Messages

A wild guess:
Have a look under /Services/UDP Broadcast Relay.
Every entry generates a service witch is named with the content of the description field.

 
By the way, it would be much easier if you told us which plugins are installed on the machine.

You Can use the Overrides in unbound for example.


Services: Unbound DNS: Overrides

Have a Look at ,,nat reflection for portforward"
and ,, Automatic outbound NAT for Reflection"
https://docs.opnsense.org/manual/firewall_settings.html#network-address-translation

Ich hatte gestern etwas ähnliches beobachtet und habe
- Acme Erweiterung erneut installiert
- dort die einzelnen konfigurierten Punkte löschen (vermutlich ist es die Automation).
- Acme Erweiterung deinstalliert

Maybe I don't understand your Problem, but a MX Record should Point to
an A / AAAA record.
So you create a static MX record that Points to the a record that would by updated dynamic.

Merkwürdig, ich nutze ausschließlich Rules UDP 51280 auf dem WAN Interface (PPPOE) f. IPv4 & IPV6, kein Portforwarding. Das scheint mir eigentlich auch der sinnvollere Weg zu sein.
WG horcht hier auch auf allen Interfaces (ich nutze das z.B. auch intern um in das abgetrennte IOT VLAN zu kommen).

Code Select Expand


root@gw:~ # netstat -u -l -p udp | grep 51820
udp6       0      0 *.51820                                       *.*
udp4       0      0 *.51820                                       *.*
root@gw:~ #



Bzgl deines zweiten Peers:
Nach dem Hinzufügen unter "Endpoints" musst du den noch unter deiner Local Config als Peer ausählen (Register Local/Edit).

Sorry, bin was das die Fehlersuche angeht da auch überfordert (ist halt nicht so gesprächig oder ich habe noch nicht den richtigen Weg gefunden).
Bis dato hatte ich immer den Eindruck, dass sobald auf dem Client unter empfangen ein paar KiB auftauchen alles im Lot ist.
Gerade der Windows-Client geht sonst auch auf aktiv obwohl er gar nicht verbunden ist.
Hast du die Schlüssel schon Mal kontrolliert / neu vergeben? Eventuell ist da beim Copy/Paste ein Zeichen abgeschnitten worden oder ähnliches.
Und, falls ich nicht richtig erinnere: die Sense ruhig einmal neu starten. Ich meine, dass es bei mir auch erst nach einem Restart funktionierte.

Sorry für den getrennten Post - der Editor hier spackt auf meinem Telefon immer ab
und editiert irgendwo im Post herum.
Oben Mal meine Konfig, wobei
10.11.10.254 die lokale IP der Sense
10.11.100.0/24 das Wireguard Tunnelnetzwerk

Auf dem Endgerät habe ich dann die 3 benötigten VLANs
10.11.10.0/24, 10.11.22.0/24, 10.11.23.0/24 in den AllowedIPs

Dein internes Netz gehört da auf dem 'Server' nicht hinein, sondern z.B. das Netz der Gegenseite, das erreichbar sein sollte (bei Site2site).

Auf dem Endgerät müsste das lokale Netz des Servers angegeben werden.

Die Bezeichnung Allowed IPs kann einen auch etwas in die Irre führen :-)

Code Select Expand



oot@gw:~ # less /usr/local/etc/wireguard/wg0.conf

[Interface]
Address = 10.11.100.1/24
DNS = 10.11.10.254
ListenPort = 51820
PrivateKey = =
[Peer]
PublicKey = =
AllowedIPs = 10.11.100.2/32
[Peer]
PublicKey = CGfM0p+/rQPwNjGb/YUw=
AllowedIPs = 10.11.100.5/32
[Peer]
PublicKey = /=
AllowedIPs = 10.11.100.4/32


The routes are added immediately after activating the Wireguard service.
This seems to be logical, since a request must also trigger a connection startup.

But at least with my setup:
- If Wireguard is disabled, no routes are added.
- If a peer is disabled, no routes are added for that peer

Ja das geht / ging. Hatte ich Mal zum Test eingerichtet.
Spontan würde ich es wie folgt versuchen (ist zu lange her, als dass ich noch wüsste wie ich genau vorgegangen bin):
Bind vom haproxy auf z.b. localhost:8443.
Openvpn auf TCP 443 und in der erweiterten Konfig
port-share 127.0.0.1 8443
eintragen.

I guess your
Default allow LAN to any rule
is using the interfaces Network as source which not contains the other subnets?

Kenne mich mit Zyxel nicht aus, aber für mich sieht das so aus als hängen alle Ports noch Mal untagged in VLAN1.

Bei den Untagged genutzten Ports sollte die PVID auf das gleiche VLAN eingestellt werden.
Bisschen Lesestoff:
https://support.zyxel.eu/hc/de/articles/360001390814-So-konfigurieren-Sie-VLAN-auf-Zyxel-Switche

Was meinst du mit APU3 Einstellungen? Etwa das Disable Vlan Hardware Filtering? Die Einstellung ist unter Interfaces / Settings zu finden.

Select Source/Invert and use the pihole IP as Alias.

Guter Hinweis mit den einstelligen IDs!
Unifi benutzt z.B. auch ID 1 für das normale LAN, so dass die ID dort nicht zur Verfügung steht.

Btw. man kann auch das Management Netz bei Unifi in ein Vlan packen. Ich würde  aber dringend davon abraten. 
Wenn man dann noch die 'tollen' Unifi Switche benutzt, hat man im Fehlerfall eine riesen Denksportaufgabe vor sich.