diff --git a/shared/horus-opnsense-wireguard/README.md b/shared/horus-opnsense-wireguard/README.md index 2245c38..1d2de0a 100644 --- a/shared/horus-opnsense-wireguard/README.md +++ b/shared/horus-opnsense-wireguard/README.md @@ -6,10 +6,22 @@ Direkter WireGuard-Tunnel zwischen **OPNsense** (lokales Netz) und **Horus** (VP |---|---| | **Horus** | `horus.jeanavril.com` / `207.180.222.207`, WG-Port **61951**, Tunnel-IP **10.1.1.1** | | **OPNsense** | Tunnel-IP **10.1.1.22** (Peer `opnsense-jeanavril`) | -| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`) | +| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`) — **eigener Tunnel**, bleibt | Configs inkl. Private Keys: **privates Repo** — siehe Dateien in diesem Ordner. +## Subnetz-Aufteilung (kein Teilen zwischen Peers) + +| Netz | Horus-Peer | Wer routet | +|------|------------|------------| +| `10.1.1.5/32` | VM | VM-WG-Tunnel | +| **`10.2.2.0/24`** (docbr0) | **VM** | VM → docbr0; OPNsense nur `→ 192.168.10.10` im LAN | +| `10.1.1.22/32` | OPNsense | OPNsense-WG-Tunnel | +| `10.100.2.0/24` (Services pve2) | OPNsense | OPNsense opt7 | +| `192.168.10–60.0/24` (VLANs) | OPNsense | OPNsense (ggf. NAT statt Export) | + +**Nicht:** `10.2.0.0/16` auf VM-Peer — war zu groß; nur **`10.2.2.0/24`**. + | Datei | Inhalt | |-------|--------| | [opnsense-client.conf](opnsense-client.conf) | OPNsense Client (Private Key, PSK, Endpoint) | @@ -122,16 +134,13 @@ Falsch (beobachtet): Hop 2 = `192.168.178.1` — Traffic geht zur alten Fritz/VM **Firewall:** VLAN20 → Destination `10.1.1.0/24` → Pass. -## VM 101 (optional später) +## VM 101 — eigener Tunnel (bleibt) -VM 101 nutzt **10.1.1.5** ([vm101-client.conf](vm101-client.conf)) und advertised u.a. `10.2.0.0/16` an Horus. +VM 101 behält **eigenes** WireGuard zu Horus (`10.1.1.5`) — für Cert-Rsync, SSH, Automation. -Wenn OPNsense stabil läuft: +Horus `AllowedIPs` VM-Peer: **`10.1.1.5/32`, `10.2.2.0/24` only** — siehe [horus-server-peer-vm101.conf](horus-server-peer-vm101.conf). -1. **Horus:** beim Peer `server5` LAN-Routen aus `AllowedIPs` entfernen — nur `10.1.1.5/32` behalten. -2. **VM:** `wg0` abschalten, wenn Cert-Sync angepasst ist. - -Nicht beides parallel dieselben Subnetze an Horus announcen. +Wenn OPNsense stabil läuft: **kein** Abschalten der VM-WG nötig. Nur **keine überlappenden Subnetze** zwischen VM- und OPNsense-Peer auf Horus. ## Referenzen diff --git a/shared/horus-opnsense-wireguard/horus-server-peer-opnsense.conf b/shared/horus-opnsense-wireguard/horus-server-peer-opnsense.conf index 7ca9557..7c3e69e 100644 --- a/shared/horus-opnsense-wireguard/horus-server-peer-opnsense.conf +++ b/shared/horus-opnsense-wireguard/horus-server-peer-opnsense.conf @@ -2,4 +2,4 @@ [Peer] PublicKey = walbWTYXAGOD1mOxPK+NwKT6qUhLyY0qieWBeTIbdXU= PresharedKey = z4VXyOG41/+4JbiUdkb055Bpyxlte+ecW7Bzdvb1s+w= -AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.2.2.0/24 +AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.100.2.0/24 diff --git a/shared/horus-opnsense-wireguard/horus-server-peer-vm101.conf b/shared/horus-opnsense-wireguard/horus-server-peer-vm101.conf index 2cff555..eb1d23f 100644 --- a/shared/horus-opnsense-wireguard/horus-server-peer-vm101.conf +++ b/shared/horus-opnsense-wireguard/horus-server-peer-vm101.conf @@ -2,4 +2,4 @@ [Peer] PublicKey = VB3Cf8kDxpzO+FyMrLxPyJ0vUjm8yJ/qIKmhY2KeeyI= PresharedKey = xeXr67LSX7phEAAz6U+D+UhIFoLEvcSLs8qFu2/L4Cs= -AllowedIPs = 10.1.1.5/32, 192.168.2.0/24, 192.168.178.0/24, 10.1.2.0/24, 10.2.0.0/16 +AllowedIPs = 10.1.1.5/32, 10.2.2.0/24 diff --git a/shared/horus-opnsense-wireguard/wg0-opnsense-routes.sh b/shared/horus-opnsense-wireguard/wg0-opnsense-routes.sh index 8d1000d..8a2c270 100644 --- a/shared/horus-opnsense-wireguard/wg0-opnsense-routes.sh +++ b/shared/horus-opnsense-wireguard/wg0-opnsense-routes.sh @@ -7,6 +7,6 @@ for net in \ 10.1.1.22/32 \ 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 \ 192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 \ - 10.2.2.0/24; do + 10.100.2.0/24; do ip route replace "$net" dev wg0 done