Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - syhrth

Pages1
#1
German - Deutsch / Port-Forwarding über Wireguard Tunnel
November 05, 2025, 01:02:30 PM
Hallo liebe Community,

ich verzweifle gerade bei einer eigentlich einfachen Aufgabe: Port-Forwarding
Kurz zu meinem Setup:
- OPNSense mit WAN-IP (PublicIP) und Wireguard-Server 10.0.10.1/24 als VPS
- OPNSense mit WAN-IP2 (CG-NAT) und Wireguard-Client 10.0.10.2/24
   > Außerdem ein Interface für das 10.0.11.1/24 in dem ein Webserver steht (10.0.11.125:8000)

Ich möchte erreichen, dass ich mich über die WAN-IP:8000 mit dem Webserver auf 10.0.11.125:8000 verbinden kann.
Folgende Einstellungen habe ich dafür vorgenommen:
-> Routing: ForceGW auf alle 10.0.11.0/24 und 10.0.10.0/24 mit PublicIP
   > curl ifconfig.me liefert PublicIP
   > tcpdump auf Webserver zeigt eingehende und ausgehende Pakete zwischen ClientIP und 10.0.11.125 (LTE-Client)
-> Port-Forwarding: TCP/UDP auf WAN und Port 8000
   You cannot view this attachment.
   > Dazugehörig die automatisch erstelle Firewallregel auf WAN

Was mich besonders irritiert ist, dass die Pakete beim Webserver ankommen und auch raus gehen, aber nie beim Client ankommen. Das brachte mich zu dem Gedanken, dass es sich um ein asymetrisches NAT handelt, da aber über die ForceGW Regel der gesamte Traffic von beiden Netzen zurück zum VPS 10.0.10.1 geroutet wird bin ich überfragt.
Auf dem VPS läuft außerdem ein nginx Proxy mit Upstream 10.0.11.124, welcher funktioniert.

Habe ich hier irgendwo einen Denkfehler?
#2
German - Deutsch / Zugriff auf bestimmte Seiten vom LAN nicht möglich
February 06, 2023, 07:38:32 PM
Hallo liebes Forum,
Ich bin leider ratlos was ein aktuelles Problem angeht. Erstmal die Beschreibung meines Testaufbaus um euch etwas abzuholen (detailliert im Bild zu sehen):
VPS mit öffentlicher IPv4 soll den eingezeichneten Webserver über den Wireguard Tunnel für das Internet erreichbar machen (was soweit auch einwandfrei funktioniert). Möchte jetzt allerdings der Webserver auf bestimmte Internetseiten zugreifen (getestet habe ich reddit.com und speedtest.net), so timed der Browser bei Domains wie z.B. b.cdnst.net aus. Ergebnis ist eine vollkommen unfertig geladene Seite.
Das Problem besteht für jeden Client im 10.11.0.0/24 und 10.10.0.0/24 Netz, unabhängig vom Betriebssystem/Browser. (Ich kann den MikroTik Router als Fehlerquelle ausschließen, da das selbe Verhalten bei meinem PC auftritt, wenn ich ihn in den Wireguard Tunnel also mit IP 10.10.0.3 hänge)
Der VPS mit LiveCD hat keine Probleme die Seiten zu laden.

Zur Konfiguration in OPNSense (bzw Routen und GW auch Mikrotik Router):
- Gateways gesetzt und Routen definiert (Clients im 10.11.0.0/24 müssen den Weg über das Gateway 10.10.0.1 also die OPNSense nehmen, eine andere Route gibt es nicht)
- Firewall Floating: Definierte Port Forwards erlaubt (automatische Regelerstellung)
- Firewall WireguardInterface: 10.10.0.0/24 -> * erlaubt und 10.11.0.0/24 -> * erlaubt
- Firewall WAN: Zugriff auf Wireguard Port erlaubt
- Firewall NAT Outbound Mode Hybrid + 2 manuelle Regeln
---WAN   10.10.0.0/24    *   *   *   Interface address   *   NO   Outbound NAT
---WAN   10.11.0.0/24    *   *   *   Interface address   *   NO   Outbound NAT

Ehrlich gesagt bin ich etwas überfragt weshalb das Setup grundlegend funktioniert (bspw. bild.de, google.de und viele andere Seiten), aber für gewisse Seiten wiederum nicht.
Vielleicht hat von euch noch jemand einen heißen Tipp was das Problem sein könnte, danke im Vorraus :)

MfG syhrth
P.S.: Da ich den Fehler nicht genauer eingrenzen kann, ist der Beitragstitel etwas unelegant  :-X
Pages1