Follow

Ok, I knew that the roundabout WireGuard VPN setup connecting to my home network from the outside works in principle, but I had quite a hard time setting up the second tunnel... Since I forgot about the config detail in OPNsense where you have to explicitly map peers to a local endpoint.

The whole thing is now a mess of policy routing and NAT, but that's mostly thanks to my overly complex network setup at home... In the long run I plan to replace the old Fortigate firewall by an OPNsense setup.

@galaxis Oh man, Firewall ersetzen. Ich habe hier ne pfSense laufen. Immer noch noch nicht auf 2.5.x … traue dem Laden einfach nicht mehr so recht. Würde gerne ne OPNsense haben, aber wie soll ich Zeit finden sowas zu migrieren? Die jetzige Firewall läuft halt auch direkt auf Blech und eigentlich will ich ungerne die FW virtualisieren…

@ices Ja, pfSense habe ich auch noch irgendwo am Start, die muss auch noch weg. Das war jetzt mehr mal so zum testen, wie ich mit OPNsense zurecht komme, und was sich so mit WireGuard machen lässt.
Bisher hatte ich für das VPN nach Hause die Fortigate genutzt, aber irgendwann wird's für die alte 80C keine Updates mehr geben, und dann will ich die eigentlich nicht mehr von außen erreichbar haben.

@galaxis Verständlich. Wireguard habe ich unter OpenBSD laufen. Läuft schnell und ich bin froh das nicht auch noch ändern zu müssen. Firewalls sind so komplex, da will ich eigentlich nicht umziehen mit… sind hier immerhin 6 VLANs, Zertifikate lass ich da auch noch mit erneuern. HA Proxy… ich denke ich sollte es so lange so laufen lassen wie es nur geht :( Bist du mit OPNsense zufrieden?

@ices Hab' ein bisschen gebraucht, um damit warm zu werden - aber bei welcher Firewall ist das nicht so. Mit einer Vorstellung, wie pf im Backend funktioniert, ist das für Firewall und NAT eigentlich alles ganz gut nachvollziehbar.
Ich hab' jetzt sonst allerdings außer Unbound und WireGuard noch keine zusätzlichen Services genutzt - für die beiden war die Konfiguration im Web UI ausreichend gut unterstützt, auch für verschiedenes Sondergebastel. Für meine Zwecke wird das wohl ok sein.

Sign in to participate in the conversation
INFRa Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!