wieder einmal Port-Forwarding

[codingape]

Frohes Neues liebe OPNsense Comunity,

bei der suche nach einer Lösung habe ich schon festgestellt, dass das Thema Port-Forwarding schon ein leidiges ist und oft behandelt wurde.
Nachdem ich nun mittlerweile an die 20 Anleitungen ausprobiert und auch verschiedenste Beiträge gelesen und danach ausprobiert habe, komme ich einfach nicht weiter.

Mir gelingt es einfach nicht Dienste von außen erreichbar zu machen, ich habe mich erst mit Wireguard versucht.
Weder die Variante als LXC noch die Variante in OPNsense funktioniert. Auch einfach einen Port Testweise für Emby oder Nextcloud zu öffnen gelingt mir einfach nicht.

Auch bei einem Portscan wird mir angezeigt das diese geschlossen sind.

Mein Anbieter ist die Telekom über Kabel (Dual-Stack).

Die Einstellungen fürs DynDNS sind nicht das Problem meine Domain wird mit der richtigen IP aufgelöst.

VLANs sind noch nicht eingerichtet.

Ich weiß nicht ob ich noch Einstellungen in Proxmox vornehmen muss, oder in der OPNsense irgendetwas übersehen habe.



You cannot view this attachment.
Auszug aus meinem LAN

Proxmox:
WAN- und LAN-Port sind per passtrough direkt an die OPNsense durchgereicht

OPNsense:

WG-Instance

Enabled:	✓
Name:	WG01
Instance:	0
Public-Key:	abc123=example
Private-Key:	klm456 =example
Listen-Port:	51820
Tunnel adress:	10.10.5.1/24
Depend on (CARP)	None
Peers	mobilephone
Disable routes	☐

Peer

Enabled	✓
Name	mobilephone
Public-Key	abc123=example
Pre-Shared-Key	xyz789=example
Allowed IPs	10.10.5.2/24
Enpiont adress	domain.example
Endpiont port	51820
Instances	WG01
Keepalive interval	-

Interfaces:

Enable	✓
Lock	✓
Identifier	opt2
Device	wg0
Description	WG01
Block private networks	☐
Block bgon networks	☐
IPv4 Configuration Type	None
IPv6 Configuration Type	None
MAC address	-
Promiscuos mode	☐
MTU	-
MSS	-
Dynamic gateway policy	☐

DNSMASQ:
-> all interfaces

Firewall WAN:

Action	Pass
Disabled	☐
Quick	✓
Interface	WAN
Direction	in
TCP/IP Version	IPv4
Protocol	UDP
Source / invert	☐
Source	any
Destination / invert	☐
Destination	WAN adress
Destination port range	from:	to:
	(other)	(other)
	51820	51820
Log	✓
Category	-
Description	Wireguard rule
No XMLRPC Sync	☐
Schedule	None
Gateway	default

Firewall WG01:

Action	Pass
Disabled	☐
Quick	✓
Interface	WG01
Direction	in
TCP/IP Version	IPv4
Protocol	any
Source / invert	☐
Source	any
Destination / invert	☐
Destination	any
Destination port range	from:	to:
	any	any
Log	✓
Category	-
Description	WG01 any
No XMLRPC Sync	☐
Schedule	None
Gateway	default

Network Address Translaton:

Reflection for port forwards	✓
Reflection foe 1:1	☐
Automatic outbound NAT for reflection	✓

Ich erwarte keine vollständige Anleitung, ich würde mich jedoch freuen wenn ich hier und da nochmal einen Hinweis bekomme wo ich nochmal nachlesen kann bzw was ich übersehen habe.

Ich danke schonmal im voraus.

[cklahn]

Verstehe ich es richtig, dass Deine OPNsense auf dem WAN und auf dem LAN dieselbe IP hat? Das wird nicht funktionieren, da nichts geroutet werden kann. WAN-seitig muss sie eine IP aus Deinem 192.168.100.0-Netz bekommen.

[codingape]

Das hab ich etwas unglücklich dargestellt. Wan-seitig bekommt sie die IP aus dem 192.168.100.0-Netz.
Sonst hätte ich ja auch keine Internetverbindung, oder irre ich mich?

[Patrick M. Hausen]

Das ist richtig, bekommt sie auch. Wan-seitig bekommt sie die IP aus dem 192.168.100.0-Netz.
Sonst hätte ich ja auch keine Internetverbindung, oder irre ich mich?

Das können wir nicht wissen, da in deiner Übersicht nunmal etwas völlig anderes steht. Also bitte nochmal ein Diagramm, was tatsächlich Sache ist. Sonst wird es mit der Hilfe einfach schwierig.

[codingape]

Tatsächlich weiß ich nicht die genaue IP. Ich habe da die Standartkonfiguration gelassen. Damit hatte ich auf Anhieb auch eine Internetverbindung.
Das sind die Adressen die mir bei den Interfaces angezeigt werden.


You cannot view this attachment.

[Patrick M. Hausen]

Du hast einen Internet-Anschluss mit CGNAT. Du kannst grundsätzlich keine öffentlich erreichbaren Dienste über IPv4 betreiben. Isso. Wechsel den Provider oder den Tarif, um das zu ändern.

Eine mögliche Alternative ist, sich für 5-10€ im Monat bei einem Cloud-Provider wie Hetzner oder Vultr oder Digitalocean ... eine virtuelle Maschine zu klicken, die in der Regel eine feste IPv4-Adresse bekommt, dorthin einen WireGuard-Tunnel zu konfigurieren, und auf der Maschine eingehend die benötigten Ports weiterzuleiten oder gleich einen Reverse-Proxy wie z.B. Caddy auf dieser Maschine zu installieren.

HTH
Patrick

[codingape]

Vielen Dank für die schnelle Hilfe. Dann werde ich mal schauen wie ich das in Zukunft umsetzen werde.