Hi,
ich habe einen Hetzner-Server, auf dem Proxmox läuft. In dem Proxmox habe ich eine Opnsense als VM, die als Router für das "interne" Netzwerk aller VMs auf dem Server dient.
Ich habe einen LXC Container mit Debian gestartet und darin mit Docker und Docker Compose gotify und igotify am Laufen -> https://github.com/androidseb25/iGotify-Notification-Assistent.
In der Opnsense habe ich ein NAT gemacht, das die Ports 8680 und 8681 direkt auf den iGotify Docker LXC Container leitet. Das sind die beiden Ports, die in der Docker-Konfiguration standardmäßig angegeben sind.
Ich stelle in Gotify alles ein und verbinde mein iPhone über die iGotify-App mit dem Server – auch das klappt. Aber sobald ich den Push-Test machen will, kommt einfach nichts bei meinem iPhone an.
Ich habe den LXC Container dann auf einen anderen Proxmox Server verschoben, der nur hinter einer Fritzbox hängt, und plötzlich gehen die Pushnachrichten auf meinem iPhone ein. Der Entwickler von iGotify sagt, dass anscheinend sein Container keinen Websocket zu dem gotify Container aufbauen kann. Der Websocket wird über die URL aufgebaut, die man in der App eingibt. In meinem Fall ist das dann "push.domain.tld" (also über Public DNS). Ich vermute, dass in der Opnsense der Zugriff von dem einen Container durch die Opnsense ins Internet und wieder zurück durch die Opnsense zu dem anderen Container verhindert wird.
Der Weg sieht also so aus:
gotify versucht, an push.domain.tld:8681 einen Websocket zu öffnen durch den LXC Container (172.30.0.15) -> Opnsense Internet (meine Public IP) -> Opnsense (meine Public IP / Port 8681 - über NAT) -> LXC Container (172.30.0.15:8681) -> iGotify Docker Container (172.17.0.1) (hier wird dann der Port 8681 auf Port 80 im Container gemappt, was aber nicht relavant ist).
Ich bin zwar ein erfahrener Netzwerker, aber mit der Opnsense kenne ich mich nicht so gut aus. Ich weiß nicht, wie ich das in der Firewall debuggen soll. Ich sehe weder ausgehende Verbindungen von dem LXC Container noch weiß ich, wonach ich bei eingehenden Verbindungen schauen soll.
Kann es sein, dass der Zugriff auf das interne Netz mit der push.domain.tld unterbunden wird? Ist das so ein DNS-Rebinding-Schutz oder sowas?
Ich wäre echt dankbar für jegliche Hilfe, weil ich echt nicht weiter weiß.
Viele Grüße
Dirk