WireGuard VPN werkt niet achter KPN Box 12, poort 51820 gesloten

Vraag 1: Nee, je hebt een eigen IP-adres en kunt gewoon poorten forwarden (IP is wel dynamisch, maar in de praktijk verandert deze bijna nooit.)

Vraag 2: Je hebt een eigen IP-adres en kunt ook voor Wireguard poorten forwarden.

Vraag 3: Tailscale is makkelijker te installeren (zonder forwarden), maar het is wel een toepassing van derden (gratis).
 

Wireguard reageert hier niet op, zodat het lijkt alsof er niets openstaat. Dit is correct.

Als de client wél handshake doet, dan is de forwarding en de UDP-verbinding prima. Het probleem zit dan meestal in de NAT/Firewall van OPNsense

Ik heb ook Wireguard op Opnense achter de Experiabox v10. Werkt gewoon.

Probeer Te pingen. Bijvoorbeeld naar 8.8.8.8. Lukt dat?

Dat klopt. Dat hoort zo. Een UDP poort kan je niet checken met een online poortscanner. 

Nee.

Ja uiteraard. 

Ik krijg Linux-Opnsense met geen mogelijkheid voor elkaar. Handshake ja, communicatie nee.

Direct verbonden...

Ik moet later verder kijken….

DNS server goed ingesteld? 

Hartikke bedankt voor jullie reacties hieronder heb ik een documentatie gemaakt met wat ik gedaan heb. 

2. Systeemoverzicht

• VPN-protocol: WireGuard
   
• Server OS: OPNsense (Router)
   
• IP-schema VPN: 172.16.0.0/24
   
• WAN IP: 192.168.2.65

• Public IP: Dynamisch
   
• LAN IP: 192.168.2.12

2.1 interfaces

.1 WireGuard instances

4.2voorbeeld WireGuard Peer instellingen

[Interface]

PrivateKey = ********************************

Address = 172.16.0.4/32

DNS = 8.8.8.8

[Peer]

PublicKey = *****************************

Endpoint = 77.165.129.183:51820

AllowedIPs = 0.0.0.0/0,::/0

​@Marlon92 

dit komt er uit de ping. 

En nu opeens wilt hij de handshake ook niet meer doen, De public IP klopt nog wel.

Op een of andere manier werkt het nu wel van Linux naar OPNsense. Of een stommiteit van mij of de laatste OPNsense update naar 25.7.2., ik hou het maar op het eerste.

Test

Fedora VM → Proton VPN → Proton IP/Internet → Box 10 nieuwe firmare → OPNsense → Box 10 → Internet

 Wireguard -------------------------------------------------------- --------Wireguard.

Dus: simulatie externe verbinding VPN in VPN.

Je kunt in OPNsense met “tcpdump -ni <WAN interface> port 51820 kijken of er wat binnenkomt.

51820/UDP open op Wan interface ? 

Ik heb hier zelf helaas geen verstand van, anders had ik je met liefde geholpen. Maar hopelijk kom je er met de tips van de community toch nog uit!

Hoe staat je firewall van de KPN box ingesteld ? 
Kan je deze eens op low zetten ?

​@bnh  Ik heb zelf ook zitten kijken ik heb  de firewall aangepast met deze regel. 

Maar ik denk ook dat dit er wat mee te maken heb ik weet alleen niet of het een probleem kan zijn. zie hieronder de netwerk tekening. 

Kan je eens de Firewall op low zetten ​@Tycho Van Kouteren, je hebt kans namelijk dat je uitgaande verbinding geblokkeerd wordt op de KPN Box. Recentelijk door de laagste updates blokkeren ze de uitgaande verbindingen ook, als je hem op low/uit zet, en dan ff testen.

Ik heb Wireguard geïnstalleerd op een Raspberry PI met de firewall op middel en deze portforward en dit werkt prima op mijn box 12.

 

Kan je ook eens je tunnel adres aanpassen naar: 172.16.0.1/24
Je hebt je tunnel adres een heel subnet gegeven, zover ik aan de hand van jouw gegeven kan zien. Ik denk dat dit je probleem is.

En dan ook je client gegevens updaten voor de test:

Bijvoorbeeld:

[Interface]
PrivateKey = <client-private-key>
Address = 172.16.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = <server-public-key>
Endpoint = 77.165.129.183:51820
AllowedIPs = 0.0.0.0/0
 

​@bnh Het tunneladres is goed zo. Je moet wel een subnet aangeven, zodat OPNsense weet welke IP-adressen het aan de peers kan toewijzen.

Ik lees verschillende opties bij OPNsense.
Zou je toch eens kunnen proberen het door mij gegeven tunnel adres te testen ​@Tycho Van Kouteren ?

Ik snap de netwerk layout niet. Dus de KPN router is met een PC verbonden, waar ineens twee verbindingen naar toe lopen vanuit OPNsense. Is OPNsense een virtuele machine? 

De WAN en LAN kant van OPNsense mogen nooit in hetzelfde subnet liggen, anders krijg je routing problemen. OPNsense is een router, dus je komt met het ene subnet binnen en gaat er met een andere subnet uit, waarbij port forwarding ervoor zorgt dat het hele LAN subnet op het WAN adres gemapped wordt. 

Zojuist IPhone geprobeerd, foto maken van de QR code en het werkt. DNS is wel een punt, je moet de wg0 interface aan een OPNsense Interface toewijzen. die je dan aan de dienstdoende DNS server kunt toewijzen. Of in deze constructie gewoon 192.168.2.254 gebruiken. 

In de OPNsense console: inloggen als root met bijbehorend password, optie 8 → Shell.

Commando “wg” geeft de status weer.  

Voorbeelden van verkeer opgepikt met tcpdump in de OPNsense console 

em1 is bij mij de WAN poort. Handshake van iPhone

ping van telefoon naar 1.1.1.1. Communicatie tussen Wireguard peer (27139) en server(51820)

Versleuteld verkeer op de wg0 interface