OPNsense Forum
International Forums => German - Deutsch => Topic started by: mar_becker on February 08, 2021, 09:30:02 am
-
Hallo zusammen,
ich habe schon viele Foren durchforstet und auch einige Posts zu diesem Thema gefunden. Trotzdem schaffe ich es nicht, den HTTPS- Port durch den Wireguard- Tunnel in die DMZ zu forwarden.
Folgendes Szenario:
Ich möchte eine Provate- Cloud in der DMZ mit Nextcloud einrichten. Mein gesamter Traffic wird durch ein Wireguard- VPN getunnelt. mei Provider ist Mullvad. Die Sense ist als dynDNS- Client eingerichtet. Die Namensauflösunf gekoppelt mit dem Mullvad- Server funktioniert. So weit, so gut.
Ich habe gemäß der Anleitung in diesem Post die Portweiterleitung eingerichtet:
https://forum.opnsense.org/index.php?topic=13316.0
Der Kollege hatte aber auch das gleiche Problem wie ich.
Es gab noch andere Beiträge zu dieser Problematik. Kann OPNsense nicht mit den Mullvad- Servern?
Noch ein Indiz ist, wenn ich das Forwarding aktiviere, egal mit welcher Konfig, wird vom Reporter ein Bericht erstellt mit dem Eintrag:
PHP Warning: implode(): Invalid arguments passed in /usr/local/www/firewall_nat_edit.php on line 216
Ich bin jetzt auch nicht der FreeBSD- Spezi, daher kann ich mit dieser Meldung erst einmal nix anfangen.
Gibt es hier bereits einen Lösungsansatz?
Vielen Dank im Voraus.
Grüße
Mario
-
Wozu denn die Portweiterleitung?
Eigentlich Routest du das ganze doch über die Firewall Regeln?
-
Die FW-Regel wird nach mkeines Wissens automatisch bei der Erstellung der Portforwarding erstellt. Aber das ist für mich nicht die Kernfrage.
-
HIer habe ich noch einen Eintrag gefunden:
https://github.com/opnsense/core/issues/4389
Aber mich interessiert auch die Fehlermeldung im Crash-Report. Was hat es damit auf sich?
-
Die FW-Regel wird nach mkeines Wissens automatisch bei der Erstellung der Portforwarding erstellt. Aber das ist für mich nicht die Kernfrage.
Nein du erstellst eine Regel für z.B. Port 443 ausgehend auf dem LAN Interface.
Dort wählst du dann die VPN Gegenstelle als Gateway aus
Ich verstehe nur noch nicht wofür die Portweiterleitung genau sein soll
-
Outbound ist alles eingestellt und funktioniert auch. Ich will von extern auf die den Webserver in der DMZ zugreifen. Und dieser externe Zugriff(443) soll weiter geleitet werden.
-
Also du verbindest dich von außen mit dem VPN Client an deine OPNsense.
Diese hat eine dmz in die du möchtest
Oder wie soll ich das ganze verstehen.
Versuche aktuell noch dein Problem überhaupt zu begreifen :)
-
Outbound ist alles eingestellt und funktioniert auch. Ich will von extern auf die den Webserver in der DMZ zugreifen. Und dieser externe Zugriff(443) soll weiter geleitet werden.
Haproxy oder nginx als reverse proxy wäre noch eine Option, falls das mit dem Forward nicht will.
-
Okay. Ich versuche es noch einmal zu erklären...
Ich will von draussen mit einem Domain- Namen auf meine Nextcloud in der DMZ zugreifen. Ohne VPN- Client. Ganz normal über den Webbrowser. Die IP- Adresse des Mulvad- Servers ist gesynct mit dem Domain- Namen.
Um es in einem Satz zu sagen:
Ich will von überall über einen Webbrowser auf meine Ressourcen in der DMZ zugreifen. Nur geht das nicht über eine normale LAN- Verbindung, sondern über einen Wireguard- Tunnel mit einem Mullvad- Server als GW.
Einen Post darüber gibt es hier als Beispiel:
https://forum.opnsense.org/index.php?topic=18013
Er hat das gleiche Problem. Vielleicht hilft dir das, um meine Lage zu begreifen.
-
@ Gauss23:
Danke für den Tipp:
Hast du eine Beispielkonfiguration, an der ich mich orientieren kann?
-
Ah okay jetzt habe ich es verstanden.
Würde es an deiner Stelle sowieso per HAProxy machen, der kann dann auch die Letsencrypt Zertifikate regeln und erneuert diese dann.
Gerade da die verlinkte Thread ja auch keine wirkliche Lösung bietet.
Dann brauchst du dich auf der NC nicht darum kümmern.
Als Doku sollte für den Anfang die normale reichen, nur das du eben dort anstatt auf der WAN IP, auf der Wireguard IP hört
https://docs.opnsense.org/manual/how-tos/haproxy.html
-
@ lfirewall1243
Vielen Dank für den Lösungsvorschlag. Aber mich interessiert auch die Fehlermeldung im Report. Vielleicht kann Franco auch was dazu sagen.
-
Der PHP ist bekannt und wird in 21.1.1 gefixt sein. Das kommt durch die geänderte Art der Kategorien für Regeln
-
Hm....ich danke dir.
Und natürlich auch den anderen Kollegen.