Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 4 subscribers
  • Views 10648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

wireguard über UTM

Stefan Schinzel

Hallo,

ein Host im öffentlichen Inet, ein anderer hinter der UTM. Beide hosts sind über IPv6 gegenseitig erreichbar, es kann bidirektional z.B. ein ssh gemacht werden. Nun soll ein wireguard Tunnel zwischen diesen beiden hosts etabliert werden und die Probleme fangen an.

Es ist im Logging kein einziges Paket zu sehen dass den Verbindungsaufbau oder Versuch anzeigt, egal ob nach der externen, internen IP oder dem genutzten Port gesucht wird!

Testweise wurde versucht das ganze auch über IPv4 zu realisieren, der Tunnel wird aufgebaut wenn man eine NAT Rule mit automatischer FW-Regelerstellung einbaut, ABER auch hier kein einziges Paket bzgl. des Tunnels zu sehen obwohl die Logging Option gewählt wurde.

Erzeugt man eine Kopie der oben automatisch erstellten Firewallregel und entfernt beim NAT-Eintrag die automatische Erzeugung der Regel, dann ist der Tunnel sofort tot. Abermals keinerlei Eintrag im Log.

Irgendwie werde ich den Eindruck nicht los dass meine UTM nicht alles anzeigt.

 

Werden da noch zusätzliche Regeln erzeugt und nicht angezeigt?

Warum bekomme ich gar nichts bzgl. dieser Verbindung im Log angezeigt?

Warum geht das nur im automatischen Modus?

Und warum geht das mit IPv6 gar nicht?

 

Hmmm, vielleicht hat ja jemand eine Idee dazu, danke und Grüße,

Stefan



This thread was automatically locked due to age.
  • 0

    Hallo Stefan,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Edit the automatically created rule 21 to have allowed packets logged - do you then see the traffic?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    erster Schritt.

    Das Logging in der auto-rule aktiviert. anbei die Einstellungen:

    rule #21:

     

    NAT out:

    NAT in:

     

    Ausgabe im LOG:

     

    Ein 'ping -6 ff02::1%wg_interface'

    liefert von beiden endpoints antworten -> Tunnel steht, Daten fliessen,

    Ein 'wg show' zeigt alle ~2 Minuten einen sync.

    Warum syncs nicht korrelierend angezeigt werden (gleicher Zeitstempel im LOG), kann ich nicht sagen, ich weiss nicht

    wie wireguard intern arbeitet - komisch ist das aber, zumindest nicht so zu erwarten, egal es geht ja um was anderes.

     

    -- weiter im nächsten Post - muss umbauen --

    Gruß,

    Stefan

  • 0 in reply to Stefan Schinzel

    Schritt zwei:

     

    Es wurde die automatische Firewallregel deaktiviert.

    Dafür aber eine manuelle Regel, an der Top-Position eingefügt mit exakt den gleichen Angeben die bei einer automatischen Regel angezeigt wurden.

    Und schon baut sich der Tunnel nicht mehr auf.

    Man sieht zwar über die initial Pakete aus der NAT Regel die Verbindungsversuche aber weiter nichts, auch keine gedroppten Pakete.

    Das muss bedeuten dass die automatische Regelerstellung mehr veranlasst als eine Regel zu erstellen!

    Wo kann man das sehen und vor allem WAS passiert hier noch zusätzlich.

    Das eigentliche Ziel wäre ja ein Tunnel über IPv6 aber da liefert mir die Sophos auch keine Informationen, alles was ich sehe ist dass der Tunnel nicht etabliert wird.

     

    Gruß,

    Stefan

  • 0 in reply to Stefan Schinzel

    <OT>

    Echt peinlich dass keiner der Sophos-Mitarbeiter auch einen einzigen Buchstaben dazu verliert. Es geht hier nicht um eine Home-Geschichte.

    Aber vmtl. hat man mehr mit dem Brexit zu tun als sich um seine Produkte/Kunden zu kümmern.

    Daraus folgt für den Kunden wenn man sich sowieso selbst und mit Hilfe anderer Kunden helfen muss, wieso sollte man

    dann auch nur einen einzigen Cent in Support investieren....

    </OTG>

  • 0

    Hallo Stefan,

    ich kann Dir zwar nicht wirklich eine Lösung anbieten, aber zumindest kann ich Dir sagen dass ich ein sehr ähnliches Problem habe.

    In meinem Fall verhält es sich so dass die 2 OPNSensen per IP4 kommunizieren und nicht per IP6.

    Auch hier ist eine der OPNSensen hinter einer UTM.

    Hier verhält es sich so dass nach der Zwangstrennung der Tunnel nicht mehr hochkommt. Ein Neustart des Wirguard Dienstes auf den OPNSense FW's, Reboot der OPNSense FW's und, und, und hat nicht gebracht. Erst wenn man die Sophos neu startet kommt der Tunnel sofort hoch.

    In unserem Fall erfolgt die Zwangstrennung um 3:00 Uhr Nachts, um 5:30 wird die Sophos neu gestartet und sofort ist der Tunnel da.

    Hast Du mal versucht die Sophos neu zu starten, vielleicht bringt's ja was. Als Workaround wird die Sophos jetzt jeden Tag um 5:30 neu gestartet.

  • 0 in reply to Juergen Roeck

    Hallo Juergen,

     

    danke für die Idee, das Gerät wird nicht an einem "Zwangstrennungs"-Anschluss betrieben. Da wären ein paar Leute sauer wenn wegen einem Neustart deren Scipte nicht durchlaufen ;-)

    Mittlerweile in 2020 angekommen ist auch nicht mehr gewährleistet natives IPv4 ohne NAT Krücken zur Verfügung zu haben, also ist IPv6 PFLICHT!

    Vielleicht mal die Finger von dem Cloud-Gedöns weglassen und grundlegende Dinge umsetzten.

    Mir stink es nur das seitenes Sophos gar keine Reaktion ergfolgt - seit 3 Monaten - wie bereits erwähnt verdächtige ich ein buggy Logging und/oder die Kiste macht irgendwas undokumentiertes - beides nicht toll für ein komerzielles Produkt.

    <general bashing>Aber das scheint ja mittlerweile zum guten Ton großer Soft-/ und Hardwarehäuser zu gehören nach dem Geldeingang zu verstummen .... schlechtes Netz in der Karibik?</general bashing>

     

    Danke und Gruß,

    Stefan

Unfiltered HTML