OPNSense <-> NGINX Proxy Manager -> Aufruf Handy auf einige Webseiten

[Maik98]

Guten Abend zusammen,

ich bin derzeit dabei meine pfsense mit einer opnsense zu ersetzen. Bei diesem Vorgehen hab ich ein seltsames verhalten was mich bisher noch ein wenig dazu hindert den Umzug durchzuführen.
Das gesamte Szenario ist für mich ein wenig komisch und ich finde hier keine Lösung dazu. Eventuell hat so etwas jemand auch gehabt und konnte das eventuell lösen.


Version installiert: OPNsense 25.1.1

An sich hab ich hier eine OPNsense mit eigentlich Werkseinstellungen. Hier habe ich unter NAT eine einfach Nat Regel eingerichtet

Interface: WAN
Destination: WAN Address
Destination Port: HTTP
Redirect target IP: 192.168.2.10
Redirect target port: HTTP
NAT reflection: Enable
Filter rule association: Pass

Das ganze habe ich auch für HTTPS eingerichtet.

Auf dem Target Server läuft ein NGINX Proxy Manager welcher direkt mit Docker Container kommuniziert welche u.A. Wordpress Instanzen am laufen hat.
Der Zugriff von der PFSense über diesen Weg lief ohne Probleme.

Wenn ich nun über einen Desktoprechner oder Laptop/Notebook diese Seiten versuche zu öffnen, funktioniert alles einwandfrei.
Findet der Zugriff von einem Mobiltelefon statt, funktioniert nur der Zugriff 1 von 4 Webseiten.

Der Weg ist der selbe. Zugriff der Endgeräte von der gleichen WAN Adresse.
Über die PFSense lief der Zugriff von den Mobiltelefonen einwandfrei.

Ich kann mir das ganze bisher absolut nicht erklären, aber es muss definitiv an der OPNSense liegen.
Vielleicht hat jemand von euch eine Idee.

Vielen Dank im Voraus.

Viele Grüße,

Maik

[viragomann]

Hallo,

Wenn ich nun über einen Desktoprechner oder Laptop/Notebook diese Seiten versuche zu öffnen, funktioniert alles einwandfrei.
Findet der Zugriff von einem Mobiltelefon statt, funktioniert nur der Zugriff 1 von 4 Webseiten.

ich nehme an, du greifst via Hostnamen zu, nachdem du einen Reverse Proxy verwendest.
Werden die auch auf die gleiche IP aufgelöst?
Gibt das DNS IPv4 u. v6 zurück?

[Maik98]

Hallo,

Wenn ich nun über einen Desktoprechner oder Laptop/Notebook diese Seiten versuche zu öffnen, funktioniert alles einwandfrei.
Findet der Zugriff von einem Mobiltelefon statt, funktioniert nur der Zugriff 1 von 4 Webseiten.

ich nehme an, du greifst via Hostnamen zu, nachdem du einen Reverse Proxy verwendest.
Werden die auch auf die gleiche IP aufgelöst?
Gibt das DNS IPv4 u. v6 zurück?

Hallo,

danke für deine Antwort.

Computer so wie auch Mobiltelefon befinden sich im selben Netzwerk mit dem selben DNS Server.
Beide Endgeräte haben über traceroute den selben weg und erhalten bei DNS Abfragen die selbe IPv4 Adresse zurück.

In meiner Umgebung sind IPv6 Adressen bisher deaktiviert.
Mich irritiert bei der ganzen Geschichte wieso es bei einer Webseite ohne Probleme funktioniert, obwohl das Backend von allen das selbe ist. Also die Anbindung am NGINX Proxy Manager ist der selbe. Die Docker Container sind die selben und liegen auf dem selben Host.

Laut NGINX Logs kommen die Anfragen des Mobilgerätes auch an, erhalten hier aber irgendwann ein 504 Timeout.
Dachte hier auch bereits daran das irgendetwas mit dem Gateway ist und der Outbound Traeffik somit unterschiedlich. Das ganze Szenario funktioniert mit einer pfSense aber ohne weiteres.

[Maik98]

Was mir nun gestern Abend aufgefallen ist, wenn ich ein curl von meinem Handy aus mache ohne Parameter geht dieser durch.

Wenn ich dann zum Beispiel einen Header wie zum Beispiel:

curl -A "Mozilla/5.0 (Linux; Android 13; Pixel 7 Pro) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.129 Mobile Safari/537.36" --tlsv1.3 -I https://deineseite.de

Dann geht die Anfrage nicht durch.
Das gabze Szenario find ich doch swhr komisch.

Den MSS Wert hatte aich auch bereits angepasst auf 1400 oder 1382, leider ohne Erfolg.

[Maik98]

Fehler wurde nach langem hin und her gefunden.
Hat sich bei den betroffenen Seiten um Wordpress Seiten gehandelt, die ein Cloudflare Plugin aktiv hatten.

Nach deaktivierung dieses Plugins gab es diese Fehler nicht mehr und man konnte über das Handy die Seiten aufrufen.