Messages

[Vorab: Probleme weitgehend gelöst.]

Vorab: Probleme weitgehend gelöst.

Zusammenfassung:

• OPNsense finde ich sehr gut und möchte das auf jeden Fall nutzen und mit der Zeit weiter vertiefen.
• Bei HAProxy gefällt mir der Aufbau mit Server, Backend, Map-File, ACME-Plugin usw. besser, als bei Caddy, aber vielleicht nur, weil ich mich damit zuerst und viel länger beschäftigt hatte. Evtl. schaue ich mir das später, mit mehr Zeit, nochmals an.
• Caddy hatte mich gestern morgen zunächst abgeschreckt, da mir ein Tutorial mit PrintScreen fehlte und einige Fragen unbeantwortet blieben.
• Ohne DeepSeek hätte ich gestern Caddy nicht installieren können und trotzdem musste ich aufmerksam Fehler korrigieren, die auch DeepSeek machte.
• Ohne OPNsense zu installieren, loszulegen und vor allem im Forum die Unterstützung zu erhalten, wäre ich gar nicht soweit gekommen. Nur mit Lesen, sehe ich nicht, wie das funktionieren könnte. Es bleibt auch unklar, weshalb Caddy funktioniert und HAProxy nicht.

Ergebnis:

• tatsächlicher Installationsaufwand (ohne HAProxy und Fehlersuche) ca. 4-6 Stunden für OPNsense vom USB-Stick, wenige Grundeinstellungen (IP, DHCP, Port, Backup), DynDNS (ddclient) und Caddy sowie Nextcloud AIO auf dem NAS inkl. Fehlerbehebung (Header, MIME-TYPE, CLI-URL etc.) sowie eigene Doku.
• ddclient und caddy laufen und waren einfach bzw. problemlos zu installieren
• FlexDNS und Token für Let's Encrypt von Domain Offensive (do.de) ist bereits inklusive und einfach einzustellen.
• nc.DOMAIN.de, nas.DOMAIN.de usw. sind von intern und extern erreichbar "Verbindung sicher"
• ssllabs.com bestätigt A+ Zertifikat
• Nextcloud AIO installiert. Version: Nextcloud Hub 25 Autumn (32.0.0)
• bei nc.DOMAIN.de erfolgreich angemeldet
• NC Fehler und Warnungen konnte ich heute weitgehend beheben

noch offen:

• Synchronisation mit Thunderbird, Smartphones etc.
• dnschecker.org meldet SOA Warnungen, lt. Domain Offensive do.de jedoch unerheblich (z. B. anderes Zahlenformat)
• Services: Caddy: Log File meldet Fehler und Warnungen, die noch zu klären wären, aber Funktionalität ist soweit gegeben
• andere Log Files von System und anderen Plugins prüfen

Herzlichen Dank nochmals an alle für Tutorials sowie die Unterstützung in Beiträgen und per PN. Das war sehr hilfreich und notwendig.

[Vielleicht für Newbies interessant:]

Vielleicht für Newbies interessant:
deshalb noch eine Rückmeldung, um diesen Beitrag abzuschließen - falls andere über ähnliche Probleme stolpern sollten:

Ich hatte ursprünglich (nur) einen Snapshot aktiviert und meinte, dass ich damit das "System" zu dem gesicherten Zeitpunkt zurückerhalte. Dem war nicht so und hier kann ich nur vermuten. Ich meinte, dass der Snapshot alles sichert und habe nach dem Snapshot einige Einstellungen verändert, welche offensichtlich durch den Snapshot nicht zurückgesetzt wurden und ich deshalb einen inkonsistenten Zustand erhielt, der schlichtweg unbrauchbar war.

Heute konnte ich Folgendes erreichen:

• System: Snapshots zum Zeitpunkt, welchen ich später wieder herstellen wollte, z. B. "20251009005542-CLEAN-IP-DHCP-PORT"
  Activate (noch ohne Neustart), um diesen Snapshot "vorzubereiten", also gleiche Version und vermutlich auch gleiche Plugins, die installiert waren - oder eben noch nicht installiert.
• System: Configuration: Backups
  - Download (als *.xml) zum gleichen Zeitpunkt wie Snapshot und heute
  - Restore dieser Version, nachdem ich den Snapshot aktiviert, aber OPNsense noch nicht neu gestartet hatte.

Nach dem Neustart hatte ich wieder mein System und meine Einstellungen, wie zum Zeitpunkt direkt nach der Installation vom USB-Stick "CLEAN", inkl. geänderter IP, DHCP mit statischen Adressen für bestimmte Clients und geändertem Port für die OPNsense.

Vorteil: Bei Werksreset, Neuinstallation o. ä. wird immer die IP auf Standard 192.168.1.1 zurückgesetzt. Da bei mir kein Client direkt an OPNsense hängt, musste ich erst ein Notebook umstecken, dessen IP zurücksetzen, die Ersteinrichtung vornehmen, danach wieder umstecken und nochmals die IP des Notebooks zurücksetzen. Unnötig, wenn ich einen Snapshot und ein Backup der Einstellungen vom gleichen Zeitpunkt gleichzeitig zurückspiele. Dann habe ich tatsächlich das gleiche "System" und auch die gleiche "System: Configuration: History", welche in meinem Fall dann einen Sprung von gut 3 Tagen zeigt. Als Newbie ist das bei mir quasi CLEAN mit  den wenigsten Einstellungen - und später wird es der jeweilige Stand sein, der gut funktioniert. Sicherlich auch nach jedem erfolgreichen Update zu empfehlen - oder auch, bevor man zu einem älteren Stand nur testweise/vorübergehend zurückspringen will.[/li][/list]

Ergänzung: nach dem Rollback sollte man nochmals einen Snapshot machen oder duplizieren und den aktiven Snapshot als "default" benennen, da sich andernfalls der ursprüngliche Snapshot mit der Zeit verändern würde. Danach würde man nicht erneut zum ursprünglichen Zeitpunkt zurückkommen, wenn man keine zweiten Snapshot davon hat. Im Gegensatz zum Snapshot, verändern sich die Backups der Konfiguration nicht, aber man braucht jeweils beides zusammenpassend.

Mir war nicht bewusst, dass ich beides in enger Kombination nutzen muss, und ich konnte das auch nicht bei Snapshots oder Backups herauslesen. Man braucht also beides gleichzeitig, außer man macht nur z. B. ein Update und hat in der Zeit sicher keine Einstellungen geändert.

All-Flash NAS, NVMe SSDs mit 10G angebunden - quasi so schnell wie eine interne SSD und massig Speicherplatz. Zählt das auch?

Von MS oder Google möchte ich eher so rasch wie möglich weg.

Aber klar, ich verstehe, dass man ganz anders auf das Thema schauen kann.

Hallo Patrick & an alle anderen,

Nextcloud hinter die Fritzbox und machst Port 443 auf und gut ist?

Wo soll ich anfangen, um es trotzdem "kurz" zu halten?

• Nextcloud und andere Apps auf QNAP waren für mich eine Katastrophe - nichts lief ohne ständigen Support.
• Auf Asustor war NC einfach zu installieren und lief problemlos bis auf 2x Update und alles crashte.
• Deshalb wollte ich Nextcloud AIO selbst installieren und da ich ohnehin auf UGREEN wechseln wollte...
• scheiterte die Installation jedes Mal am Reverse Proxy - fragt mich bitte nicht weshalb.
• Firewall Mini-PC hatte ich bereits letztes Jahr auf Empfehlung hin gekauft und ist nicht mehr retournierbar.
• OPNsense hörte sich besser an als pfSense, also wollte ich OPNsense zuerst installieren und dann NC-AIO.
• Am Sonntag lief auch alles soweit und am Montag begann ich voller Motivation mit Installation der NC.
• Keine Ahnung, weshalb dann OPNsense crashte und weshalb jetzt - trotz Neuinstallation - nichts mehr geht.

Ich habe hier die Wahl zwischen ca. 225 Mbps DSL - nur über WLAN - mitzunutzen, oder ziemlich aufwändig neue Kabel zu verlegen und einen zweiten Anschluss zu beauftragen - aber um was zu erreichen? Eine Dauerlösung ist es ohnehin nicht. OPNsense bzw. zuvor der ASUS Router hängen als Exposed Host hinter der Fritzbox und die Fritzbox übernimmt für mein Netzwerk KEINE anderen Aufgaben, außer der Durchleitung.

Wenn ich nun wüsste, dass ich auch kommende Woche weder einen Reverse Proxy noch Nextcloud haben werde, dann würde ich tatsächlich aufgeben, ABER eigentlich funktionierte es am Sonntag schon und da hatte ich kein IPv6 deaktiviert oder andere Akrobatik veranstaltet, sondern einfach das Tutorial befolgt. Zwischenzeitlich weiß ich, dass Werksreset über die Weboberfläche, eben kein Werksreset ist und ich mit Snapshot nicht gesichert zum gleichen Stand komme, wie zuvor. Aber ich weiß nicht, welche Einstellungen evtl. noch vorhanden waren und am Sonntag entscheidend waren, dass es funktionierte. Wie komplex das Thema werden kann, stand leider nicht außen auf der Box (bitte nicht wörtlich nehmen!).

Ich denke, dass ich heute zwischen einfachem Reset oder nochmals die SSD platt machen entscheiden muss und dann morgen Cady aufsetze und HOFFENTLICH xxx die Kiste dann läuft, wie sie soll.

Bereits heute nutze ich 2 bzw. 3 NAS (@Home, @Firma) und deshalb macht es für mich auch Sinn, OPNsense einzuführen und zu verstehen. Aus anderen Gründen ist der finanzielle Rahmen aktuell trotzdem begrenzt. Die Firma soll möglichst bald skaliert werden und dann hoffe ich, jemanden - zunächst auf MiniJob- oder Teilzeitbasis einstellen zu können, der/die dann auch die passende Ausbildung hat. Jetzt hänge ich zwischen den Seilen - kein nur privates Hobby und auch kein Business mit passendem Budget - nicht Fleisch, nicht Fisch, wie man sagt. Allerdings sehe ich noch nicht, dass ("nur") ein Reverse Proxy mit DynDNS und LE Zertifikat auf OPNsense, zwingend so problematisch sein muss. Dass es trotzdem nicht läuft, habe ich ebenfalls realisiert.

Also bitte seht mir nach, dass ich es trotzdem versuchen und nicht einfach aufgeben möchte und beantwortet halt nur jene Beiträge, die jeder beantworten möchte. Und wenn es trotz allem nicht in das Forum passt, dann bitte ich um Hinweis und werde mich zurückziehen.

Herzliche Grüße und nochmals DANKESCHÖN für die bisherige Unterstützung,

Rico

Benutze einfach Caddy mit Cloudflare

Wow! Ich hatte (evtl. falsch) verstanden, dass HAProxy quasi DIE Empfehlung für Nextcloud mit OPNsense wäre.

Da es mir primär darum geht, Nextcloud auf meinem NAS installieren zu können, werde ich Caddy anschauen, ob das einfacher ist - mal sehen, ob ich jetzt nochmals die SSD platt machen und von vorne beginnen muss.

Dankeschön für den Hinweis

[ich dokumentiere jeden Schritt mit PrintScreens und Erklärung für ein überarbeitetes Tutorial]

Hallo zusammen,

selbstverständlich habe ich verstanden, dass mir zu viele Grundlagen zu den Themen Netzwerke, Protokolle, OPNsense, HAProxy, DynDNS usw. fehlen und ich mir das falsche Projekt (Nextcloud auf eigenem NAS) "ausgesucht" habe, um mir das Wissen anzueignen. Deshalb möchte ich auch nicht weiter herumstochern, solange mein HAProxy ohnehin nicht funktioniert.

Da ich den Firewall Mini-PC schon dastehen habe und mich auch davon überzeugt habe, dass OPNsense - auf längere Sicht - der richtige Weg ist, möchte ich trotzdem nicht so einfach aufgeben und sehe für mich folgende Möglichkeiten:

• Ich finde jemanden, der die Einrichtung korrigiert oder so vornimmt, dass HAProxy mit DynDNS und LE Zertifikat so funktionieren, dass ich dahinter Nextcloud auf meinem NAS installieren kann und das nicht mein Budget sprengt. Etwas anderes ist auf meiner OPNsense nicht drauf.
  
• Wir machen das Hand-in-Hand und ich dokumentiere jeden Schritt mit PrintScreens und Erklärung für ein überarbeitetes Tutorial, welches bevorzugt der Mentor oder ein Moderator einstellen könnte. Vorteil wäre, dass ggf. eine Diskussion stattfinden könnte, welche Einstellungen - und weshalb - am besten geeignet sind (z. B. für das Frontend) und sich die nächsten Newbies danach vorgehen können. Das macht sicherlich nur Sinn, wenn ich nicht die Ausnahme bin, die Nextcloud hinter HAProxy betreiben möchte.
  
• Eine Kombination aus beidem ist auch möglich, für mich wäre allerdings wichtig, dass ich Nextcloud wirklich sehr dringend brauche.

Was meint ihr? Hat jemand Interesse das Thema aufzugreifen oder Fragen, Hinweise, Anregungen, Kritik?

Dann gerne Kommentieren - und falls der Beitrag unerwünscht ist, bitte löschen!

Dankeschön & herzliche Grüße aus Waldbronn,

Rico

[Block private networks: Y/N]

https://www.thomas-krenn.com/en/wiki/OPNsense_disable_IPv6

Offenbar hat der DNS-Eintrag mehrere Adressen - Du willst ja offenbar nur eine und zwar eine IPv4, die nicht RFC1918 ist. Wie gesagt, ich kenne den DDNS-Provider nicht, aber Du musst sicherstellen, dass nur eine IP vorhanden ist - im Zweifel, indem Du dort alle anderen Adressen per Web-UI löschst.

Sehr guter Link. Dankeschön. Ich habe das durchgearbeitet und eine Frage, die dort unterschiedlich zum Tutorial oder sonstigen Empfehlungen ist:

• Block private networks: Y/N
• Block bogon networks: Y/N

Jetzt habe ich auch verstanden, woher die "multiple addresses" kamen und beim Hoster alle Records gelöscht und nur CAA und CNAME eingetragen.
Anschließend wurde A mit der korrekten öffentlichen IPv4 und AAAA mit :: vermutlich durch ddclient gesetzt.
Der Hinweis von ssllabs.com auf private address space (RFC 1918) stand übrigens bei IPv6: 0:0:0:0:0:0:0:0
Bei der öffentlichen IPv4 steht jetzt Ready.
Immerhin bekomme ich jetzt ein Zertifikat mit A, ohne +, aber das könnte noch and diesen Cliphers liegen. Dazu lese ich nochmals nach.

Beim Aufruf von intern und extern bekomme ich jetzt 503 Service Unavailable
Das war zuvor nicht und da muss ich ggf. auch nochmals danach suchen.

https://dnschecker.org/dns-record-validation.php zeigt folgende Hinseise:

• Name Servers are on the Same Subnet.
• SOA Expire Value is out of recommended range.
• SOA Serial Number Format is Invalid.

Gibt eis dazu bitte einen Hinweis, was ich bei den Records ändern sollte? Printscreen anbei

[Wie kann ich bitte für den Anfang sicherstellen, dass "gar kein IPv6" aktiviert ist?]

Also entweder gar kein IPv6 oder eben funktionierend

• Wie kann ich bitte für den Anfang sicherstellen, dass "gar kein IPv6" aktiviert ist?
• Soll ich das WAN Gateway IPv6 deaktivieren?
• Dürfte ich dann bei
  
  • - Interfaces:Overview
  • - System: Gateways: Configuration

• GAR KEINE IPv6 Adressen sehen?

Ich habe die Beiträge READ THIS FIRST und OpnSense für Dummies (speziell für Fritzbox-Umsteiger) sowie mehrere zu "RFC 1918" nochmals genau gelesen.

• OPNsense hängt als "Exposed Host" mit selbständiger Portfreigabe hinter einer FritzBox 5690 Pro an deren WLAN
• Die FritzBox soll hier nur das Internet an der WAN-Schnittstelle der OPNsense zur Verfügung stellen. Keine andere Aufgabe.
• Leider kann ich das physikalische Setup aktuell hier nicht ohne Weiteres ändern/verbessern, aber letzten Sonntag funktionierte HAProxy mit DynDNS und ACME.

Tatsächlich habe ich jedoch noch immer ein Problem mit "RFC 1918", welches ich am Sonntag nicht hatte.

• SSLLabs meldet für meine EIGENE_DOMAIN.de
  - Certificate not valid for domain name
  - IP address is from private address space (RFC 1918)
  => also wird noch immer die RFC 1918 statt öffentlicher IP übermittelt.

Die Zertifikate für *.EIGENE_DOMAIN.de und *.SUBDOMAIN.dedyn.io wurden jedoch ausgestellt und installiert. Last ACME Status: OK
=> SUBDOMAIN.dedyn.io habe ich danach überall deaktiviert (ACME: Accounts, Challenge Types, Certificates; Dynamic DNS: Settings: Accounts)

Meine EIGENE_DOMAIN.de ist bei do.de (Domain Offensive) gehostet und dort nutze ich das integrierte FlexDNS, also ohne weiteren DynDNS-Provider dazwischen.

Ergänzung:

Interfaces: [WAN]: IPv6 Configuration Type: None (jetzt deaktiviert)

System: Gateways: Configuration: Es gibt nur noch IPv4

Interfaces: Overview: IPv6 Adressen werden trotzdem noch mit /64 am Ende sowie bei Routen angezeigt

Services: Dynamic DNS: Settings: Accounts zeigt die korrekte öffentliche IPv4

Interfaces: Diagnostics: Trace Route: ANY_STRING.MEINE_DOMAIN.de ergibt:  has multiple addresses
ohne ANY_STRING, also nur mit MEINE_DOMAIN.de kommt dieser Fehler nicht

Code Select Expand

traceroute: Warning: xxx.de has multiple addresses; using 116.181.223.12 traceroute to xxx.de (116.181.223.12), 64 hops max, 40 byte packets

TTL AS# Host Address Probes
1 AS0 192.168.178.1 192.168.178.1 2.363 ms
2 AS3320 p3e9bf52b.dip0.t-ipconnect.de 62.155.245.43 6.253 ms
3 AS3320 f-ed53-i.F.DE.NET.DTAG.DE 217.5.118.230 11.250 ms
4 AS3320 62.157.443.128 62.157.251.167 11.394 ms
5 AS24940 core12.nbg1.hetzner.com 213.239.245.34 15.016 ms
8 AS24940 268338.your-cloud.host 128.140.19.82 20.061 ms

Hier noch die Ergebnisse meiner IPv6-Suche:

System: Gateways: Configuration

• WAN_DHCP (active), WAN, IPv4, 254, 192.168.178.1, Status: grün, Interface WAN_DHCP Gateway
• WAN_DHCP6 (active), WAN, IPv6, 254, fe80::dj76:87ff:ad45:a354, Status: grün, Interface WAN_DHCP6 Gateway

Interfaces: Overview

Code Select Expand

Status        Device    VLAN    IPv4            IPv6            Gateway        Routes
LAN (lan)    Igc0    static    192.168.50.1/24        fe80::...:c2f5/64            192.168.50.0/24
                                                fe80::%igc0/64
WAN (wan)    Igc1    dhcp    192.168.178.5/24    2003:...:c2f6/64    192.168.178.1    default
                            fd5e:...:c2f6/64    fe80::...:e579    192.168.178.0/24
                            fe80::...:c2f6/64            default
                                                2003:...:e579
                                                fd5e:...:e579
                                                fe80::%igc1/64
Unassigned    Igc2, 3, 4, 5                       
           
Loopback    lo0    static    127.0.0.1/8        ::1/128                    127.0.0.1
                            fe80::1/64                192.168.50.1
                                                192.168.178.5
                                                ::1
                                                2003:...:c2f6
                                                fd5e:...:c2f6
                                                fe80::...:c2f6%lo0
                                                fe80::...:c2f5%lo0
                                                fe80::%lo0/64
                                                fe80::1%lo0
Unassigned    eno0                       
Unassigned    pflog0       


• Services: Dynamic DNS: Settings: advanced mode
  Verbose: No 
  Allow IPv6: No

• System: Routes: Configuration:
  0.0.0.0/0, WAN_DHCP - 192-168-178.1 Standardroute (noch aktiviert)
• Ergebnis:
  Ping EIGENE_ DOMAIN.de funktioniert
  Ping SUBDOMAIN.dedyn.io funktioniert nicht

Ich werde morgen nochmals nach Unterschieden zwischen den beiden Domains suchen und das Tutorial zu Ende durchgehen.

Eventuell ist auch ein IPv6 DNS-Server konfiguriert.

System: Settings: General:  Prefer IPv4 over IPv6: No
=> Soll ich das auf Yes,  Prefer to use IPv4 even if IPv6 is available umstellen?
=> DNS servers habe ich komplett leer gelassen

Ich werde nochmals alle Einstellungen nach IPv6 durchsuchen, da ich das tatsächlich gerne beheben würde.


Zwischenzeitlich habe ich noch eine EIGENE DOMAIN direkt über do.de mit FlexDNS eingerichtet, um mögliche Fehler bei DynDNS auszuschließen.

Dann sollte die OPNsense nach außen verbinden können. Bspw. ein Ping auf 1.1.1.1

Also PING 1.1.1.1, 8.8.8.8, 9.9.9.9 oder andere Domains haben immer funktioniert.
Lediglich SUBDOMAIN.dedyn.io funktioniert nur mit Standardroute und IPv6 aktiviert.

System: Routes: Status

Code Select Expand

Protokoll    Ziel                                Gateway                            Flags    MTU     Netzwerk        Netzwerkschnittstelle
ipv4         default                             192.168.178.1                      UGS      1500    WAN             igc1
ipv4         127.0.0.1                           link#7                             UH       16384   Loopback        lo0
ipv4         192.168.50.0/24                     link#1                             U        1500    LAN             igc0
ipv4         192.168.50.1                        link#7                             UHS      16384   Loopback        lo0
ipv4         192.168.178.0/24                    link#2                             U        1500    WAN             igc1
ipv4         192.168.178.5                       link#7                             UHS      16384   Loopback        lo0
ipv6         default                             fe80::...%igc1                     UG       1500    WAN             igc1
ipv6         ::1                                 link#7                             UHS      16384   Loopback        lo0
ipv6         2003:xxxx:xxxx::/64                 link#2                             U        1500    WAN             igc1
ipv6         2003:xxxx:xxxx:...                  link#7                             UHS      16384   Loopback        lo0
ipv6         2003:xxxx:xxxx:...                  fe80::...%igc1                     UGHS     1500    WAN             igc1
ipv6         fdxx:xxxx:xxxx::/64                 link#2                             U        1500    WAN             igc1
ipv6         fdxx:xxxx:xxxx:...                  link#7                             UHS      16384   Loopback        lo0
ipv6         fdxx:xxxx:xxxx:...                  fe80::...%igc1                     UGHS     1500    WAN             igc1
ipv6         fe80::%igc0/64                      link#1                             U        1500    LAN             igc0
ipv6         fe80::...%lo0                       link#7                             UHS      16384   Loopback        lo0
ipv6         fe80::%igc1/64                      link#2                             U        1500    WAN             igc1
ipv6         fe80::...%lo0                       link#7                             UHS      16384   Loopback        lo0
ipv6         fe80::%lo0/64                       link#7                             U        16384   Loopback        lo0
ipv6         fe80::1%lo0                         link#7                             UHS      16384   Loopback        lo0

[Kann mit meiner öffentlichen IPv4 noch etwas anderes gestört sein?]

das ist mir jetzt zu aufwendig

Also das sind nun gerade nicht meine Worte - im Gegenteil. Nachdem 2x Zurücksetzen und mehrfach Rollback nicht funktionierten, habe ich sogar die ganze SSD nochmals überschrieben, damit OPNsense wirklich CLEAN ist, was beim Rücksetzen über Webgui nicht der Fall ist.

Ich hänge jetzt auch schon 2 Wochen mit der Grundinstallation von OPNsense und HAProxy fest, weil ich das korrekt machen möchte, aber eigentlich brauche ich DRINGEND Nextcloud.

Deshalb auch nochmals meine Frage:

• Kann mit meiner öffentlichen IPv4 noch etwas anderes gestört sein?

Wenn ich die selbst eingetragene Standardroute sowie Verbose und Allow IPv6 jeweils deaktiviere, kommt wieder dieser Fehler:
Services: Dynamic DNS: Log File

Code Select Expand

2025-10-09T18:19:54 Notice ddclient WARNING: Could not determine an IP for SUBDOMAIN.dedyn.io
2025-10-09T18:19:54 Notice ddclient WARNING: SUBDOMAIN.dedyn.io: unable to determine IP address with strategy use=cmd
2025-10-09T18:19:54 Notice ddclient WARNING: found neither IPv4 nor IPv6 address
Sobald ich die Standardroute sowie Verbose und Allow IPv6 jeweils aktiviere, funktioniert es wieder:

Code Select Expand

2025-10-09T18:20:46 Notice ddclient SUCCESS:  SUBDOMAIN.dedyn.io: skipped: IP address was already set to 93.214.62.185.
Ich frage deshalb nochmals nach, damit am Ende nicht die ganze Installation auf wackligen Beinen steht, weil IPv4 o. a. eigentlich nicht korrekt funktioniert.

Am Sonntag war zwar auch diese Standardroute eingetragen, aber sicher nicht Verbose und IPv6 - und es funktionierte.

[Issue:Services: Dynamic DNS: Settings: Accounts: Check-ip method: Interface (like shown in the Tutorial)=> this picks the IPv4 of the Intervace, which is local behind the FritzBox]

Part 2.8

In your OPNsense go to: Services --> Dynamic DNS --> Accounts
Click on "Add", fill out the information accordingly, hit "Save" and then "Apply".
(The password is your token.)

Due to my topology

Code Select Expand

FritzBox > OPNsense as "Exposed Host" > Router/Clientthe IPv4 of OPNsense in the FritzBox LAN: 192.168.50.5 has been populated instead of the public IPv4

• Issue:
  Services: Dynamic DNS: Settings: Accounts: Check-ip method: Interface (like shown in the Tutorial)
  => this picks the IPv4 of the Intervace, which is local behind the FritzBox
  
• Solution:
  Services: Dynamic DNS: Settings: Accounts: Check-ip method: akamai (OPNsense default value)
  => in my case, this picked the correct public IPv4

Just in case any further "Newbies" struggle with the same issue.

Thanks to TheHellSite for the Tutorial as well as 
thanks to viragomann and meyerguru for guiding to this solution.

Probleme, die bei einem Router-behind-Router Szenario entstehen (weshalb ich immer nahelege, das zu vermeiden

Ja, das hatte ich bereits zur Kenntnis genommen und ich bin grds. vollkommen einverstanden, aber hier wäre der Aufwand unverhältnismäßig hoch bzw. aktuell gar nicht machbar - insbesondere, da am Sonntagabend alles bereits funktioniert hatte.

checkip-Methode "Akamai

Bingo! mit "Akamai" funktioniert es. DANKESCHÖN

"Interface" scheint mir die schlechteste Wahl aus dem Sortimen für dein Setupt zu sein.

Danke! Ich werde noch einen Kommentar unter dem Tutorial ergänzen, falls andere auch dieses Problem bekommen sollten. OPNsense als "Exposed Host" hinter FritzBox ist vermutlich keine völlig extreme Ausnahme, wenn auch nicht "empfohlen". Akamai ist zudem bereits voreingestellt. Merci :-)


Bevor ich weitermache, darf ich bitte noch um Rat zu folgenden Einstellungen bitten?

• System: Routes: Configuration: 0.0.0.0/0, WAN_DHCP - 192.168.178.1, Standardroute
  => Muss ich diese Standardroute eintragen, obwohl aktuell das Meiste mit Voreinstellungen funktioniert?
  
• System: Settings: General: Networking: DNS Server
  => sollte ich hier DNS Server eintragen oder NUR dann, wenn ich eine andere Reihenfolge wünsche?
  
• Services: Dynamic DNS: Settings: General settings: Allow IPV6: Yes, for updates
  => Soll ich das wieder auf Voreinstellung = "No" zurückstellen, oder kann IPv6 eine Verbesserung sein?

Aber was für alternative Check Methoden werden noch angeboten?

Check ip method:

•     akamai
•     akamai-ipv4
•     akamai-ipv6
•     cloudflare
•     cloudflare-ipv4
•     cloudflare-ipv6
•     dynu-ipv4
•     dynu-ipv6
•     freedns
•     he
•     icanhazip
•     ipify-ipv4
•     ipify-ipv6
•     loopia
•     myonlineportal
•     noip-ipv4
•     noip-ipv6
•     nsupdate.info-ipv4
•     nsupdate.info-ipv6
•     zoneedit
•     Interface

Interface to monitor:

• None
• LAN
• WAN

Leider kann ich hier nicht ohne Weiteres die Topologie ändern. Dazu müsste ich einen neuen DSL-Anschluss beauftragen und einiges an Kabel verlegen, wo ich wiederum nicht ohne Weiteres die Wände, Decken oder Böden aufklopfen kann. Mit der aktuellen Topologie habe ich kaum Verluste und werde den FritzRepeater 1750E gelegentlich durch die neuen Wifi-7 Repeater ersetzen, was aufgrund der Internetgewschwindigkeit, aber nachrangig sein sollte.

OPNsense ist als "Exposed Host" eingetragen und checkt alle 300ms die IP. Das könnte ich ggf. herabsetzen. Für das LE Zertifikat wird es einen Cronjob geben, aber soweit komme ich aktuell noch gar nicht, denn Ping sollte sofort funktionieren und es muss wohl mit der IPv4 zusammenhängen.

Am Sonntagabend funktionierte es mit diesem Setup - bis ich mit der Installation von Nextcloud begann und/oder sich die öffentliche IP geändert hat. Da damals die öffentliche IP korrekt eingetragen wurde, muss ich aktuell irgendwo einen Fehler haben oder es gab noch eine unbewusste Einstellung.