Jedoch kriege ich beim ersten starten nur die Fehlermeldung, dass Wireguard versucht einen unsignierten treiben zu laden oder so ähnlich. Beim anderen Veruchen den Tunnel zu starten kommt nur noch: Das angegebene Gerät muss wegen Hardwarefehlern neu initialisiert werden. Wie tue ich das?

...zum Beitrag

UDP Packet loss und Out-of-order-packets Vodafone Kabel?

Ich habe leider Probleme mit meiner VPN Bandbreite (Site-to-Site, UDP via Wireguard via OPNsense) von Zuhause zu meinem Hoster. Nachdem vieles bereits ausgeschlossen wurde, kam der Verdacht auf, dass ggf. im Kabelnetz von Vodafone eine Drosselung/Traffic Shaping stattfindet.

Gibt es hierzu ähnliche Erfahrungen und spielt ggf. der DOCSIS-Standard 3.0 vs. 3.1 auch eine Rolle?

...zum Beitrag

VPN einrichten mit 2 Routern hintereinander?

Hallo alle Zusammen,

ich habe hinter meiner Fritzbox 6690 meinen Asus ROG Rapture GT-AXE16000 Router verbunden.

Alle meine Geräte wie Webserver oder PC sind am Asus Router angeschlossen. Ich möchte nun einen WireGuard VPN einrichten womit ich im Mobilen Netz von mein Handy oder Laptop von außen auf mein lokales Netzwerk vom Asus Router zugreifen kann.

Als Public Adresse würde ich gern die MyFRITZ!-Adresse nutzen.

Ich kann zwar an der Fritzbox einen Wireguard VPN einrichten welcher auch funktioniert, aber mit diesen kann ich nicht auf die Lokalen Adressen vom Asus Router zugreifen, da sie nicht dem Schema 192.168.178.0 sondern 192.168.50.0 entsprechen.

Hier einmal ne Übersicht von meinen Netzwerk:

Im Asus Router kann man auch einen Wireguard VPN einrichten. Scheint aber nicht zu funktionieren, da wenn ich mich mit dem VPN verbinde die Internet Verbindung vom Gerät welches sich mit dem VPN verbindet weg ist. Außerdem weiß ich nicht welche IP ich als Tunnel IPv4 and / or IPv6 Address nutzen soll.

Vielleicht kennt sich jemand etwas besser aus und kann mir ein Tipp geben.
Ich vergebe auch Daumen und Hilfreichste Antwort :)

...zum Beitrag

Wireguard VPN automatisch Deaktivieren?

Hallo, ist das irgendwie möglich? Wenn ja wie?

Mit Automate habe ich es nicht geschafft😢

Vielen Dank

...zum Beitrag

? Wireguard VPN und Fritz-Phone App?

Hallo liebes Forum, habe folgendes Problem.

Ich muss wenn ich außer Haus bin VPN aktivieren. Was ich momentan mit Wireguard mache. Wenn VPN aktiv ist geht meine riolink-kamera Kamera nicht. Zumindest kann ich mich nicht mit ihr verbinden. Deshalb sollte dann irgendwie automatisch vpn deaktiviert werden wenn ich wieder im Haus oder in eigenen WLAN bin.

Ich habe es schon mit automate versucht das es kostenlos ist aber bekomme es nicht hin. Würde mich sehr über Hilfe freuen. Vielen Dank

Ich habe ein xioami redmi Note 11s

...zum Beitrag

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zum Beitrag

VPN-Tunnel im VPN-Tunnel. Wo ist der Exit-Point?

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zum Beitrag

Plesk und Website Zugriff über VPN?

Guten Tag, nachdem unser neuer Entwickler der bereits wieder aus dem Team geflogen ist da er misst gebaut hat und unsere Seiten zerstören möchte und sein Entwickeltes Tool zum Daten abgreifen benutzt hat und sich nun in einigen Team Seiten einloggen kann, möchte ich nun gerne etwas an der Sicherheit tun.

Ich habe Wireguard auf meinem Server installiert wo das passiert war und kann ich mit jedem Gerät jederzeit mit dem Server Verbinden so das die IP Adresse so wie die vom Server ist, nun wollte ich einmal nachfragen ob es irgendwie möglich ist das man dann nur Zugriff hat wenn man auch mit dem passenden VPN verbunden ist?

...zum Beitrag

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zum Beitrag

VirtualBox Funktionsweise bei laufender VPN Verbindung?

Moin.

Folgendes Szenario. Ein PC mit Windows 10 ist über LAN mit dem Internet verbunden. Und zwar per VPN über einen VPN Client, der unter Windows installiert ist. Der Internet Datenverkehr läuft somit über das Firmen Netzwerk.

Wenn ich jetzt gleichzeitig VirtualBox mit Ubuntu starte und über Ubuntu ins Internet über den selben LAN Anschluss des Computers gehe, über den auch die Windows 10 VPN Verbindung läuft, geht der Ubuntu Internet Datenverkehr dann auch automatisch über die VPN Verbindung bzw. über das Firmen Netzwerk oder läuft die Verbindung ganz normal privat über meinen Router bzw. meinen Internetanbieter?

Danke im voraus für eure Antworten.

...zum Beitrag

Vpn zum Subnetz. Portfreigabe?

Hi @all,

folgende Ausgangsbasis: habe hier ne ganz normale Kabelfritte mit der voreingestellten Standard 192.168.178.1. Mithilfe von Wireguard komme ich von aussen per VPN rein, funzt alles, bis auf das doofe ikea Gateway aber das nur nebenbei.

Jetzt habe ich mir ein kleines Heimtonstudio eingerichtet und dafür mittels eines TP Link Routers ein eigenes Netz 192.168.100.0 aufgespannt. Von dort komme ich auch wunderbar in das Frittennetz und auf die daran angeschlossenen Geräte (NAS, Drucker), wie komme ich aber auf das Subnetz? Muss ich da nicht im TP Ports freigeben und welche sind das und wie geht das?

Gruß

Jgobond

...zum Beitrag

Welcher Kabel Fritzbox Router unterstützt das Wireguard VPN Protokoll?

Will mir einen VPN auf meiner Fritzbox einrichten.

...zum Beitrag

Subnetting in proxmox?

Hey, ich habe folgendes Problem: Ich habe mir einen proxmox Server aufgesetzt. Mein Router (Fritz Box) vergibt den Adressbereich 192.168.178.20 bis 192.168.178.200. Um auf den Server bzw. dessen Web gui sicher zugreifen zu können war die Überlegung, das ich den Server selbst, bzw. einen Wireguard Container auf proxmox in ein eigenes Subnet verschiebe. Ich scheitere momentan daran, das subnet anständig aufzusetzen, da mein Router das entweder nicht unterstützt oder ich zu blöd bin alles richtig zu konfigurieren. Mein nächster Gedanke war dann, in proxmox ein Vlan zu erstellen und an die Linux Bridge anzuschließen. Die Bridge hat

diesen CIDR: 192.168.178.100/24

und dieses Gateway: 192.168.178.1

der Bridge Port ist: enp3s0 Vlan aware ist auch eingeschaltet.

Das Vlan ist folgendermaßen konfiguriert:

Vlan Tag: 10

Vlan raw device: enp3s0

ipv4/CIDR: 192.168.100.0/24

Die Netzwerkschnittstelle in der Wireguard Node ist folgendermaßen aufgesetzt:

bridge: vmbr0, vlan tag: 10, firewall: off, ipv4 static: ipv4/CIDR: 192.168.100.0/24, Gateway ipv4: 192.168.178.100

192.168.178.100 ist ausserdem die Server IP. Ich bekomme kein Internet in der Node momentan. Da das eines meiner ersten Networking Projekte ist kenne ich mich diesbezüglich leider nicht besonders gut aus bzw. bin am lernen. Ich will wenns geht auch keinen extra Router kaufen müssen. Wireguard über Routerfreigabe aufzusetzen war kein Problem, allerdings hätte ich, wie gesagt, den Server gerne nur aus dem VPN Subnet erreichbar.

...zum Beitrag

OPNSense OpenVPN | CA CRT und KEY Dateien erstellen... wie?

Moin Moin,

ich muss für meine Arbeit einen OpenVPN Server erstellen auf den sich dann Geräte der Marke Teltonika und InsysIcom verbinden. (Mobilfunkrouter)

Ziel ist es am ende mit Port-Weiterleitungen, die WebUIs der angeschlossenen Geräte zu erreichen.

Einen Wireguard Tunnel mit dieser Funktion habe ich schon realisiert.

(Tunnel-IP des Gerätes):(Eingestellter Port) --> Erreicht bestimmtes Gerät in dem Netzwerk des Routers.

Das ganze soll jetzt nur mit OpenVPN umgesetzt werden, da leider nicht alle Geräte die Wireguard funktion unterstützen vorallem diese InsysIcom nicht.

Jetzt ist dann nur die Frage wie ich das hinbekomme das ich von dem Server für jeden Client folgende Dateien erhalte:

CA.crt

Clientname.crt

.Key

Danke im vorraus

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen