Wireguard VPN wird clientseitig von Firewalld blockiert

Hallo nach langer Abstinenz

Ich bitte um Input zu einem VPN Problem, bei dem ich den offensichtlichen Fehler nicht sehe.

Was:

Notebook + LTE Modul + Wireguard VPN (zu meiner Fritz Box)

Problem:

Sobald über LTE + Wireguard verbunden: Keinerlei Netzwerkaktivität, kein Ping oder Namensauflösung möglich.

Ursache:

Firewalld blockt anscheinend wireguard. Firewalld deaktiveren erlaubt plötzlich den Zugriff auf mein Netzwerk via VPN. WG Config also in Ordnung (und auf nicht-opensuse OS normal funktionierend)

Ich hab jetzt wie der größte Noob unter Yast2 in den Firewalld GUI die Zone zu home geändert, und dort "wireguard" und UDP Port "51820" erlaubt. Geht trotzdem nichts. Wo ist mein Fehler?

LG Scytale

UDP Ports 51820, 59902 sind offen, das sind auch die Ports, die ich über Wireshark aktiv sehe, wenn firewalld aus ist. Ich hab auch die korrekte Zone aktiv mit den offenen Ports. Deswegen die Frage, ja. was ich da übersehe. Hat jemand anderes Wireguard Clientseitig unter openSUSE genutzt?

Weil grundsätzlich sich hier openSUSE anders verhält als bisher verwendete OS. Am nächsten Fedora ebenfalls mit Firewald, aber da ist das Plug&Play, und über Websuche gibts nur 2-3 Ergebnisse zu openSUSE, und da gehts nur grundsätzlich um WG Config, die nicht geht. Aber die geht ja bei mir, nur firewalld fängt irgendwas ab, was anscheinend spezifisch an den Defaults von Leap liegen.

So sehen die Details aus, ich hab mich an dieser Anleitung lang gehangelt. In Kurz GSM interface Public Zone zuordnen, Ports auf Public frei geben, eine mywg zone erstellen und WG Interface zuweisen.

scytale@buzzell:~> sudo firewall-cmd --info-zone=public 
public (active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: wwan0
  sources: 
  services: dhcpv6-client mdns ssh
  ports: 51820/udp 51821/udp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

(51821/udp ist nur zum Test drin, in der wg_config steht51820/udp als Listening Port drin)

scytale@buzzell:~> sudo firewall-cmd --info-zone=mywg 
mywg (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: wg_config
  sources: 
  services: 
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

scytale@buzzell:~> sudo firewall-cmd --get-active-zones
mywg (default)
  interfaces: wg_config
public
  interfaces: wwan0

(wwan0 ist das GSM Interface, wifi ist aus, wäre auch Public zugeordnet)

Und ab hier bin ich intellektuell raus. Firewalld ordnet die Zonen korrekt den Interfaces zu, und die Zonen haben die nötigen Ports offen für das Wireguard Protokoll, die in der importierten wg_config stehen. Nach meinem Verständnis sollte "eigentlich" alles gehen, aber es gibt keine Verbindung. Aber auf der Fritz.box sehe ich eine bestehende Verbindung zu Buzzell, also scheinen auf der Rückroute Dinge geblockt zu werden. Was fehlt da noch?

Ich habs nun. Nochmal danke an sterun für den obigen Guide, da hab ich auf jeden Fall debuggen gelernt, auch wenn firewalld am Ende gar nicht schuld war.

Am Ende war die Ursache, dass sich der Gnome Network Manager unter openSUSE beim Config Import anders als bei 4 anderen Distros verhält. Die Option im IPv4/IPv6 Reiter "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden" war nicht angehakt. Die Option aktivieren ermöglicht endlich Konnektivität. Komme dann endlich via GSM+VPN in mein Heimnetz, PiHole, etc.

Komisch, aber ich nehme es einfach mal so hin und zucke die Schultern.