Messages

Hallo zusammen,

nachdem es immer mal wieder scheinbar funktioniert hat und nun erneut nicht mehr, habe ich keine nerven mehr und frage nochmal mit meinem Konkreten Setup hier nach.

Deutsche Glasfaser Internet + Telefonie -> OPNsense -> FRITZ!Box (Portweiterleitung des Internet-Routers für Telefonie aktiv halten auf 30 Sekunden)

Portforwarding: WAN, Source: any, Destination: FRITZBox oder This Firewall, Destination Port Range: 5060, 7081-7109, Redirect: FRITZBox.

Outbound NAT auch schon eingestellt und immer das gleiche. Entweder es klingelt gar nicht, weder rein noch raus oder es klingelt mal und man kann auch abnehmen, nur der Anruf endet nach wenigen Sekunden.

Mit meinen bisherigen Einstellungen hatte es (scheinbar) immer funktioniert und nun wieder nicht. Daher die Frage. Fehlt irgendwas, Ports vergessen?, Ports zu viel?

Hallo zusammen,

nachdem ich jetzt nochmal alles mit Nginx von meinem DS920+ auf die OPNsense verschoben habe, musste ich feststellen, dass ich es nicht hinbekomme für bestimmte Subdomains ausschließlich TLS 1.2 verwenden zu lassen.

Für die iOS Apps von Bitwarden und Jellyfin/Swiftfin muss TLS 1.2 funktionieren, trotz der zugehörigen Einstellung wird anscheinend immer nur TLS 1.3 verwendet.

Kann mir jemand weiterhlefen?

Hi,

ich habe meinen Reverse Proxy nun von Synology DSM auf die OPNsense geschoben (soweit es ging).


Jetzt sind mir zwei Probleme gekommen:

Eine umleitung von FQDN auf einen HTTPS Port scheint nicht möglich zu sein und es erscheint dann immer eine OPNsense Error Page. Kann man dort etwas machen oder geht es nicht anders? Bei DSM gab es dort keine Probleme.

Ich habe bei Diensten wie Jellyfin und Bitwarden aufgrund von Problemen mit den iOS Apps die Anforderung dort nur TLS1.2 zu verwenden. In den Einstellungen des Eintrags habe ich auch 1.3 abgewählt, nur scheint es immer noch auschließlich auf TLS1.3 zu laufen. Das äußert sich indem Jellyfin nicht abspielt.
Diverse Online TLS checker geben die gleiche Rückmeldung.


Jemand erfahrung damit?

Hallo Community,

ich hätte mal wieder eine Frage. Ich habe ein Problem: 1 Raspberry Pi mit meheren Dockern und nun sind welche dabei die einen Port haben (8080,80,443) der in Konflikt mit dem anderen Docker steht, aber ich möchte/muss beide Container dort laufen lassen. Die Kommunikation funktioniert ansonsten nicht.

Ich wollte nun übers Port-forwarding den Port 8080 auf 8081 umleiten. Ich habe dem Docker statt 8080 nach außen eben die 8081 gegeben. Ein bestimmtes Gerät im Netzwerk soll nun beim Versuch den Pi zu erreichen über Port 8080 immer bei 8081 ankommen, so dass es bei anderen Geräten kein Problem gibt. Wenn ich das ganze als WAN Regel mache geht es, im LAN Interface ändert sich aber nichts. Port 8080 kommt immer beim aktuell belegten Port raus.

Jemand eine Ahnung? Sonst muss wohl noch ein Pi her.

du kannst doch beim starten des docker containers einen eigenen port auswählen, somit hast du dann keine konflikte (oder ich habe deinen text nicht richtig verstanden) und der rest den Patrick geschrieben hat.
solte es sich um einen web dienst handeln könntest du ja einen reverse proxy nutzen (mache ich bei mir auch so)

Also konkret möchte ich wire-pod für die Anki Vector Roboter installieren und die Ports können nicht geändert werden, da die Kommunikation sonst nicht funktioniert und auch die Aktivierung des Roboters nicht

Hab dort schon gefragt und es führt wohl kein weg drumherum diese Ports zu nutzen


Gesendet von iPhone mit Tapatalk

Hallo Community,

ich hätte mal wieder eine Frage. Ich habe ein Problem: 1 Raspberry Pi mit meheren Dockern und nun sind welche dabei die einen Port haben (8080,80,443) der in Konflikt mit dem anderen Docker steht, aber ich möchte/muss beide Container dort laufen lassen. Die Kommunikation funktioniert ansonsten nicht.

Ich wollte nun übers Port-forwarding den Port 8080 auf 8081 umleiten. Ich habe dem Docker statt 8080 nach außen eben die 8081 gegeben. Ein bestimmtes Gerät im Netzwerk soll nun beim Versuch den Pi zu erreichen über Port 8080 immer bei 8081 ankommen, so dass es bei anderen Geräten kein Problem gibt. Wenn ich das ganze als WAN Regel mache geht es, im LAN Interface ändert sich aber nichts. Port 8080 kommt immer beim aktuell belegten Port raus.

Jemand eine Ahnung? Sonst muss wohl noch ein Pi her.

Du könntest natürlich schauen wenn du magst, oder zeig erstmal was genau du alles bei dir gemacht hast damit der VPN erstmal überhaupt funktioniert. Wie gesagt blockiert war vorher auch nie etwas aber es hat immer nur richtig verbunden wenn sich zwei WireGuard VPN Clients erreichen wollten. LAN ging bis zu dieser Outbound Regel scheinbar immer ein und wurde auch weitergeschickt aber kam wohl nicht wieder zurück

Und wo kann es geblockt sein wenn LAN Regeln und WG Regeln mit Quelle LAN ziel WG alles erlauben und andersherum nicht funktionieren + In der Firewall alles als nicht geblockt steht

Wie auch hier beschrieben: https://docs.opnsense.org/manual/how-tos/wireguard-client.html

Nur das gleiche nochmal für das LAN Interface

Ja die OPNsense ist der Router und default Gateway

Nachdem ich alles durchprobiert habe mit der Erkenntnis dass ich immer auf die OPNsense (WG Interface) und andere WireGuard Clients komme, habe ich den DNS auf die 192.168.3.1 geändert. WG1 = 192.168.3.1/22. Nach dieser Änderung habe ich noch die Allowed IPs im Client auf 0.0.0.0/0 gestellt. Ich konnte nun ins Internet und dies auch im Live View nachvollziehen. Unter test-ipv6 wurde unter IPv6 nun auch DG angezeigt. Da ich zu der Zeit in einem Telekom Netz war, wurde mir dies noch unter IPv6 angezeigt, also habe ich der Allowed IP liste ::/0 hinzugefügt, um auch IPv6 in den Tunnel zu routen. Nun habe ich keine IPv6 aber komme auch nicht ungewollt aus dem Tunnel. Nun kam mir die Frage auf wieso WAN geht aber nicht LAN. Ich habe es mit verschiedensten Freigaben probiert und nichts funktionierte. Da ist mir der einzige Unterschied eingefallen. Die Outbound NAT Freigabe für WAN. Ich habe also eine Outbound freigabe für das Interface LAN gemacht und plötzlich ging es. So konnte ich nun auch den PiHole als DNS nutzen und alles erreichen. Vielleicht habe ich nicht genau geschaut, doch dies gab es in keiner Anleitung, dort ging es immer nur um die WAN Regel. Naja vielleicht hilft das hier jemanden. Die anderen Beiträge verliefen immer im Sande.

Das macht bei mir keinen unterschied, habs eben mal getestet. WireGuard selber funktioniert ja auch, dort steht ja es kam gar nicht mehr hoch und es wird ja auch geroutet aber eben nie mit antwort

Also gestern habe ich einen neuen Endpoint erstellt mit der 10.10.10.1/24 dann einen Peer mit der 10.10.10.2/24 dem Endpoint den Peer zugewiesen. Allowed IP in der Peerconfig war 10.10.10.2/32. Allowed IPs in der Clientconfig 10.10.10.0/24 und 192.168.0.0/22 da der DNS 192.168.1.5 ist. Aber auch mit 192.168.1.1 oder 10.10.10.1 gab es keinen erfolg. WAN ist 51820 für UDP IPv6 offen. Das WG Interface ist assignt, aktiviert und hat die Regel Pass IPv4+6 *

Es wird laut log alles erreicht, alles gepingt aber keine Rückmeldung auf dem Clientgerät

Wie bereits erwähnt habe ich es mit genau dieser 10.10.10.1/24 angelegt und es ändert trotzdem nichts an dem Problem.

Die /24 und /22 haben bei mir das selbe Ergebnis. Ich nutze für den WireGuard den LAN Bereich was an sich kein Problem ist wie es scheint. Der ist eben 192.168.0.0/22 und 192.168.3.1 aufwärts dann WireGuard. Auf dem WG1 Interface oder der Gruppe (beides getestet) ist any any freigegeben für IPv4 und IPv6 alle Ports. Ich habe gestern nochmal alles 1:1 wie in der Anleitung konfiguriert also 10.10.10.1/24 usw. und es hat sich nichts getan. Bei einem Portscan sieht man in der Live View wie alles erreicht wird aber der Client bekommt nie eine Rückmeldung. Als ich auf dem LAN eine Regel gemacht habe mit Source WG1 und eine mit Destination WG1 ist gar nichts mehr in der Firewall aufgetaucht. Das einzige was sich bei mir ggf. unterscheiden könnte, wäre meine bridge Konfiguration bei den Ethernet Ports. Ich habe 5 LAN Ports und möchte dort Geräte anschließen können und trotzdem nur ein Interface haben, was an sich ja funktioniert.

Also WireGuard Client zu WireGuard Client funktioniert. WireGuard Client zu LAN nicht, umkgekehrt ebenfalls nicht.