Webgui WAN

[morlies]

Hallo,

ich teste gerade opnsense und bekomme keinen Zugriff auf die Webgui über WAN. Ich weiß, dass es hierzu mehrere Posts gibt. Die Empfehlung "disable reply-to" ist schon gesetzt (Flag gesetzt).

Ich habe aktuell pfsense im Einsatz (natürlich mit anderen IP's). Identische Firewall rule habe ich in opnsense gesetzt. Jedoch komme ich nicht auf die Webgui.

Ist diese Funktion überhaupt noch  möglich? Ich teste mit 19.7, jedoch selbes Verhalten mit der Vorgängerversion.

Wenn es geht und jemand das Setup nutzt ... es wäre super wenn die Rule per Screenshot oder Text weitergegeben wird damit ich das nachbauen kann. Ich möchte damit in VMWare Clients absichern, opnsense selbst ist auch eine VM ... WAN ist mein "normales" Netzwerk, kein Internet somit ist "Webgui aus WAN ist unsicher ..." erstmal nicht die Lösung. Es ist ein Test-Setup.

Danke!

Firewall rules die ich eingetragen habe:

Protocol   Source   Port   Destination   Port                           Gateway   Schedule   Description    
IPv4 TCP   *          *   192.168.0.222/24   80 (HTTP)      *           *   WebGui HTTP WAN      
IPv4 TCP   *          *   192.168.0.222/24   443 (HTTPS)   *           *   WebGui HTTPs WAN

Code Select Expand


      .-----+-----.
      |  Gateway  |  192.168.0.1
      '-----+-----'
            |
        WAN | 192.168.0.222
            |
      .-----+------.   
      |  OPNsense|
      '-----+------'
            |
        LAN | 192.168.1.1/24 (DHCP Server für Clients)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)




[superwinni2]

Firewallregen auch im WAN Bereich erstellt?

Zudem in den Einstellungen das Web GUI so eingestellt damit dieses auch auf dan WAN Interface reagiert?

[morlies]

Firewallregen auch im WAN Bereich erstellt?  --  Ja


Zudem in den Einstellungen das Web GUI so eingestellt damit dieses auch auf dan WAN Interface reagiert?

System -> Setting -> Administration -> Listen Interfaces:      All (recommended)   
... Hilfetext "Only accept connections from the selected interfaces. Leave empty to listen globally. Use with care."

Das ist auf der Seite, auf der oben zwischen HTTP - HTTPS umgeschaltet werden kann. Sonst sehe ich keine Einstellung die eine Unterscheidung machen lässt.

Ich habe mir eine parallel geschaltete VM gebaut mit der ich den Traffic auf das Lan bekomme, damit kann ich konfigurieren. Dennoch würde ich es aus Interesse gerne schaffen :)

[superwinni2]

Nächste Idee:
Hast du in den Interface Einstellungen den Haken "Block private networks" entfernt?


Irgendwelche Plugins installiert welche auf den HTTPS Port hören? (HAProxy, Nginx etc..?)

Du könntest auch mal schauen ob in den FW Logs deine Pakete ankommen.
Firewall -> Log Files -> Live Log
Wenn diese Rot hinerlegt sind, wurden diese blockiert.

[morlies]

hi superwinni2,

ich habe "block private networks" nicht gesetzt. Im log sind die anfragen zu sehen, jedoch grün also wird auch ncihts geblockt.

ich danke dir für den versuch zu helfen, post ist als kurzes feedback gedacht.

ich habe weiterhin interesse mir das nochmal genauer anzusehen, habe aktuell aber keine zeit. komme ggf. später nochmal auf das forum zurück.

viele grüße

[banym]

Ist evtl. noch eine NAT Regel für 443 oder 80 eingerichtet?
Das könnte sich beißen wenn du auch 443 für das Firewall-Management verwendest.

[morlies]

Ich weiß, dass mein ursprünglicher Post schon lange her ist. Ich habe aus Zeitmangel damals nicht weitergemacht. In meinem Weihnachtsurlaub habe ich nun mit aktueller Version das selbe Setup gemacht.

Hat auf Anhieb geklappt, keine zusätzliche Workarounds. Nur eine Rule auf WAN die den Port zulässt und es geht. Es gibt eine kurze Anleitung die ich vor kurzem gefunden habe. Ich hoffe ich darf hier auf einen Blog verlinken.

https://think.unblog.ch/zugriff-auf-opnsense-web-gui-via-wan-nach-installation/

Mache das hier jetzt zu.