jean/docu
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

WG-Subnetze trennen: VM nur 10.2.2/24, OPNsense 10.100.2/24.

Browse Source 
10.2.0.0/16 und Legacy-Netze vom VM-Peer entfernt; 10.2.2.0/24
nicht mehr beim OPNsense-Peer auf Horus.

Co-authored-by: Cursor <cursoragent@cursor.com>
This commit is contained in:
root
2026-06-28 13:22:26 +02:00
parent 26dcf96475
commit 98d41347ab
4 changed files with 20 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files
shared/horus-opnsense-wireguard/README.md
+17 -8
View File
@@ -6,10 +6,22 @@ Direkter WireGuard-Tunnel zwischen **OPNsense** (lokales Netz) und **Horus** (VP
|---|---|
| **Horus** | `horus.jeanavril.com` / `207.180.222.207`, WG-Port **61951**, Tunnel-IP **10.1.1.1** |
| **OPNsense** | Tunnel-IP **10.1.1.22** (Peer `opnsense-jeanavril`) |
| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`) |
| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`)**eigener Tunnel**, bleibt |
Configs inkl. Private Keys: **privates Repo** — siehe Dateien in diesem Ordner.
## Subnetz-Aufteilung (kein Teilen zwischen Peers)
| Netz | Horus-Peer | Wer routet |
|------|------------|------------|
| `10.1.1.5/32` | VM | VM-WG-Tunnel |
| **`10.2.2.0/24`** (docbr0) | **VM** | VM → docbr0; OPNsense nur `→ 192.168.10.10` im LAN |
| `10.1.1.22/32` | OPNsense | OPNsense-WG-Tunnel |
| `10.100.2.0/24` (Services pve2) | OPNsense | OPNsense opt7 |
| `192.168.1060.0/24` (VLANs) | OPNsense | OPNsense (ggf. NAT statt Export) |
**Nicht:** `10.2.0.0/16` auf VM-Peer — war zu groß; nur **`10.2.2.0/24`**.
| Datei | Inhalt |
|-------|--------|
| [opnsense-client.conf](opnsense-client.conf) | OPNsense Client (Private Key, PSK, Endpoint) |
@@ -122,16 +134,13 @@ Falsch (beobachtet): Hop 2 = `192.168.178.1` — Traffic geht zur alten Fritz/VM
**Firewall:** VLAN20 → Destination `10.1.1.0/24` → Pass.
## VM 101 (optional später)
## VM 101 — eigener Tunnel (bleibt)
VM 101 nutzt **10.1.1.5** ([vm101-client.conf](vm101-client.conf)) und advertised u.a. `10.2.0.0/16` an Horus.
VM 101 behält **eigenes** WireGuard zu Horus (`10.1.1.5`) — für Cert-Rsync, SSH, Automation.
Wenn OPNsense stabil läuft:
Horus `AllowedIPs` VM-Peer: **`10.1.1.5/32`, `10.2.2.0/24` only** — siehe [horus-server-peer-vm101.conf](horus-server-peer-vm101.conf).
1. **Horus:** beim Peer `server5` LAN-Routen aus `AllowedIPs` entfernen — nur `10.1.1.5/32` behalten.
2. **VM:** `wg0` abschalten, wenn Cert-Sync angepasst ist.
Nicht beides parallel dieselben Subnetze an Horus announcen.
Wenn OPNsense stabil läuft: **kein** Abschalten der VM-WG nötig. Nur **keine überlappenden Subnetze** zwischen VM- und OPNsense-Peer auf Horus.
## Referenzen
shared/horus-opnsense-wireguard/horus-server-peer-opnsense.conf
+1 -1
View File
@@ -2,4 +2,4 @@
[Peer]
PublicKey = walbWTYXAGOD1mOxPK+NwKT6qUhLyY0qieWBeTIbdXU=
PresharedKey = z4VXyOG41/+4JbiUdkb055Bpyxlte+ecW7Bzdvb1s+w=
AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.2.2.0/24
AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.100.2.0/24
shared/horus-opnsense-wireguard/horus-server-peer-vm101.conf
+1 -1
View File
@@ -2,4 +2,4 @@
[Peer]
PublicKey = VB3Cf8kDxpzO+FyMrLxPyJ0vUjm8yJ/qIKmhY2KeeyI=
PresharedKey = xeXr67LSX7phEAAz6U+D+UhIFoLEvcSLs8qFu2/L4Cs=
AllowedIPs = 10.1.1.5/32, 192.168.2.0/24, 192.168.178.0/24, 10.1.2.0/24, 10.2.0.0/16
AllowedIPs = 10.1.1.5/32, 10.2.2.0/24
shared/horus-opnsense-wireguard/wg0-opnsense-routes.sh
+1 -1
View File
@@ -7,6 +7,6 @@ for net in \
10.1.1.22/32 \
192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 \
192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 \
10.2.2.0/24; do
10.100.2.0/24; do
ip route replace "$net" dev wg0
done