Dual WAN Pre-Konfiguration - Gateway WAN - nginx reverse proxy ohne Funktion

[stulpinger]

Hi@All,

bin gerade am konfigurieren der OPNsense bzgl. Dual WAN

folgende Konstellation - nur mit einem WAN Interface, weil wenns mit einem nicht funktioniert, funktionierts auch mit zwei WAN Interfaces nicht - schon probiert ...

WAN Interface bekommt eine öffentliche IP von einem Magenta-Router im Bridge-Modus

OPNsense 192.168.0.1
unRAID 192.168.0.8
nginx reverse proxy - npm - läuft auf unRAID mit IP 192.168.0.25

obiges funktioniert ohne Probleme, d.h. Internet ok, Zugriff im LAN auf diverse subdomains per npm ok

sobald ich in den LAN-Firewall Regeln - allow any to any - Gateway default,
den Gateway auf WAN_DHCP - x.x.x.x setze:

Internet ok, Zugriff im LAN auf diverse subdomains nicht mehr möglich, aber von extern ok !

Habe diverse Anleitungen auf youtube bzw.  von OPNsense - sind nahezu ident - probiert, aber finde nichts konkretes in Verbindung mit npm im lokalen Netz

Das zweite WAN soll von einem LTE-Router, auch im Bridge Modus, mit öffentlicher IP (!) kommen, was ja auch schon funktioniert

Nur hab ich das Problem wegen dem Gateway bzw. in weiterer Folge der Gateway-Gruppe
Irgendwie weiss ich nicht, wo ich den Hebel ansetzen soll
Danke für jede Unterstützung

LG aus Kärnten

 

[Monviech]

Du brauchst mehr als eine Firewall Regel im LAN dafür.

Du brauchst Regeln die als erstes matchen und lokalen Traffic erlauben. Pass auf dass diese Regel selektiver als die Internet Allow Regel sind. Also keine Destination Any.

Als letztes brauchst du eine WAN allow Regel die als invertierte Destination IP einen Alias aus den RFC 1918 Netzen hat. Auf die wendest du den speziellen Gateway an.

Wenn du nur eine any any regel hast und auf die einen Gateway setzt wird jeder Traffic dort hingeschickt.


Create the following aliases:

Name:   InternetIPv4
Type:   Network(s)
Content:   10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
Description:   Internet IPv4 - use inverted

Firewall Regel für Internet:

Action   Pass
Interface   LAN
Direction   In
TCP/IP Version   IPv4
Protocol   Any
Source   LAN net
Source port   Any
Destination / Invert   X
Destination   InternetIPv4
Destination port   Any
Gateway  Dein Gateway
Description   Allow Internet Access IPv4

[stulpinger]

Danke für Deine Info,

bin heute nicht mehr ganz so aufnahmefähig, wegen so einem Haupt-Domain-Zeritfikat (ich glaub es heisst so), welches in der Firma abgelaufen ist und einige angerufen haben, wegen unsicherer Seite, aber unser admin hat's im Urlaub geregelt bzw. ist vor zwei Stunde in der Firma erschienen ...

Habe jetzt folgende Regel erstellt:

[Monviech]

Sieht gut aus, bis auf das LAN Allow. Da darf die Destination nicht any sein, sonst matched die Regel für alle Destination IPs, auch das Internet.
Du musst bei allen Regeln vor der Internet Allow Regel bei Destination explizite Zielnetzwerke angeben. Also z.B. den gleichen RFC1918 alias aber nicht invertiert. Oder das LAN net.

[stulpinger]

Super,

danke vielmals, bin echt nimmer ganz Aufnahmefähig ...
werde morgen mit dual-WAN weiter machen, d.h. statt WAN_DHCP die WAN-Gruppe eintragen

externe Erreichbarkeit über WAN2 ist nicht so relevant, es geht mir nur ums "Failover" falls WAN1 ausfallen sollte, dass ich bzw. meine Kids ins Internet kommen

LG

Christian

[stulpinger]

im Vergleich zur OPNsense ist die Unifi bzw. Synology-Router Firewall eine "mickey mouse" Geschichte,
hatte Beides im Einsatz, Danke nochmals

[Monviech]

Bitte schön. Und ja die Opnsense ist sehr mächtig, man kann da sehr viel machen. Wenn du nochmal Hilfe brauchst einfach posten. Schönen Abend

[stulpinger]