WG-Subnetze trennen: VM nur 10.2.2/24, OPNsense 10.100.2/24.

10.2.0.0/16 und Legacy-Netze vom VM-Peer entfernt; 10.2.2.0/24 nicht mehr beim OPNsense-Peer auf Horus. Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-28 13:22:26 +02:00
parent 26dcf96475
commit 98d41347ab
4 changed files with 20 additions and 11 deletions
@@ -6,10 +6,22 @@ Direkter WireGuard-Tunnel zwischen **OPNsense** (lokales Netz) und **Horus** (VP
 |---|---|
 | **Horus** | `horus.jeanavril.com` / `207.180.222.207`, WG-Port **61951**, Tunnel-IP **10.1.1.1** |
 | **OPNsense** | Tunnel-IP **10.1.1.22** (Peer `opnsense-jeanavril`) |
-| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`) |
+| **VM 101** (legacy) | Tunnel-IP **10.1.1.5** (Peer `server5`) — **eigener Tunnel**, bleibt |
 Configs inkl. Private Keys: **privates Repo** — siehe Dateien in diesem Ordner.
 ## Subnetz-Aufteilung (kein Teilen zwischen Peers)
 | Netz | Horus-Peer | Wer routet |
 |------|------------|------------|
 | `10.1.1.5/32` | VM | VM-WG-Tunnel |
 | **`10.2.2.0/24`** (docbr0) | **VM** | VM → docbr0; OPNsense nur `→ 192.168.10.10` im LAN |
 | `10.1.1.22/32` | OPNsense | OPNsense-WG-Tunnel |
 | `10.100.2.0/24` (Services pve2) | OPNsense | OPNsense opt7 |
 | `192.168.10–60.0/24` (VLANs) | OPNsense | OPNsense (ggf. NAT statt Export) |
 **Nicht:** `10.2.0.0/16` auf VM-Peer — war zu groß; nur **`10.2.2.0/24`**.
 | Datei | Inhalt |
 |-------|--------|
 | [opnsense-client.conf](opnsense-client.conf) | OPNsense Client (Private Key, PSK, Endpoint) |
@@ -122,16 +134,13 @@ Falsch (beobachtet): Hop 2 = `192.168.178.1` — Traffic geht zur alten Fritz/VM
 **Firewall:** VLAN20 → Destination `10.1.1.0/24` → Pass.
-## VM 101 (optional später)
+## VM 101 — eigener Tunnel (bleibt)
-VM 101 nutzt **10.1.1.5** ([vm101-client.conf](vm101-client.conf)) und advertised u.a. `10.2.0.0/16` an Horus.
+VM 101 behält **eigenes** WireGuard zu Horus (`10.1.1.5`) — für Cert-Rsync, SSH, Automation.
-Wenn OPNsense stabil läuft:
+Horus `AllowedIPs` VM-Peer: **`10.1.1.5/32`, `10.2.2.0/24` only** — siehe [horus-server-peer-vm101.conf](horus-server-peer-vm101.conf).
-1. **Horus:** beim Peer `server5` LAN-Routen aus `AllowedIPs` entfernen — nur `10.1.1.5/32` behalten.
+Wenn OPNsense stabil läuft: **kein** Abschalten der VM-WG nötig. Nur **keine überlappenden Subnetze** zwischen VM- und OPNsense-Peer auf Horus.
 2. **VM:** `wg0` abschalten, wenn Cert-Sync angepasst ist.
 Nicht beides parallel dieselben Subnetze an Horus announcen.
 ## Referenzen
@@ -2,4 +2,4 @@
 [Peer]
 PublicKey = walbWTYXAGOD1mOxPK+NwKT6qUhLyY0qieWBeTIbdXU=
 PresharedKey = z4VXyOG41/+4JbiUdkb055Bpyxlte+ecW7Bzdvb1s+w=
-AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.2.2.0/24
+AllowedIPs = 10.1.1.22/32, 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24, 192.168.60.0/24, 10.100.2.0/24
@@ -2,4 +2,4 @@
 [Peer]
 PublicKey = VB3Cf8kDxpzO+FyMrLxPyJ0vUjm8yJ/qIKmhY2KeeyI=
 PresharedKey = xeXr67LSX7phEAAz6U+D+UhIFoLEvcSLs8qFu2/L4Cs=
-AllowedIPs = 10.1.1.5/32, 192.168.2.0/24, 192.168.178.0/24, 10.1.2.0/24, 10.2.0.0/16
+AllowedIPs = 10.1.1.5/32, 10.2.2.0/24
@@ -7,6 +7,6 @@ for net in \
  10.1.1.22/32 \
  192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 \
  192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 \
-  10.2.2.0/24; do
+  10.100.2.0/24; do
  ip route replace "$net" dev wg0
 done