Messages

Den Reverse Proxy verwende ich aktuell, um auf die verschiedenen Container wie z.B. Paperless über http mit gültigem Zertifikat zuzugreifen. Zum anderen erhoffe ich mir, dass der Zugriff über Wireguard damit möglich wird, ohne die anderen IP-Adressen immer fest zu hinterlegen (falls sich der Container auf einem anderen Host verschiebt).

Die zentrale Stelle ist hier die routing Instanz der OPNsense auf Layer3, sowie ein Switch auf Layer2 der die VLANs an die Geräte verteilt.

Wahrscheinlich brauche ich zwingend einen Switch, der Layer2 an Geräte verteilen kann, oder? Für IPv4 könnte ich mir vielleicht noch mit dem DHCP-Server und festen Zuordnungen helfen, aber mit IPv6?

Aber macht das grundsätzlich Sinn, was ich vorhabe oder ist das für das Heimnetz mit Kanonen auf Spatzen geschossen?

Hallo zusammen,

seit einiger Zeit überlege ich, wie ich mein Heimnetzwerk mit Smart Home (ioBroker), verschiedenen Aktoren und Sensoren (Shelly), das NAS und die Gäste sauber trenne und mit IPv4 und IPv6 über eine zentrale Stelle (Reverse Proxy) miteinander verbinde.

Verschiedene Versuche sind immer im Sande verlaufen oder ich habe es bisher nur mit NGINX Proxy Manager zum Teil hinbekommen. Nach meiner Meinung sollte der Reverse Proxy aber auf OPNsense laufen...

Netzaufbau

Code Select Expand



        Internet (Glasfaser von GigaNetz)
            :
            :
            : IPv4: DS-Lite, IPv6: 2a01:1234:0:1::12:1234/64, Präfix: 2a01:1234:2345:6700::/56
      .-----+-----.
      |  FRITZbox | Freigabe für OPNsense: Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen, Exposed Host
      '-----+-----'
            | IPv4: 192.168.128.1/24
            |
        WAN | IPv4: 192.168.128.21/24, IPv6: 2a01:1234:2345:6700:1111:2222:3333:4444/128
      .-----:-------.
      |  OPNsense   | HAProxy, opnsense.mynet.lan
      '-----:-------'             
   LAN      | igb0,  - IPv4: 10.1.1.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x1, Allow manual adjustment of DHCPv6 and Router Advertisments
   LAN2IoT  | vlan02 - IPv4: 10.1.2.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x2, Allow manual adjustment of DHCPv6 and Router Advertisments
   LAN3Gast | vlan03 - IPv4: 10.1.3.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x3, Allow manual adjustment of DHCPv6 and Router Advertisments
   WG       | wg0    - Wireguard
            |
      .-----+------.             
      | LAN-Switch |
      '-----+------'
            |


DynDNS (AAAA): juhu.ddns.net -> Zeigt auf OPNsense 2a01:1234:2345:6700:1111:2222:3333:4444

Folgende Anforderungen gibt es:
* Internet: Zugriff über DynDNS auf NAS erlaubt
* LAN: NAS, PC, Handys, Docker...
  - Zugriff auf Internet, LAN2IoT, LAN3Gast erlaubt
* LAN2IoT: ioBroker, Shellys, Waschmaschine... (nicht alles beherrst IPv6!)
  - Zugriff auf Internet erlaubt
  - Zugriff auf LAN      nicht erlaubt. Ausnahme: ioBroker auf NAS (Backup) und Docker
  - Zugriff auf LAN3Gast nicht erlaubt. Ausnahme: ioBroker auf Sonos
* LAN3Gast: Drucker, Sonos, Gäste...
  - Zugriff auf Internet erlaubt
  - Zugriff auf LAN      nicht erlaubt
  - Zugriff auf LAN2IoT  nicht erlaubt. Ausnahme: Gäste auf ioBroker, Sonos auf NAS (Musik)
* WG: Zugriff auf LAN, LAN2IoT, LAN3Gast erlaubt
* LAN, LAN2IoT, LAN3Gast, WG: Zugriff mit https auf alle internen Dienste wie NAS, Docker, ioBroker... über HAProxy?! auf OPNsense

Das Ziel ist es, IoT und Gäste soweit möglich aus meinem internen Netzwerk auszuschließen und den Konfigurations und vor allem Wartungsaufwand gering zu halten.
Ist das beschriebene Szenario nachvollziehbar? Ist es sinnvoll? Wie bekomme ich IPv6 und HAProxy unter einen Hut?
Wie kann ich das konfigurieren? Wer kann helfen?

Viele Fragen und viel Hoffnung auf hilfreiche Antworten...

Vielen Dank im Voraus

Mark

Ich habe den Fehler gefunden: Nachdem ich den Port Forward herausgenommen habe, konnte der Verkehr fließen...

Hallo zusammen,

nachdem ich nun mit Hilfe von drei Tutorials vergeblich versucht habe, WireGuard zum Laufen zu bringen, wollte ich hier nachfragen, ob mir jemand helfen kann. Ich möchte mit meinem Handy von extern mit WireGuard auf mein NAS und meinen SmartHome Server in meinem Netzwerk zugreifen.

Folgende Tutorials habe ich verwendet, um WireGuard zu installieren:
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
https://miha-kralj.medium.com/vpn-with-wireguard-on-opnsense-7bc1d7451a6e

Hier mein Netzwerkplan

Code Select Expand


      WAN / Internet
            :
            : Vodafone-Kabel
            :
        WAN : Router IP     176.199.xxx.xxx:51820
            :
      .-----+-----.
      |  Router   |  Vodafone Station mit Port Forwarding 51820 TCP/UDP)
      '-----+-----'
            |
        WAN | OPNsense IP     192.168.0.10/24
            |
      .-----+------.
      |  OPNsense  |
      '-----+------'
            |
        LAN | 192.168.222.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... NAS 192.168.222.10, SmartHome Server 192.168.222.40


Folgende Konfiguration habe ich vorgenommen:

Code Select Expand


VPN -> WireGuard
================

Local Configuration
-------------------
Name               meinWireGuardServer
Public Key  1      OQEnOxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Private Key 1      yMUiLxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Listen Port        51820
Tunnel Address     192.168.112.1/24
Peers              meinHandy

Endpoint
--------
Name               meinHandy
Public Key   2     Nj0jGxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Shared Secret      VXSrZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Allowed IPs        192.168.112.2/32

Interfaces -> Assignments
=========================
VPN0               wg0
----------------------
Enable             checked
Lock               checked
Device             wg0
Description        VPN0
Block bogon networks checked
IPv4 Config Type   None
IPv6 Config Type   None

System -> Gateways -> Single
============================
Disabled           unchecked
Name               WireGuard_LAN
Description        Interface Wireguard Gateway
Interface          VPN0
Address Family     IPv4
IP address         dynamic
Disable Gateway Mon checked
Priority           255

Firewall -> NAT -> Port Forward
===============================
Interface          WAN
TCP/IP             IPv4
Protocol           UDP
Destination        WAN address
Dest port range    from: other-51820 to: other-51820
Redirect target IP Single host - 192.168.112.1
Redirect Port      51820
Description        WireGuard WAN to LAN

Firewall -> NAT -> Outbound
===========================
Mode               Hybrid

Manual rule
-----------
Interface          WAN
TCP/IP Version     IPv4
Protocol           UDP
Source address     WireGuard net

Firewall -> Rules -> WireGuard
==============================
Action             Pass
Quick              checked
Interface          WireGuard
Direction          in
TCP/IP Version     IPv4
Protocol           any
| Source           WireGuard net

Services -> Unbound DNS -> General
==================================
Network interface  All


Den WireGuard Client auf dem Handy habe ich mit der folgenden Daten konfiguriert

Code Select Expand


[Interface]
PrivateKey = uJSOdxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.112.2/32
DNS = 192.168.112.1
[Peer]
PublicKey = OQEnOxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PresharedKey = VXSrZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 0.0.0.0/0
Endpoint = 176.199.xxx.xxx:51820


Jetzt hätte ich erwartet, wenn ich den WireGuard-Client aktiviere, dass unter VPN -> WireGuard -> Handshakes die Anzahl größer 0 ist. Die ist leider nicht der Fall und unter Firewall -> Log Files -> Live View wird nichts blockiert. Kann mir jemand weiterhelfen?

Weitere Frage: Wenn ich auf mein NAS und SmartHome Server in meinem Netzwerk möchte, muss ich diese nach eintragen oder funktioniert das mit dem Gateway?

Vorab vielen Dank für die Zeit