Firewall juist instellen

[Tazmanian]

Ik heb op twee verschillende locaties Unifi draaien.

Locatie 1 heeft als IP 10.4.x.x
Locatie 2 heeft als IP 10.52.x.x

Soms zit ik op locatie 1 en benader ik locatie 2 via VPN (wireguard).
Maar als ik met de VPN verbonden ben kan ik geen lokale toestellen op locatie 1 meer bereiken. Wat moet er op de firewall worden toegevoegd om met het VPN ip adres toch nog toegang te hebben tot de toestellen op locatie 1 ?

 

[S1KRR]

kun je ze wel op IP pingen? Over het algemeen is dit een DNS issue. De DNS server die je van netwerk 1 DHCP krijgt, kan dan waarschijnlijk de namen voor netwerk 2 niet resolven. en vice versa.

 

[S1KRR]

DNS is UDP en TCP poort 53 overigens.

 

[Tazmanian]

Nee ik kan de IP dus ook niet pingen. Dus via het VPN netwerk is de toegang tot de actuele fysieke locatie afgesloten.

Om het even met een voorbeeld te maken.

Ik zit op locatie 1. De PC heeft als IP 10.52.0.120
Ik maak verbinding via Wireguard met locatie 2. Locatie 2 heeft als IP 10.4.0.x
Na activatie VPN heeft de PC het IP 10.4.10.10

Dankzij de VPN verbinding kan ik op locatie 2 alles benaderen.
Maar nu kan ik niet meer op de NAS welke de IP 10.52.0.100 heeft.

Als ik PING krijg ik een general failure en als ik het via de browser probeer te benaderen krijg ik de melding dat mijn toegang tot het internet wordt geblokkeerd. Maar ik kan alles op internet raadplegen, enkel dus de NAS op de fysieke locatie kan ik niet op.

 

[S1KRR]

Zit er ergens een setting "Allow Local LAN Access" op je VPN configuratie?

 

[Hofstede]

Is het alleen de NAS? Firewall instellingen van de NAS zelf gecontroleerd?
Wat gebeurt er bij een tracert naar de NAS?

 

[Tazmanian]

Nee het is geen enkel toestel op het lokale netwerk. Ook niet de Gateway, toestellen die ik kan pingen lukt niet meer zodra ik met de VPN verbonden ben.

Zowel op de lokale locatie als op de externe locatie staat een Unifi.

Het is op beide locatie.
Dus als ik op locatie 1 zit en ik leg een VPN met locatie 2 kan ik geen lokale toestellen meer van locatie1 bereiken.
Als ik op locatie 2 zit en ik leg een VPN met locatie 1 kan ik geen lokale toestellen meer van locatie 2 bereiken.

 

[Hofstede]

En de tracert?

 

[Tazmanian]

Met de VPN niet verbonden



Wel met de VPN verbonden

 

[Hofstede]

Lijkt er op dat jouw VPN alle verkeer naar buiten stuurt. Je moet de instelling voor AllowedIPS in de configuratie file voor de client zo aanpassen dat lokale IP's niet de kant van de VPN op gaan. Dat kun je niet met een firewall regel oplossen.

Hoe heb je de wireguard client precies geconfigureerd?

 

[Tazmanian]

Dit is de configuratie. Bij de toegestane ip heb ik het lokale netwerk zelf toegevoegd.

 

[unifi-gandalf]

Niet kunnen pingen op IP adres van het ene netwerk naar het andere netwerk is geen DNS-issue, maar een routeringsissue.
Waarschijnlijk staat er op jouw VPN verbinding ingesteld "Use default gateway on remote network". Als je ook je lokale netwerk wilt kunnen benaderen, dient dit uit te staan.

 

[Tazmanian]

En waar kan ik die instelling dan vinden? Op de unifi wireguard setup zie ik nergens zo'n optie.

 

[Tazmanian]

Ik heb het ondertussen werkend gekregen.

Bij de Allowed IP's heb ik 0.0.0.0/0 verwijderd en vervolgens 10.4.0.1/24 toegevoegd, dat is het IP van het remote netwerk.
Nu kan ik dus zowel het locale als remote netwerk benaderen.