Vor etwa einem Jahr wollte ich einmal einen VPN-Tunnel zwischen einer OPNSense Firewall und einer Fritzbox herstellen. Ich aktivierte das Wireguard in der Fritzbox, kopierte die ganzen Keys zwanzig mal hin und her und es funktionierte einfach nicht! Ich verzweifelte, schob es auf die Fritzbox und ignorierte das Thema.

Wenige Monate später, ich starte einen neuen Versuch. Diesmal kaufte ich so einen kleinen VPN-Würfel von GL.inet. Tolles Ding. Einfach so ein sehr handschmeichlerischer Alu-Block. Ich liebe es. Nach der Einrichtung allerdings das gleiche. Die Geräte hinter der Firewall kamen einfach nicht durch das VPN durch. OPNSense zeigte auch an, dass das Gateway nicht erreichbar ist. Ich verzweifelte.

Die gleiche Konfiguration mit dem Wireguard-Zugang zu Mullvad funktionierte problemlos. Wenn ich mit meinem Handy und der Wireguard-App darauf zugriff, klappte es auch ohne Mucken. Woran liegt es nur?

Irgendwann fiel mir in der Konfiguration dann auf, dass es eine Checkbox gibt, die den Geräten im VPN erlaubt auf Geräte innerhalb des Netzwerks zuzugreifen. Ich aktivierte ihn und schwupps, es funktionierte. Meine Güte. Das Problem war die ganze Zeit, dass die Geräte im VPN, zumindest wenn es über die Firewall ging nicht auf 10.10.0.1 als Gateway zugreifen konnten, weil der Haken in der Wireguard-Konfiguration nicht gesetzt war. Aah.

Ich erinnerte mich, dass es eine ähnliche Checkbox auch bei der Fritzbox-Konfiguration gab. Ahhh. Ich klickte ihn immer nicht an, weil ich dachte, ich brauche keinen Zugriff auf Geräte im Netzwerk, ich wollte den Wireguard-Endpunkt ja quasi nur als Exit-Node benutzen. Dass das Gateway direkt auch als “Gerät im Netzwerk” gilt, wer hätte das denn gedacht.

Naja. Wie auch immer. Jetzt funktioniert alles. Nach nur einem Jahr! Im Grunde könnte ich das GL.inet-Ding auch zurückschicken, es müsste ja, mit dem richtigen Haken, auch mit der Fritzbox gehen. Aber es ist auch so niedlich!