WebGUI via WAN nicht möglich

Started by davorin, February 28, 2026, 01:16:30 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 28, 2026, 01:16:30 PM
Tag allerseits (o;

Ich habe hier eine kleine Intel Appliance mit 2 * 2.5GB und 2 * 10GB Ports und frisch OPNSEnse 26.1.2 installiert mit Standardwerten.
WAN als DHCP und LAN belassen mit 192.168.1.1/24.

Von der LAN Seite alles wunderbar. Nur wenn ich eine FW Rule einfüge, damit ich WAN-seitig hier im lokalem LAN zugreifen kann, passiert nix, dabei habe ich testweise alles WAN-seitig zur WAN-Adresse erlaubt.

In den FW Logs erscheint auch nichts. Nur wenn ich explizit z.B. nur HTTP zulasse, sehe ich in den Logs, wenn ich HTTPS zugreifen will.

LAN-seitig auf die WAN-IP zugreifen geht, also "horcht" die OPNSense WebGUI auf der WAN-Seite.


Jemand irgendeine Idee, was hier schief läuft?



February 28, 2026, 02:10:34 PM #1
Hallo,

Quote from: davorin on February 28, 2026, 01:16:30 PMWAN als DHCP
wenn das eines Subnetz ist (RFC 1918), dann muss du in den WAN Interface-Einstellungen "block private networks" deaktivieren.

Abgesehen von einer entsprechenden Firewall-Regel muss auch in System: Settings: Administration WAN als Listen Interface gesetzt werden.
February 28, 2026, 03:29:47 PM #2
Und reply-to deaktivieren, wenn der PC, von dem aus man zugreifen möchte, im selben Netz hängt wie die WAN Schnittstelle.

Firewall: Settings: Advanced
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 01, 2026, 09:27:42 AM #3 Last Edit: March 01, 2026, 09:29:44 AM by davorin
Genau das war's: reply-to deaktivieren...dachte das wäre nur bei Multi_WAN nötig.

Eigenartig, auf einer anderen OPNSense Installation auf der gleichen Hardware ist das nicht deaktiviert und der Zugriff WAN-seitig funktionierte von Anfang an. und die hat zwei WAN Schnittstellen.

March 01, 2026, 01:25:00 PM #4
reply-to ist nur bei Multi-WAN nötig, richtig. Deshalb muss man es für alle anderen deaktivieren. Weshalb es per Default eingeschaltet ist, ist wahrscheinlich "historisch".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 02, 2026, 02:31:51 PM #5
Wie sieht es denn bei Master/Backup mit CARP aus?

Hier im Betrieb haben wir etliche OPNSense Instanzen mit nur einem WAn Anschluss, und da ist reply-to nicht deaktiviert.
March 02, 2026, 02:38:54 PM #6
reply-to bedeutet, Antwort-Pakete werden immer an den Default-Gateway geschickt. Das ist nur dann ein Problem, wenn der WAN-Anschluss ein Ethernet ist (ist bei CARP wohl der Fall) und man von einem PC, der im selben Ethernet hängt, auf das UI zugreifen möchte.

Wenn man aus "dem Internet", also von irgendwo jenseits des Default-Gateway zugreift, ist reply-to nie ein Problem. Genauso wenig bei einer punkt-zu-punkt Leitung wie PPPoE.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions