Unterstützung bei Konfiguration des Netzwerks benötigt (Proxmox+OPNsense+VPN)

[Spike S.]

Ich habe einen Proxmox vServer bei einem Hoster, darin eine VM mit OPNsense und ein paar Linux Container. Zusätzlich läuft auf OPNsense ein Wireguard VPN. Ich bin kein Netzwerker, habe nur Basiswissen. Durch Trial-and-Error komme ich nicht weiter. Mein Vorgehen bzw. Wunsch-Netwerk-Topologie basiert im Wesentlichen auf dieser Anleitung.

Mein Problem ist, ich schaffe es nicht das sich alle privaten Teilnehmer (lokal 10.73.0.0/16 und VPN 10.73.1.0/24) untereinander über IPv4 und IPv6 anpingen können. Durch meine Versuche geht mal das eine, dann wieder das andere, wobei mir dann auch nicht wirklich klar ist, warum und wieso.
Ich habe eine kleine Skizze angefertigt, wobei ich auf die meisten Pfeile verzichtet habe, weil ich mir gar nicht sicher bin, ob das tatsächlich so ist, wie ich mir das vorstelle.

Aktuell klappt der Ping 10.73.0.2 <--> 10.73.1.2, jedoch nicht fc00:10:73::2 <-|-> fc00:10:73:1::2. Dabei habe ich beim Client 10.73.0.2 folgende Route eingerichtet:
route add 10.73.1.0/24 via 10.73.0.1 dev vmbr2

Das Gleiche mit IPv6 funktioniert nicht:
route -6 add fc00:10:73:1::/64 via fc00:10:73::1 dev vmbr2

In OPNsense ist keinerlei NAT von mir eingerichtet, weitere Routen bringen bisher nix. Ansonsten ist da nur noch eine Firewallregel, die den IPv4+6 ICMP Verkehr im LAN zulässt.

Ich hoffe ihr könnt mir etwas helfen, die privaten Netze miteinander zu verbinden und ggfs. Denkfehler oder Gefahrenquellen auszuräumen. Unsicherheit hat auch eine Beobachtung neulich gebracht, das beim Natting von draußen auf em0 von OPNsense vielleicht etwas nicht passt: Nach aktivieren von "Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle" in den erweiterten Einstellungen, hat die Firewall plötzlich alles durchgewunken.

 

[gaym0r]

10.73.0.0/16 und 10.73.1.0/24 beißen sich doch?

 

[Spike S.]

Wegen der Netzmasken? Dachte ich zuletzt auch, aber irgendwie funktioniert es

 

[DarkAngel2401]

Schau dir doch mal die Logs auf dem OPNsense an, sehr wahrscheinlich wird der die ICMP Pakete droppen - oder evtl. auch das Echo reply.
So siehst du auch gleich, ob überhaupt was ankommt. Routen zwischen den ULA-Subnetzen muss ja der.

 

[Spike S.]

Ich habe das jetzt nochmal geprüft. Eigentlich war ich mir sicher, das die Request und Response Pakete auftauchen, hatte ich zumindest bei meinem vorletzten Versuch. Aktuell sind nur Request Pakete zu sehen.
Das bedeutet doch, das das Routing nicht passt, richtig?

Habe auch gleich nochmal etwas ausprobiert, erstmal nur von einem Host. Ausgangspunkt ist der Client fc00:10:73::2, welcher fc00:10:73:1::2 erreichen will.

1. Bei einem ip -6 route add fc00:10:73:1::/64 dev vmbr2 kommt nix durch
2. Bei ip -6 route add fc00:10:73:1::/64 via fc00:10:73::1 dev vmbr2 bekomme ich immerhin vom Gateway (fc00:10:73:1::1) aus dem VPN Netz eine Antwort. Beim Ping zum Client fc00:10:73:1::2 wird das Hop Limit erreicht
3. Bei ip -6 route add fc00:10:73:1::1 via fc00:10:73::1 dev vmbr2 und anschließendem ip -6 route add fc00:10:73:1::/64 via fc00:10:73:1::1 dev vmbr2 kommt nur "No route to host"