Messages

[Home: 203.0.113.123]

Ich konnte das Problem endlich eingrenzen und lösen. Mein Problem ergab sich aus meinem Setup, Flüchtigkeitsfehlern und übersehenen Hinweisen.

Setup
Home: 203.0.113.123

• Fritzbox
• PC
• Eingerichteter VPN Zugang zu Home 2

Home 2: 203.0.113.678

• OPNsense
• Wireguard
• Crowdsec
• Caddy
• Nextcloud Host
• Crowdsec
• Caddy

• Zuerst war ich nur in der Lage am PC via SSH auf meine OPNsense zuzugreifen, sofern der VPN aktiviert war. Einige Zeit später war das nicht mehr möglich.
• Von Anfang an konnte ich vom PC aus jedoch nicht auf das WebGUI der sense zugreifen.
• Zuerst konnte ich auf dem Handy zumindest mit aktiviertem VPN auf das WebGUI zugreifen. In der nächsten Zeit war aber das nicht mehr möglich.

Den Fehler auf dem Handy konnte ich letztlich an einem fehlenden `s` in der URL ausfindig machen: https://192.168.1.1:8443
Der Handybrowser hatte schlicht das https in ein http geändert. Dann kann natürlich der Zugriff nicht funktionieren.

Als Nächstes fiel mir auf, dass meine öffentliche IP von Home durch Crowdsec in Home 2 gebannt wurde, sobald ich in Home meinen Computer startete. Nur wenige Minuten reichten aus, in denen der Computer eingeschaltet war und ich landete auf der Blacklist. Das erklärte schon mal, wieso ich aus Home keine VPN-Verbindung zu Home 2 aufbauen konnte. Es erklärt auch, wieso ich vom Handy aus immer noch eine VPN-Verbindung aufbauen konnte, sofern ich per LTE mit dem Internet verbunden war. Befand sich das Handy im WLAN von Home, war da natürlich auch Schluss.

Mit dem Wissen hatte ich zumindest eine Möglichkeit auf die OPNsense zu verbinden. Hierzu ging ich am PC via USB-Tethering und der LTE-Verbindung des Handys ins Internet und verband mich via VPN mit Home 2. Meine Fehlersuche begann dann auf dem Nextcloud Host von Home 2, denn ich vermutete, dass dort die Entscheidung getroffen werden würde.

So sah die Meldung in Crowdsec aus:

Code Select Expand

- ID           : ID_NUMBER
 - Date         : 2025-09-22T16:10:40Z
 - Machine      : localhost
 - Simulation   : false
 - Remediation  : true
 - Reason       : crowdsecurity/http-crawl-non_statics
 - Events Count : 52
 - Scope:Value  : Ip:203.0.113.123
 - Country      : DE
 - AS           : Vodafone GmbH
 - Begin        : 2025-09-22 16:10:06.918382812 +0000 UTC
 - End          : 2025-09-22 16:10:40.370757375 +0000 UTC
 - UUID         : ***-***-***-***-***

╭──────────────────────────────────────────────────────────────────────────╮
│ Active Decisions                                                         │
├──────────┬──────────────────┬────────┬────────────┬──────────────────────┤
│    ID    │    scope:value   │ action │ expiration │      created_at      │
├──────────┼──────────────────┼────────┼────────────┼──────────────────────┤
│ 59002406 │ Ip:203.0.113.123 │ ban    │ 3h49m41s   │ 2025-09-22T16:10:40Z │
╰──────────┴──────────────────┴────────┴────────────┴──────────────────────╯

 - Context  :
╭────────────┬──────────────────────────────────────────────────────────────╮
│     Key    │                             Value                            │
├────────────┼──────────────────────────────────────────────────────────────┤
│ method     │ GET                                                          │
│ status     │ 200                                                          │
│ target_uri │ /remote.php/dav/files/USERNAME/Dokumente/Finanzen/ARCHIVE/Fi │
│            │ nanzen_Archive/file.ods                                      │
│ user_agent │ Mozilla/5.0 (Linux) mirall/3.17.1daily (Nextcloud,           │
│            │ org.kde.Platform-6.16.2-200.nobara.fc42.x86_64               │
│            │ ClientArchitecture: x86_64 OsArchitecture: x86_64)           │
╰────────────┴──────────────────────────────────────────────────────────────╯

Einige Whitelist-Anpassungen und Tests später wurde ich wieder mit meiner IP von Home gebannt.

Es brauchte etwas, aber dann war es mir klar. Auf dem Nextcloud-Host ist `crowdsecurity/nextcloud-whitelist` installiert. Damit hätten die Events durch die Synchronisation mit dem Nextcloud Client for Linux nicht zu einem Alarm und damit zu einem Bann führen dürfen:

When syncing large amount of files via WebDAV, it could trigger http-probing so the expression also whitelists 200 response codes.

Haben sie auch nicht. Denn der Ursprung der Entscheidung ist `Machine: localhost` und damit ist Crowdsec auf der OPNsense gemeint. Dadurch, dass sowohl Caddy auf der OPNsense läuft, als auch auf dem Nextcloud Host, werden Anfragen via 443 und 80 aus dem Internet an den Firewall-Caddy geleitet und von da aus anhand der FQDN an den Nextcloud-Caddy. Entsprechend führten die Anfragen auf dem Firewall-Caddy bereits zu einem Alarm und damit zu einem Bann.

Die Lösung war so einfach, wie trivial: Ich installierte `crowdsecurity/nextcloud-whitelist` auch auf der OPNsense und seither funktioniert das Synchronisieren ohne Probleme. Damit werde ich auch nicht mehr gebannt und die VPN-Verbindung von Home zu Home 2 funktioniert wie gedacht.

Hallo zusammen,

ich bin nach der offiziellen Dokumentation vorgegangen, um auf ein anderes Netzwerk via VPN zuzugreifen.
Dieses Netzwerk verfügt über eine OPNsense, die via Glasfaser und ONT an das Internet angebunden ist. Die Verbindung ist IPv4-only.

Ich folgte dieser Dokumentation: https://docs.opnsense.org/manual/how-tos/wireguard-client.html

Um das Setup anschließend zu testen, habe ich mir im Wireguard-Abschnitt der OPNsense einen Client erstellt. Den anschließend erstellten QR-Code habe ich mit meinem Handy und der Wireguard-App gescannt und die Verbindung anschließend getestet.

Mit dem Handy ist es mir im Browser möglich, auf die OPNsense via 192.168.1.1:8443 zuzugreifen. Ebenso der Zugriff via SSH auf die OPNsense ist möglich. Am PC konnte ich beides ebenfalls erfolgreich testen, als ich über das Handy ins Internet ging und auf dem Handy der VPN aktiv war.

Ich habe anschließend die Konfiguration aus der Wireguard-App auf dem Handy exportiert und auf meinem Linux-Rechner (Fedora GNOME) wieder importiert.

Anschließend versuchte ich, mit aktiviertem VPN auf die OPNsense via 192.168.1.1:8443 zuzugreifen. Es funktioniert nicht. Die Website wird nicht aufgerufen. Der Zugriff auf die OPNsense via SSH klappt jedoch. Kann es etwas damit zu tun haben, dass ich an meinem zweiten Standort Vodafone Kabel-Internet habe und damit irgendetwas nicht richtig funktioniert? An meinem zweiten Standort verfüge ich lediglich über eine Fritzbox, die via Kabel das Internet bereitstellt.

Habt ihr eine Idee, was das sein kann?

Falls ihr Konfigurationen o. ä. benötigt, sagt gerne Bescheid.

Vielen Dank!

At the end of the day, it was a very stressful update. But with the two plugins in question, it was possible to set up DynDNS and ACME without any problems. The only thing that made it a bit more time-consuming was the fact that DynDNS is a bit cumbersome to set up under IONOS (API) because you have to generate a URL in IONOS and a domain cannot be selected on-the-fly in the plugin.

-deleted-

Can I set a wildcard certificate in the acme plugin? In caddy I added the domain like *.example.com before.

OK, I've installed the acme plugin, too. I set the account and the challenge. What things do I need to change in Caddy, to reflect the recent changes in Caddy? Do I switch from Auto HTTPS?

When I used Caddy to implement Dynamic DNS and ACME. Do I then need two plugins? I think I got Dynamic DNS working, but I haven't found a way to get ACME working with IONOS.

Hi folks, since Caddy 2.0 my Caddyfile no longer works. Validate Caddyfile gives "module not registered: dns.providers.ionos".
Is it possible to downgrade the plugin to 1.8.5? I am not able to use dynamic DNS at the moment.

du kriegst den N100 schon extrem tief, du musst halt aber auch dafür sorgen, dass z.B. die NICS keine tiefen Schlafzustände verhindern.

Da frage ich mich, inwieweit dieser Zustand überhaupt eintreten soll? Ein WAN, ein LAN und zwei LAG NICs. Da sehe ich jetzt nicht wann eine der NICs schlafen gehen sollte. Nach meiner Vorstellung kann es nur ein binärer Zustand sein: Traffic oder kein Traffic und entsprechend Tiefschlaf oder nicht. Kann mir nicht vorstellen, dass die NICs dann zwischen einzelnen Paketen dann einfach schlafen gehen..

Aber da bin ich nicht Experte drin.

Hallo zusammen,

mich beschäftigt immer noch, dass das Zurücksetzen des Interface via Cron nicht funktioniert und ich habe das Gefühl, das irgendetwas grundlegendes kaputt-konfiguriert wurde.

Gerne würde ich die OPNsense zurücksetzen und alles von Hand neu einstellen. Denn ich bin überzeugt, dass das Zurücksetzen und einspielen der alten Konfiguration nichts ändern wird.

Ich frage mich jetzt aber, ob es eine Alternative zu "alles von Hand aufschreiben, was ich eingestellt habe" gibt. Ist da vielleicht die exportierte Konfiguration so weit selbsterklärend? Wahrscheinlich steht das auf einer viel technischeren Ebene da drin oder?

Cool wäre, wenn es eine Art Dokumentation-Export gäbe, quasi im Format, wie man es tatsächlich im GUI vorfindet.

Der Königsweg wäre wahrscheinlich eine Ersatzbox zu haben und die neue quasi von Hand einzustellen, während die alte noch ihren Dienst verrichtet, aber dafür fehlt mir die Hardware. Zumal was mache ich dann mit der alten Box?

Könnten man vielleicht mit Proxmox eine OPNsense aufsetzen, dort alles konfigurieren und dann dessen Config in die echte einspielen? Wie sieht das aus, wenn mein Proxmox Server gar keine 4 NICs hat?

Ich freue mich auf eure Ideen!

Ah ok, schade, als entweder erwachsenen AP oder Mini AP nur für Gäste/iot

Das war bei mir ebenfalls die Übergangslösung. Ich hatte die Fritzbox und damals zwei Fritzbox APs. Jeweils einen AP für EG und OG. Eine Zeit lang habe ich beide im EG eingesetzt, damit einer Gäste- und der andere User-WLAN ausstrahlt. Da war natürlich im OG nur mit eingeschränktem Empfang zu rechnen.

Oh, das ist krass. Das hätte ich nicht gedacht. Damit kann ich ja meine Upgrade-Pläne begraben.. Mein Netzwerkschrank verbraucht insgesamt 28 Watt, wovon gut 6 Watt für die Lüfter sind. Ich hatte gehofft den Wert weiter reduzieren zu können. Mit im Schrank sind ein 16-Port Managed Switch, das ONT und eine Fritzbox.

Wenn man im Smart Home erstmal die Verbraucher sieht, dann schaut man natürlich auf die höchsten Verbraucher..

Hallo cottec,

willkommen im Forum. Explizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht. Meinen Vertragsdaten lagen 2019 die Anmeldeinformationen, wie Login und Password sowie eine sehr sehr grobe Übersicht bei. Wie du meinen Posts entnehmen kannst, war trotzdem nicht ganz ersichtlich, was davon und wie es eingetragen werden muss. Da sollte es bei o2 jedoch etwas leichter sein, als bei mir, Hilfe im Internet zu finden.

Grundsätzlich bin ich der Meinung dass du dich auf die Freie Routerwahl stützen kannst, um die Zugangsdaten zu erfragen. Das wirst du sicherlich hartnäckig bleiben müssen. Ich persönlich würde es erst einmal ganz allgemein versuchen, in dem ich schreiben würde, dass ich mir einen eigenen Router eines bekannten Herstellers angeschafft habe und für die Herstellung der Internetverbindung und Telefonie die Zugangsdaten benötige. Da diese nur in unzugänglicher Form im aktuellen Router vorlägen.

Zum Thema, ist das was für mich:
Ich persönlich habe im beruflichen Kontext viel mit Daten und Datenanalyse zu tun und privat habe ich mir vor OPNsense bereits mit Docker und Linux Server beschäftigt und bin seit wahrscheinlich mehr als zehn Jahren privat in Linux statt Windows unterwegs. Erst später kam OPNsense als weiteres Thema "Firewall & Netzwerktechnik" hinzu.
Mich persönlich haben die genannten Themen einfach interessiert und zum Thema Docker bspw. kam ich, weil ich gerne eine Nextcloud aufsetzen wollte.

Zu OPNsense kam ich dann, als ich meinen Nextcloud Server in einem eigenen Subnet platzieren wollte und gerne auch die IOT Geräte jeweils in einem anderen. Bis dahin, hatte ich rudimentär die Möglichkeiten von der Fritzbox mit dem Gast-WLAN genutzt.

Die OPNsense war der Einstieg für mich in das Thema Netzwerktechnik. Dazu kaufte ich mir ein neues Patchfeld, um die Verkabelung zu ändern und einen Netzwerkschrank, um das und alles weitere unterbringen zu können. Dann kaufte ich mir noch ein Managed Switch von TP-Link, um das Thema VLANs abzubilden und erst dann konnte ich mich erst mit der Konfiguration der OPNsense beschäftigen.

Deine Idee eine zweite Fritzbox für das Ausprobieren zu nutzen finde ich gut. So habe ich das damals auch gemacht, als die Fritzbox nur noch für DECT zuständig sein sollte. Das ist gerade was das Einstellen der Firewall usw. angeht echt angenehm. Einfach die normale Fritzbox abklemmen, OPNsense und Testfritzbox dran und dann kann schon der grundsätzliche Zugang, als auch die DECT Thematik getestet werden. Wenns nicht klappt, einfach wieder die normale Fritzbox dran und nächsten Abend probieren. Das erspart Stress im Haushalt, falls man nicht alleine wohnt.

Das einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.

Zur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.

Was mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com, der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist. Danach war aus meiner Sicht nur noch das Thema Firewall Regeln für DECT die größte Herausforderung. Und klar: nichts unüberlegtes tun, da wenn Firewall falsch konfiguriert, ist halt die Tür offen.
Daher mochte ich auch in dem Zusammenhang Videos als Format nicht, denn das ist meist zu schnell und viel zu sehr auf "komm, ich nehme dich kurz mal mit". Da ist wenig Zeit das zu hinterfragen. Denn entweder muss man es erst noch verstehen oder schlimmer noch ist es sogar falsch..

[What is the appropriate way, to reset the WAN interface periodically?]

Hello guys,

I already asked a similar question in the German thread, but never got an answer. So I would like to ask my question more generic, in hope to get help.

What is the appropriate way, to reset the WAN interface periodically?

I have the following interfaces, that are derived of the WAN interface:

• WAN interface: igc1-device (not assigned)
• WAN_INT: pppoe0-device
• WAN_VOIP: pppoe1-device

The PPPoE devices:

• pppoe0: VLAN 101 on WAN interface
• pppoe1: VLAN 201 on WAN interface

Relevant VLANs:

• VLAN 101: Parent igc1
• VLAN 201: Parent igc1

Connection information:

• WAN_INT
• IPv4 Configuration Type: PPPoE (pppoe0)
• IPv6 Configuration Type: 6to4 Tunnel
• WAN_VOIP
• IPv4 Configuration Type: PPPoE (pppoe1)
• IPv6 Configuration Type: None
• The provider regularly disconnects the active connection once a day. In other words, WAN_INT and WAN_VOIP receive new IP addresses.

A long time ago, in my early days with OPNsense, I set up a cron job that resets the WAN interface at 5 am.

• System>Settings>Cron>Add Job
• [ENABLE]
• Hours: 5
• Command: Periodic interface reset
• Parameters: wan
• Description: Reset the WAN interface

That worked for a very long time. I'm not saying that the same configuration worked then and doesn't now. There have certainly been changes in my OPNsense settings in the meantime. Therefore, I am asking the question of how such a cron job would have to be set with my parameters in a more general way.

The thing is, I can't find any log entries at that time that would indicate that the IP address has been changed or has changed.
If I set the job to run five minutes later from now on, nothing happens either, or I can't find the logs that should appear. Perhaps someone can help me with this. In any case, the end result is that I don't get a new IP address and the provider's forced disconnect happens at (currently) 9 a.m., which is pretty annoying.

I would really appreciate input on this, because I simply cannot find a solution to this perhaps simple problem at the moment. I am currently running version 24.7.11_2.

Nach Lesen der Dokumentation, habe ich den Verdacht, dass mein Cron Job nicht funktioniert, weil ich das WAN Interface nicht assigned habe. Das ist in meinem Falle auch nicht nötig, weil ich auf das WAN zwei VLANs lege, mit denen ich mich über eine PPPoE einwähle. Das eine VLAN ist für das Internet und das andere für VoIP.

Ist das eventuell das Problem?