[PROLOG]
Wake on LAN funktioniert nicht über ein VPN, das weiß fast jeder. Naja, das denkt fast jeder. Eine kurze Diskussion in einem Forum hat mich dazu verleitet, diese kleine, schnelle Anleitung dazu zu schreiben: Wie richtet man eine OPNsense ein, um das Magic Packet für WoL über ein VPN zu verschicken? Die Anleitung lässt sich auch auf anderen Firewalls / Routern umsetzen, allerdings erfordert dies etwas spezialisiertere Geräte, als solche, die man von seinem Provider bekommt.
[WISSENSWERTES]
Das Magic Packet ist ein Datenpaket, welches u.a. die MAC Adresse des zu weckenden Geräts enthält. Anhand der MAC kann das Gerät eindeutig identifiziert und somit geweckt werden. Dieses Paket wird an alle Adressen des Netzsegments gesendet, also an die Broadcast Adresse. Das Gerät, dessen MAC mit der im Magic Packet übereinstimmt, wacht anschließend auf. Das Problem beim VPN: Der Broadcast geht nicht über das VPN hinaus und erreicht somit nicht die Geräte im heimischen LAN. Dies gilt es also im Folgenden zu ändern.
[WOL OVER VPN EINRICHTEN]
Klingt einfach, ist aber so: Wir müssen eine Portweiterleitung vom VPN ins LAN errichten, das war es eigentlich schon. Da man allerdings keinen Port an eine MAC Adresse weiterleiten kann, ist ein kleiner zusätzlicher Schritt erforderlich. Voraussetzung dafür ist, dass der DHCPv4 Server auf dem LAN aktiv ist, falls er das nicht ist, kann er für einen kleinen Adressbereich aktiviert werden, wir benötigen nur eine Adresse.
Wir befinden uns also bei Services / DHCPv4 / [LAN]. Dort scrollen wir ganz nach unten zu dem Bereich „DHCP Static Mappings for this Interface“ und klicken auf das Plus-Symbol daneben.
Nun wird das Mapping konfiguriert. Bei der MAC Adresse wird die MAC-Broadcast Adresse (FF:FF:FF:FF:FF:FF) eingetragen. Als Client-Identifier und Hostname habe ich „MAC-Broadcast“ reingeschrieben, damit ich an anderen Stellen besser erkenne, was genau das hier ist. Außerdem füge ich noch eine kleine Beschreibung hinzu. Bei der IP Adresse können wir uns eine freie IP aussuchen, ich habe mich für die Hostadresse 254 entschieden. Wichtig ist dann noch der Haken bei „ARP Table Static Entry“. Dann werden die Einstellungen gespeichert und auf der nächsten Seite übernommen.
Nun muss die Weiterleitung erstellt werden, das erfolgt unter Firewall / NAT / Port Forward. Hier erstellen wir die Regel mit einem Klick auf das Plus-Symbol oben rechts und machen die Einstellungen laut Screenshot, ich erläutere hier nur ein paar davon.
Interface: Hier wird das VPN Interface angegeben, von dem aus das Magic Packet gesendet wird. Bei mir sind es zwei VPN.
Destination: Dies ist die Broadcast IP des LAN. In meinem Fall bei einem 24er Netz ist es die .255.
Redirect target IP: Dies ist die IP, für die wir das statische Mapping erstellt haben.
Log: Zu Diagnosezwecken setze ich hier erstmal noch den Haken, diesen werde ich später wieder rausnehmen.
Description: Hier kommt eine aussagekräftige Beschreibung rein.
Die Einstellungen werden gespeichert und anschließend in der Übersicht nochmal übernommen.
Die Konfiguration der OPNsense ist damit abgeschlossen, nun geht es an das Gerät, von dem aus das Magic Packet verschickt werden soll, vorab aber schonmal ein kleiner Blick auf das Firewall-Log, das sollte so aussehen, wenn das Magic Packet korrekt weitergeleitet wurde:
[MAGIC PACKET VERSCHICKEN]
Widmen wir uns kurz und schmerzlos dem Gerät, von dem aus das Magic Packet verschickt und das entfernte Gerät geweckt werden soll.
In meinem Fall ist dies ein Android Smartphone. Hier empfehle ich die kostenlose App „WolOn“. Die Einrichtung ist denkbar einfach: Über das Plus-Symbol unten rechts werden die zu weckenden Geräte hinzugefügt. Wir vergeben hier einen eindeutigen Namen, geben die MAC Adresse des Geräts sowie die Broadcast IP des LAN an. Dann muss der Haken „VPN-zugänglich“ gesetzt werden, der Port wird auf 9 gestellt. Dies sollte so auch auf andere WoL-Apps zu replizieren sein, wichtig ist jedoch immer, dass das Paket an die Broadcast IP des entfernten LAN geschickt wird, was hier mit der Option „VPN-zugänglich“ erfolgt, denn manche Apps senden das Magic Packet nur an die Broadcast IP des lokalen Netzes. Für Windows gibt es z.B. „WakeOnLan Tool 2“, welches ebenfalls über die entsprechende Option verfügt.
[EPILOG]
Erledigt. Wer hätte gedacht, dass das so einfach ist? Also dann frohes Wecken, aber gönnt euren Geräten auch mal etwas Ruhe 😊.
---
Vielen Dank an den User tiermutter für diese Anleitung!