Frohes Neues liebe OPNsense Comunity,
bei der suche nach einer Lösung habe ich schon festgestellt, dass das Thema Port-Forwarding schon ein leidiges ist und oft behandelt wurde.
Nachdem ich nun mittlerweile an die 20 Anleitungen ausprobiert und auch verschiedenste Beiträge gelesen und danach ausprobiert habe, komme ich einfach nicht weiter.
Mir gelingt es einfach nicht Dienste von außen erreichbar zu machen, ich habe mich erst mit Wireguard versucht.
Weder die Variante als LXC noch die Variante in OPNsense funktioniert. Auch einfach einen Port Testweise für Emby oder Nextcloud zu öffnen gelingt mir einfach nicht.
Auch bei einem Portscan wird mir angezeigt das diese geschlossen sind.
Mein Anbieter ist die Telekom über Kabel (Dual-Stack).
Die Einstellungen fürs DynDNS sind nicht das Problem meine Domain wird mit der richtigen IP aufgelöst.
VLANs sind noch nicht eingerichtet.
Ich weiß nicht ob ich noch Einstellungen in Proxmox vornehmen muss, oder in der OPNsense irgendetwas übersehen habe.
Screenshot 2025-01-01 224248.png
Auszug aus meinem LANProxmox:WAN- und LAN-Port sind per passtrough direkt an die OPNsense durchgereicht
OPNsense:WG-Instance| Enabled: | ✓ |
| Name: | WG01 |
| Instance: | 0 |
| Public-Key: | abc123=example |
| Private-Key: | klm456 =example |
| Listen-Port: | 51820 |
| Tunnel adress: | 10.10.5.1/24 |
| Depend on (CARP) | None |
| Peers | mobilephone |
| Disable routes | ☐ |
Peer| Enabled | ✓ |
| Name | mobilephone |
| Public-Key | abc123=example |
| Pre-Shared-Key | xyz789=example |
| Allowed IPs | 10.10.5.2/24 |
| Enpiont adress | domain.example |
| Endpiont port | 51820 |
| Instances | WG01 |
| Keepalive interval | - |
Interfaces:| Enable | ✓ |
| Lock | ✓ |
| Identifier | opt2 |
| Device | wg0 |
| Description | WG01 |
| Block private networks | ☐ |
| Block bgon networks | ☐ |
| IPv4 Configuration Type | None |
| IPv6 Configuration Type | None |
| MAC address | - |
| Promiscuos mode | ☐ |
| MTU | - |
| MSS | - |
| Dynamic gateway policy | ☐ |
DNSMASQ:-> all interfacesFirewall WAN:| Action | Pass | |
| Disabled | ☐ | |
| Quick | ✓ | |
| Interface | WAN | |
| Direction | in | |
| TCP/IP Version | IPv4 | |
| Protocol | UDP | |
| Source / invert | ☐ | |
| Source | any | |
| Destination / invert | ☐ | |
| Destination | WAN adress | |
| Destination port range | from: | to: |
| (other) | (other) |
| 51820 | 51820 |
| Log | ✓ | |
| Category | - | |
| Description | Wireguard rule | |
| No XMLRPC Sync | ☐ | |
| Schedule | None | |
| Gateway | default | |
| | |
Firewall WG01:| Action | Pass | |
| Disabled | ☐ | |
| Quick | ✓ | |
| Interface | WG01 | |
| Direction | in | |
| TCP/IP Version | IPv4 | |
| Protocol | any | |
| Source / invert | ☐ | |
| Source | any | |
| Destination / invert | ☐ | |
| Destination | any | |
| Destination port range | from: | to: |
| any | any |
| | |
| Log | ✓ | |
| Category | - | |
| Description | WG01 any | |
| No XMLRPC Sync | ☐ | |
| Schedule | None | |
| Gateway | default | |
| | |
Network Address Translaton:| Reflection for port forwards | ✓ |
| Reflection foe 1:1 | ☐ |
| Automatic outbound NAT for reflection | ✓ |
Ich erwarte keine vollständige Anleitung, ich würde mich jedoch freuen wenn ich hier und da nochmal einen Hinweis bekomme wo ich nochmal nachlesen kann bzw was ich übersehen habe.
Ich danke schonmal im voraus.
Verstehe ich es richtig, dass Deine OPNsense auf dem WAN und auf dem LAN dieselbe IP hat? Das wird nicht funktionieren, da nichts geroutet werden kann. WAN-seitig muss sie eine IP aus Deinem 192.168.100.0-Netz bekommen.
Das hab ich etwas unglücklich dargestellt. Wan-seitig bekommt sie die IP aus dem 192.168.100.0-Netz.
Sonst hätte ich ja auch keine Internetverbindung, oder irre ich mich?
Quote from: codingape on January 01, 2025, 10:25:28 PMDas ist richtig, bekommt sie auch. Wan-seitig bekommt sie die IP aus dem 192.168.100.0-Netz.
Sonst hätte ich ja auch keine Internetverbindung, oder irre ich mich?
Das können wir nicht wissen, da in deiner Übersicht nunmal etwas völlig anderes steht. Also bitte nochmal ein Diagramm, was tatsächlich Sache ist. Sonst wird es mit der Hilfe einfach schwierig.
Tatsächlich weiß ich nicht die genaue IP. Ich habe da die Standartkonfiguration gelassen. Damit hatte ich auf Anhieb auch eine Internetverbindung.
Das sind die Adressen die mir bei den Interfaces angezeigt werden.
Screenshot 2025-01-01 223839.png
Du hast einen Internet-Anschluss mit CGNAT. Du kannst grundsätzlich keine öffentlich erreichbaren Dienste über IPv4 betreiben. Isso. Wechsel den Provider oder den Tarif, um das zu ändern.
Eine mögliche Alternative ist, sich für 5-10€ im Monat bei einem Cloud-Provider wie Hetzner oder Vultr oder Digitalocean ... eine virtuelle Maschine zu klicken, die in der Regel eine feste IPv4-Adresse bekommt, dorthin einen WireGuard-Tunnel zu konfigurieren, und auf der Maschine eingehend die benötigten Ports weiterzuleiten oder gleich einen Reverse-Proxy wie z.B. Caddy auf dieser Maschine zu installieren.
HTH
Patrick
Vielen Dank für die schnelle Hilfe. Dann werde ich mal schauen wie ich das in Zukunft umsetzen werde.