Messages

@schmuessla

Es tut mir sehr leid wenn ich deine Frage nicht so beantwortet habe wie du es gerne gehabt hättest, aber ich hab sie nicht bewusst ignoriert.

Meintest du diese Frage?

Von welcher IP hast du versuchst welche zu Pingen?

Ich habe von jeweils der OPNsense Konsole direkt über "7) Ping host" die Tunnel IP der Gegenstelle, IP der OPNsense der Gegenstelle und auch die IP von der vm mit Linux drauf die sich hinter der OPNsense befindet im Netzwerk. Über diese vm logge ich mich auch aktuell per noVNC von Proxmox ein um ein die OPNsense drauf zu kommen.

Ich würde bei den Basics anfangen: siehst du denn die Pakete der jeweiligen anderen OPNsense im Live view der Firewall Logs? Setzt voraus, dass du für die Regel Logging eingeschaltet hast. Es gibt am WAN jeweils eine Regel, die Port 51820 (oder den Port, den du gewählt hast) zulässt?

Habe die Logs der FW für WG1 und WireGuard (Group) aktiviert, die Logs für WAN sind ja standart schon aktiviert. Das hab ich auf beiden Seiten gemacht und habe folgendes rausgefunden:

Würde gerne ein Screenshot hinzu fügen, aber schaffe es nicht....

Folgendes kann ich im Log sehen:

---------------------------------------------------------------------------

OPNsense_1 WAN:134.255.244.247 mit GW:134.255.244.225
               Tunnel: 10.10.10.1/24
               LAN: 192.168.1.1/24
               VM mit Linux zum erreichen der OPNsense Seite und zum Pingen: 192.168.1.200

Interface:               Source:                   Destination:
WG1       OUT         192.168.1.200          10.10.10.2

---------------------------------------------------------------------------

OPNsense_2 WAN:94.199.215.81 mit GW: 94.199.215.65
               Tunnel: 10.10.10.2/24
               LAN: 192.168.3.1/24
               VM mit Linux zum erreichen der OPNsense Seite und zum Pingen: 192.168.3.200

Interface:               Source:                            Destination:

1. Loopback   OUT       127.0.0.1                         10.10.10.2                 
2. WG1          OUT       10.10.10.2:20873             192.42.93.30:53
3. WG1          OUT       192.168.3.200:54661        8.8.4.4:53
4. WG1          OUT       192.168.3.200:55812        8.8.4.4:53

Nummer 1 und 2 wiederholen sie ein paar mal wobei bei Nummer 2 immer eine andere IP in der Destination steht.
Die Logs von OPNsense_1 und OPNsense_2 sind auf die Sekunde gleich, somit sollten die soweit zusammen hängen denke ich.

---------------------------------------------------------------------------

Egal von wo ich wohin pinge, es kommt immer die Meldung "Destiation Hoast Unreachable"

Die Einrichtung habe ich laut Anleitung von OPNsense gemacht und habe extra beide OPNsense Systeme komplett neu installiert.

Ich weiß nicht ob es wichtig ist, aber ich kann mich auf beide OPNsense Seiten mit meinem Handy mittels Wireguard verbinden und kann hier auch zugreifen.

Sollte ich mal eine Frage vergessen, dann nicht weil ich sie nicht beantworten möchte, sondern dann werd ich sie vergessen haben zu beantworten.

Danke für eure Hilfe.

Von welcher IP hast du versuchst welche zu Pingen?

Ich bin jetzt her gegangen, um wirklich mein Netzwerk ausschließen zu können, und habe im Rechenzentrum auf eine zweite Pub-IPv4 eine OPNsense gepackt.

Gerne erstell ich hier noch mal einen Plan mit allen Angaben.

Auch hier habe ich wieder die Situation, dass ich mit Wireguard am Handy auf beide OPNasense mit Wireguard drauf komme und die IP vom Tunnel pingen kann. Trotzdem kann ich zwischen den beiden OPNsense mit Wireguard keine Verbindung aufbauen. Pingen der Tunnel IP's funktioniert nicht.
Habe bei Keepalive einen Wert von 25 hinterlegt und tortzdem keine Verbindung.

Die public IP brauchst du nicht in AllowedIPs, macht denke ich auch keinen Sinn. Er würde dann den traffic zur public IP durch den Tunnel schicken, hat aber nichts damit zu tun, dass der Tunnel generell erreichbar ist.

Danke für die Info.

Wie genau ermittelst du, dass der Tunnel nicht zustande kommt? Weil ohne Keepalivekonfiguration und ohne traffic gibt es auch keinen handshake zwischen den endpoints.

Im Dashboard nutze ich die Anzeige von Wireguard und dort wird mir angezeigt wieviele Tunnel es gibt und wieviele davon online oder offline sind. Ebenso habe ich per ping versucht die verschiedenen IP's zu pingen.

"OPNsense läuft zu Hause aktuell noch auf einer Synology mit jeweils einer Netzwerkkarte für WAN und LAN."

Das Verwirt mich jetzt etwas. In deiner Zeichnung ist die Synology nicht enthalten.
Möchtest du WG auf der OPNS. zum laufen bringen?
Kann ich davon ausgehen das deine Pub-IPv4 uner "ALLOWED IPs" eingetragen sind, nur nicht gezeichnet?

Hab ich nicht daran gedacht, dass es so wichtig ist, da ich ja die wichtigen Infos gegeben hab, glaubte ich zumindest  ::)
Also in "ALLOWED IP's" sind die Pub-IPv4 nicht eingetragen, da ich gedacht habe, der Tunnel geht von WG1 zu WG2 und es ist egal was dazwischen ist. Hab es aber geändert und funktioniert ebenso nicht.
Wireguard soll in der OPNsense laufen und mit dem Handy kann ich ja auf beiden Seiten zugreifen.

Allowed IPs: 192.168.99.2/32 im Rechenzentrum bedeutet, dass er nur an das Subnetz 192.168.99.2/32 Pakete durch den Tunnel routed und nur von dem Subnetz 192.168.99.2/32 Pakete akzeptiert. Ich vermute mal, dass ist nicht das, was du willst, da z.b. alles aus  192.168.2.1/24 was ja anscheinend dein lokales Netz ist gedropped wird.

Das Problem liegt aber darin, dass dieser Tunnel zwischen WG1(Zu Hause) und WG2(Rechenzentrum) gar nicht zustande kommt. Daher sind ja die Allowed IPs noch nicht interessant oder?

-----------------------------------------------------------

Vielleicht ist hier jemand, der mich direkt Unterstützen kann mittels Direktnachrichten/Discord oder was anderes. Ich benötige eine stabile VPN ins Rechenzentrum und das schon dringend, da ich schon mehrere Wochen immer wieder es versucht habe.
Wahrscheinlich ist es irgendwo eine Kleinigkeit und ich würde mich auch dankbar zeigen für eine erfolgreiche Hilfe.

DANKE für Eure Zeit.
DerProf

[Exposed Host]

Hallo zusammen!

Ich habe ein erneutes Problem und zwar habe ich zu Hause eine OPNsense mit Wireguard laufen und in einem Rechenzentrum ebenso OPNsense mit Wireguard. Hier möchte ich eine Site-to-Site Verbindung aufbauen um aus meinem Netzwerk durch VPN ins RZ zu kommen.

Zu Hause:

      WAN / Internet
            :
            : Mobiles Internet mit statischer IPv4
            :
      .-----+-----.
      |  Gateway  |  Fritzbox -
      '-----+-----'    Portfreigabe OPNsense Exposed Host
              |
            LAN 192.168.188.1/24 (kein DHCP)
              |
      .-----+------.                                                                       .-------------+------------.
      | OPNsense |  -----------------------------------------------------| WireGuard Site-to-Site |
      '-----+------'   vtnet0 = WAN: 192.168.188.5/24                    '-------------+------------'
              |                           GW: 192.168.188.1                         Instances:
              |            vtnet1 =  LAN: 192.168.2.1/24                       Tunnel Address: 192.168.99.2/24
              |                                                                                Peer:
              |                                                                                Allowed IPs: 192.168.99.1/32
            LAN
              |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Rechenzentrum:

      WAN / Internet
            :
            : puplic IPv4
            :
      .-----+-----.   
      |  Gateway  |   
      '-----+-----'   
              |
           WAN
              |
      .-----+------.                                                                       .-------------+------------.
      | OPNsense |  -----------------------------------------------------| WireGuard Site-to-Site |
      '-----+------'   vtnet0 = WAN: 134.255.244.215/27                '-------------+------------'
              |                           GW: 134.255.244.225                     Instances:
              |            vtnet1 =  LAN: 192.168.1.1/24                       Tunnel Address: 192.168.99.1/24
            LAN                                                                              Peer:
              |                                                                                Allowed IPs: 192.168.99.2/32
              |
              |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Ich hoffe man kann das Netzwerk erkennen.

Aktuell ist es so, dass ich von meinem Büro nicht ins Rechenzentrum per WireGuard komme, weil keine Verbindung aufgebaut werden kann.

Peer disconnected

Ich kann mich aber mittels Handy durch WireGuard ins Rechenzentrum und ins Büro erfolgreich verbinden. Getestet im W-Lan zu Hause und auch ohne W-Lan. Egal wie, ich hab immer Internet und ich kann die Netzwerke mit ping erreichen.
Somit sollte ich ausschliesen können, dass die Fritzbox probleme macht oder?

Die puplic IP im Rechenzentrum wurde abgeändert!

OPNsense läuft zu Hause aktuell noch auf einer Synology mit jeweils einer Netzwerkkarte für WAN und LAN.

Vielleicht kann mir jemand weiter helfen, ich wäre sehr dankbar.

Wünsche noch einen schönen Abend.

Mit freundlichen Grüßen
DerProf

Das ist jetzt ein Proxmox-Thema, vermute ich.
Und dann geht es nicht ohne tiefere Infos zum Setup.

Wie kann ich herausfinden ob es ein PVE oder OPNsense Problem ist?

Was wenn es ein PVE Problem ist, kann mir da jemand weiterhelfen oder soll ich in einem PVE Forum um Unterstützung zu fragen?

Gruß
DerProf

Welchen Typ virtuelle Netzwerkkarte verwendet die OPNsense VM?

Wenn VirtIO (vtnet0, vtnet1, ...) dann setz mal unter System > Settings > Tunables

Name: hw.vtnet.csum_disable
Value: 1

Damit hatte ich leider keinen Erfolg und ja es ist VirtIO mit vtnet0 und vtnet1 laut OPNsense und in PVE sind es vmbr0 und vmbr2.

Gruß
DerProf

Das sagt meine OPNsense KI.

Um eine Portweiterleitung für einen Minecraft-Server in OPNsense einzurichten, gehen Sie bitte wie folgt vor:

1. Melden Sie sich an Ihrer OPNsense-Web-Oberfläche an.
2. Navigieren Sie zu `Firewall` > `NAT` > `Port Forward`.
3. Klicken Sie auf "**Add**" in der oberen rechten Ecke, um eine neue Weiterleitungsregel hinzuzufügen.

In der neuen Regel konfigurieren Sie die folgenden Felder:

- **Interface**: Wählen Sie das Interface, auf dem der Traffic ankommt, normalerweise ist dies WAN.
- **TCP/IP version**: Wählen Sie `IPv4`.
- **Protocol**: Wählen Sie `TCP/UDP`, da Minecraft beide Protokolle verwenden kann.
- **Source / Invert**: Lassen Sie dies deaktiviert.
- **Source port range**: Setzen Sie dies auf `any` oder lassen Sie es leer.
- **Destination / Invert**: Lassen Sie dies ebenfalls deaktiviert.
- **Destination**: Wählen Sie das Interface, über das der Traffic ankommen wird, normalerweise WAN.
- **Destination port range**: Setzen Sie dies auf `25565` (dem Standardport für Minecraft-Server).
- **Redirect target IP**: Geben Sie die interne IP-Adresse des Computers ein, auf dem der Minecraft-Server läuft.
- **Redirect target port**: Setzen Sie dies ebenfalls auf `25565`.
- **Description**: Geben Sie eine Beschreibung ein, z.B. "Minecraft Server".

Lassen Sie die anderen Felder auf ihren Standardeinstellungen, es sei denn, Sie wissen, dass Sie etwas Spezielles benötigen.

4. Klicken Sie auf "**Save**" und anschließend auf "**Apply Changes**", um die Regel zu aktivieren.


Diese Schritte sollten Ihren Minecraft-Server über die öffentliche IP-Adresse erreichbar machen.

Danke dafür, die Weiterleitung funktioniert jetzt, aber irgendwie bricht regelmäßig nach nicht gleichmäßiger Zeit die WAN Schnittstelle ab und geht auf offline.
Das muss ich mir dann noch genauer anschauen ober vielleicht hat schon jemand eine Idee?

DANKE

Gruß
DerProf

Ich glaube, das sagt niemand. Aber wenn ich an Proxmox und Rechnenzentrum denke, dann kommt mir als erstes eine Netzwerkkarte in den Sinn, und damit meistens auch eine öffentliche IP. Die ist dann oft auf dem Proxmox-Host. Wenn dann noch weitere IPs ins Spiel kommen, müssen die in die WAN-Seite der Opnsense. Und da gibt es einige Punkte, die man beachten sollte.

Es ist so, dass mehrere öffentliche IP´s auf diesem Root Server habe. Eine davon hat der Proxmox Host und ist auch zu 100% nur für diesen. Alle weiteren werden weitergereicht an die verschiedenen VM´s in Proxmox und darunter hat eben die VM mit OPNsense diese eine öffentliche IP. Somit teilen sich mehrere öffentliche IP´s eine Netzwerkkarte.
Welche Punkte wären das?

Gruß
DerProf

Irgendwie liest es sich gerade so, als wäre "nur eine Public IP" eher schlecht als gut!?

Diese IP welche ich für OPNsense nutzen möchte ist eine dedizierte IP und muss soweit am WAN der OPNsense liegen, da auch Internet im LAN verfügbar ist. Habe eine VM mit Ubuntu Desktop laufen über die ich auf OPNsense zugreife und dort kann ich ganz normal das Internet nutzen.

Hallo zusammen.

Ich bin ganz neu in dem Thema OPNsense und würde mir gerne neues Wissen aneignen und deswegen auch gern ein paar Fragen zu meinem Projekt und aktuell auch Problem stellen.

Kurz zu mir, ich betreibe einen Minecraft Server und würde dort gern alle Server hinter OPNsense verlagern. Dabei habe ich aber Probleme, denn ich bekomme die Ports meines Test_Minecraft_Server nicht durch die FW.

Der Server steht in einem Rechenzentrum und liegt direkt an einer PuplicIP und dort werden keinerlei Ports geregelt ausser DDoS.

IP und GW sind für diesen Post geändert!

IP: 94.199.215.73 / 24
GW: 94.199.215.65

OPNsense läuft in einer VM in Proxmox und nutzt dort 2x Linux Bridge wobei vmbr0 auf die Netzwerkkarte zeigt und vmbr2 dann als LAN für OPNsense genutzt werden soll.

Es wurde OPNsense laut verschiedener Anleitungen und Videos installiert und eigerichtet, aber irgendwie schaffe ich es nicht, dass die Ports passend weitergeleitet werden.

Vielleicht will mir jemand weiterhelfen, dass ich die OPNsense verstehen und einrichten lerne, wofür ich sehr dankbar wäre.

Bitte habt Rücksicht mit mir, da ich bestimmt nicht alles verstehen werde beim erstenmal.

Danke für Eure Hilfe und wünsche noch einen schönen Tag.

MFG DerProf