OPNsense Forum

Hallo Zusammen,

weiß ehrlich gesagt nicht ob ich den Titel passend gewählt habe.

Es geht sich darum, das ich zum 1.8 umziehe zu einem Ort, wo es reales Internet nur von der Deutschen Glasfaser gibt.

Problem ist jedoch, das ich dort kein eigenen Anschluss mehr bekommen kann, da bereits alle Fasern für dieses Gebäude in Verwendung sind. Das ist aber kein großes Problem, da ein Bekannter von mir, der dort auch wohnt, ein Deutschen Glasfaseranschluss bereits hat. Er würde diesen auf die schnellstmögliche Variante von 1gbit down / 500mbit up upgraden lassen.

Das bekannte Problem bei Deutschen Glasfaser ist jedoch, das man nur über IPv6 Dienste wie Nextcloud etc bereitstellen kann. Nicht mehr über IPv4.

An sich kein Problem, wäre im Jahr 2024 das Netz/Internet in Deutschland nicht so miserabel das flächendeckend IPv6 vorhanden wäre. Aber das ist ein anderes Thema.

Nun möchte ich folgendes Umsetzen:

(https://i.ibb.co/pKPsd7c/glasfaseripv4.png) (https://ibb.co/7pzTKfP)

Da ich kein Zugriff auf die Fritzbox des Bekannten habe (und auch nicht möchte), und auch aus bequemlichkeit und der zukünftigen portabilität (da sobald das umgesetzt ist, egal ist wo mein Server steht, bzw sein Internet her hat), möchte ich das so lösen das die VMs auf denen Nextcloud usw läuft - die haben alle ne feste interne ipv4 adresse - ihr internet traffic raus und rein über den wireguard tunnel regeln. der wireguard server wäre dann ein billiger VPS von Netcup im internet. incl opnsense natürlich (da dieser ja die portfreigaben etc regeln soll).

Spontan im Kopf hätte ich die Idee, den Wireguard Tunnel als zweiten WAN zu händeln. Wenn möglich?

Und was ich auch nicht weiß, wie konfiguriere ich den wireguard server im netz so, das all ankommender traffic zu  meiner opnsense geleitet werden soll.

Oder wäre es sogar schlauer, eine zweite opnsense intstance auf den vps zu installieren?

Außerdem soll der restliche Traffic, also von Geräten/Dienste die es nicht benötigen von außen erreichbar zu sein, "ganz normal" ins Internet kommen. also auf den regulären weg.

Ich hoffe ich konnte mein Anliegen erklären.

Vielen Dank für die Tipps und Hilfe!

Hi, bist du schon bei dem Thema weitergekommen, ich habe genau das selbe Problem?

Nein, leider nicht, da bis jetzt außer du nicht geantwortet hat :-)

Aber ich poste die Tage mal die selbe Frage unter dem englischen Topic/Forum. Da ist sicher mehr aktiv.

Als spontane, schickere Lösung würde mir nur einfallen, dass der Kumpel Dir einfach einige Ports bereitstellt und weiterleitet, die Du dann verwenden kannst.
Du bist ja ohnehin schon abhängig von seinem Router und Anschluss, dann kann es ja nicht so schlimm sein auch abhängig von freigegebenen Ports zu sein.

IPv6 funktioniert nahezu überall, einzige Ausnahme die ich immer wieder feststellen muss sind Hotel WLAN und Co. Wenn dann jemand keinen Zugriff hat, dann wird es Zeit dass er mal mit v6 anfängt ;)
Oder willst nur Du darauf zugreifen, dann kommt ja auch ein einfaches Roadwarrior VPN in Frage?!

Für das gewünschte Konstrukt habe ich ad hoc allerdings keine Ideen...

schlussendlich will ich unabhängig von meinem Internetanschluss bzw "Anbieter" sein. Dass das geht mit einem VPS und Wireguard weiß ich. Nur wie weiß ich nicht. Aber das werde ich noch rausfinden.

Der Kumpel, bzgl Portfreigabe, ist ja keine Lösung, weil immernoch nur IPV6. Ich brauche jedoch Ipv4. Ich werde euch auf den aktuellsten Stand halten.

Schau dir mal früher an, früher ist ein Proxy das Tool ist genial für ne ich setze es erfolgreich ein

https://github.com/fatedier/frp


Gesendet von iPhone mit Tapatalk Pro

Eine Frage ist auch, ob die OPNsense ein Wireguard Interface als "WAN type interface" definieren kann. Mir ist es bisher nicht gelungen. 

Hi, ich habe das ganze jetzt am laufen mit dieser Anleitung.

https://administrator.de/tutorial/feste-ips-zuhause-in-pfsense-via-wireguard-tunnel-1124828094.html

Quote from: Mathias on July 08, 2024, 10:24:46 PM
https://administrator.de/tutorial/feste-ips-zuhause-in-pfsense-via-wireguard-tunnel-1124828094.html

Schön! In den Kommentaren steht auch, wo man reply-to in der OPNsense aktiviert, kein "WAN type interface" nötig.

Quote from: micneu on July 07, 2024, 11:19:27 AM
Schau dir mal früher an, früher ist ein Proxy das Tool ist genial für ne ich setze es erfolgreich ein

https://github.com/fatedier/frp


Gesendet von iPhone mit Tapatalk Pro

Damit hast du mich in ein "rabbithole" geschickt! Das ist ja genial!

Habe über frp recherchiert. Und so einige Infos gefunden und getestet. Schlussendlich bin ich bei rathole gelandet, weil tatsächlich um einiges schneller!

https://github.com/anderspitman/awesome-tunneling
https://github.com/rapiz1/rathole

Das ist sowas von genial. Habe das nun provesorisch umgesetzt um es zu testen. Mit meiner aktuellen Telekomleitung funktionierts einwandfrei. Ebenso mit einem LTE-Router den ich einfach mal an den WAN gehängt habe. Ebenso. Richtig genial. Bin total begeistert.

Das Manko was mir jedoch nicht ganz so gefällt, ist die Tatsache das dadurch natürlich opnsense total umgangen wird und IPS/zenarmor/sensei etc nicht mehr funktioniert. Überlege für den produktiven/richtigen Einsatz, einfach auf mein VPS opnsense zu installieren und dort einfach die Portfreigaben, IPS, etc zu regeln für die Dienste die ich nutze. Aber das hat jetzt erstmal Zeit bis zum Umzug. Jetzt weiß ich wenigstens das es so wie ich es mir vorstelle, auch klappt.

Für den Test habe ich auf meinen VPS Wireguard und rathole installiert (rathole/frp bieten auch verschlüsselung an. habe jedoch einfach aus testgründen einfach nur wireguard genommen). Und in der VM worauf mein nginxproxymanager läuft ebenso wireguard und rathole installiert. Wireguard Tunnel aufgebaut, rathole eingerichtet. Auf VPS port 80 in rathole konfiguriert und das weitergeleitet wird an NPM und voila. Funktioniert einwandfrei. Toll.

Quote from: Mathias on July 08, 2024, 10:24:46 PM
Hi, ich habe das ganze jetzt am laufen mit dieser Anleitung.

https://administrator.de/tutorial/feste-ips-zuhause-in-pfsense-via-wireguard-tunnel-1124828094.html

Diese Lösung, gefällt mir technisch gesehen am besten! Ist mir jedoch momentan (da ja alles aktuell noch läuft, da am einem Telekomanschluss bin) zu riskant es auszuprobieren. Vor allem da ich nicht ganz verstehe wie das funktionieren soll, da ich nirgendswo erkennen kann wo nun geregelt wird das der Traffic der Nextcloud VM z.B nur über den Wireguard tunnel gehen soll. Aber ich werde mich dahin mal informiert und gründlicher einlesen.

Könntest du ggf grob deine Schritte auflisten die du machen musstest in Verbindung mit opnsense?

Vielen Dank schon mal für die klassen Tipps!

Hallo Leute,

nun ist gut eine Woche schon um seit meinem Umzug. Und ich muss sagen. FRP/Rathole ist wirklich klasse.

Das läuft wie eine eins.

Da die DTAG hier so gut wie nichts hat außer DSL auf 16000 Niveau, habe ich diesen einfach ebenso gebucht für ein lächerlichen Preis (unter 15€, aber erst nach dem ich sagte ich habe sowieso schon zich Mobile/LTE Datentarife etc).

Opnsense switcht nun erfolgreich zwischen der Glasfaserleitung, der juten alten DSL Technik (DSL ~13.000 gemessen) und LTE Datentarif/Modem hin und her, und meine Dienste sind immer unabhängig davon erreichbar. Mal schneller, mal langsamer.

Aber um ehrlich zu sein, diese Redudanz habe ich nur, weil ich die DSL Leitung für kleines Geld bekommen konnte, und den LTE Modem mit Tarif (Multisim) eh schon habe/nutze aus beruflichen Gründe, und ein altes 4G Modem übrig hatte. Bis jetzt war die Deutsche Glasfaser Leitung stabil.

Also ich kann jedem, der unabhängig des Internetanschlusses Dienste anbieten will, sei es Webserver, Email, Torrent, what_ever, FRP oder Rathole bedingungslos empfehlen!

In der Zeit habe ich auch mit folgendem herumgespielt: https://github.com/mochman/Bypass_CGNAT (mit opnsense als client)

Das funktioniert ebenso einwandfrei. Habe mich jedoch dagegen entschieden, weil FRP/Rathole viel einfacher und flexibler ist.

Im Einsatz habe ich es mit einem "etwas" übertriebendem Root Server von Netcup (weil dort bereits Kunde bin wegen Domain).

Das Produkt schimpft sich RS 1000 G11 und kostet mit einem Server in Deutschland 11.32€ im Monat.

Nach ausführlichen Tests, total überdimensioniert. Jellyfin zb, mit 13 Connections (Familie, Freunde etc), ist der Rootserver trotz Encryption und Compression gerade mal 2-4% ausgelastet (Rathole). Würde definitiv einen viel kleineren wählen wenn ich es nochmal einrichten müsste.

Aber egal. Dafür nutze ich den Server bei Netcup einfach als viertes Backupziel (verschlüsselt) meiner wichtigsten Daten.

Nochmals vielen Dank!