Wireguard 宛先ホストが内部ネットワークに到達できません

Wireguard 宛先ホストが内部ネットワークに到達できません

クラウド VM から社内ネットワークにトンネルするように Wireguard を設定しています。ローカル サーバーは OPNSense 用の Wireguard プラグインを使用しています。

OPNSense はファイアウォール、DHCP などとして機能します。
クラウド VM はファイアウォールなどの背後にはありません。

サーバ:

interface: wg0
  public key: redacted
  private key: (hidden)
  listening port: 42001

peer: redacted
  endpoint: CLOUD_VM_PUBLIC_IP:42001
  allowed ips: 10.0.1.42/32
  latest handshake: 48 seconds ago
  transfer: 184.23 KiB received, 186.37 KiB sent
  persistent keepalive: every 21 seconds

クライアント:

  public key: redacted
  private key: (hidden)
  listening port: 42001

peer: redacted
  endpoint: LOCAL_PUBLIC_IP:42001
  allowed ips: 10.0.0.0/16
  latest handshake: 2 minutes, 14 seconds ago
  transfer: 1.30 KiB received, 1.20 KiB sent
  persistent keepalive: every 21 seconds

クライアント設定:

[Interface]
# set address to next address
Address = 10.0.1.42/16
ListenPort = 42001
PrivateKey = redacted
DNS = 1.1.1.1

[Peer]
PublicKey = redacted
Endpoint = LOCAL_PUBLIC_IP:42001
AllowedIPs = 10.0.0.0/16
PersistentKeepalive = 21

この構成では、OPNSense の内部 IP アドレスを使用して VM に接続できます10.0.1.42が、それ以外では「宛先ホストに到達できません」と表示されます。また、クラウド VM から内部 IP に ping を実行しようとすると、10.0.0.0/16タイムアウトになります。

関連情報