Bonjour à tous,
 
J'ai configuré deux sites opnsense avec Wireguard avec des adresses LAN distinctes 192.168.0.0/24 (site A) et 192.168.10.0/24 (site B).
 
Les pairs se font correctement des deux cotés. La "poignée de main" se fait des deux cotés. Cependant, les postes du site B arrivent à voir les postes du site A, mais les postes du site A n'arrivent pas à épingler ceux du site B. Pourtant, j'ai les mêmes règles de pare-feu de part et d'autres.
 
Une configuration Client-serveur sur le site B fonctionne pourtant.
 
Il y a sûrement un truc qui cloche. Mais je n'arrive pas à voir quoi ? Une idée ?
 
Cordialement.

parfeu windows ?
ping ok via nom ? via IP ?

Le ping du wireguard B à partir du site A ne donne rien. Le ping du wireguard A à partir du site B fonctionne.
 
Le parefeu des machines windows n'est pas activé
 
Sinon :
 
Wireguard site A : 192.168.0.1
Wireguard site B : 192.168.10.254
 
Un tracert 192.168.0.1 du site B au site A renvoie :
   1 <1ms <1ms <1ms 192.168.10.254
   2 2ms 2ms 2ms 192.168.0.1
 
 
Pourtant :
 
Un tracert 192.268.10.254 du site A vers le site B renvoie
  1 <1ms <1ms <1ms 192.168.0.1
   2 <1ms <1ms <1ms LIVEBOX [192.168.3.1]
   3 * * * Requête expirée.
 
 
192.168.3.1 est l'adresse IP locale de la box du fournisseur d'accès Internet sur le site A
 
 
On voit bien que le paquet s'arrête sur la patte WAN du Wireguard du site A. Quelle pourrait être la cause selon vous ?
 
Cordialement.

tu as vérifié tes tables de routage des deux côtés ?
 
Le fait que ton traceroute parte vers la Box au lieu de ta destination attendue met la puce à l'oreille...

+1, ta conf wireguard doit pas être bonne, le trafic ne part vers ton tunnel

+1 pour la table de routage, je me suis fait avoir aussi. Et +1 également pour le AllowedIPs.

Et si c'est la box qui est censée rediriger le trafic, il faut qu'elle supporte les routes statiques... sinon il faudra l'annoncer par le DHCP pour l'avoir sur les postes directement (option 121).

Bonjour,
 
Merci, vos interrogations m'ont mis à la puce à l'oreille.  
 
En effet la passerelle du LAN du site A n'était pas bonne. Les paquets IP issus du LAN allaient tous sur la box internet. Dans les règles LAN du site A, le LAN ne renvoyait pas vers la passerelle WG (10.8.0.1), les paquets à destination du site B.
 
C'est corrigé, cela fonctionne maintenant.