Fremdzugriff mit dyndns myfritz.net

[hdkirschbaum]

Guten Morgen

Ich bin Neuling mit OPNsense und habe zunächst die Firewall auf eine Terra Black Dwarf G2 installiet. Schritt für Schritt bin ich dabei OPNsense für meine Bedürfnisse zu konfigurieren und einzurichten.

Bisher war mein Netzwerk direkt an einer Fritzbox 7362 angebunden. Mit dydns myfritz.net konnte ich von Außen über das Internet auf Webseiten der angeschlossenen Raspberrys zugreifen.



      Internet
            :
            :
            :
      .-----+-----.
      |  Fritzbox  | 
      '-----+-----'
            |           
            |
      WAN  192.168.178/24
            |       
            |
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.178.24)
|   
|   --------PC (192.168.178.41)
|      
|   -------   Raspberry – Owncloud    (192.168.178.57)
|                               Extern   https;//ip.xxxxxxx.myfritz.net
|                                        
|      
|   -------   Raspberry-openHAB2   (192.168.178.22)
                Extern    https;//ip.xxxxxxx.myfritz.net:8080
 
In meiner neuen Netzstruktur ist zwischen der Fritzbox und dem Homenetz die  Firewall OPNsenseund ein Switch geschaltet.

     

      Internet
            :
            :
            :
      .-----+-----.
      |  Fritzbox  | 
      '-----+-----'
            |           |
            |
      WAN  192.168.178/24
            |
      .------------. 192.168.179.10
      | OPNsense | 
      '-----+------' 192.168.1.1
            |   
        192.168.1.0/24
         |
         |
      .------------.
      |   Switch   | 
      '-----+------'
            |              
            |
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.1.100)
|   
|   --------PC (192.168.1.101)
|      
|   -------   Raspberry – Owncloud    (192.168.1.102)
|                    extern ? https;//ip.xxxxxxx.myfritz.net
|                                        
|      
|   -------   Raspberry-openHAB2   (192.168.1.103)
           Extern??    https;//ip.xxxxxxx.myfritz.net:8080
 


Ich möchte  nun auch wie bisher von Extern über das Internet auf die Raspberry-Anwendungen Owncloud und openHAB2 zugreifen.
In der Freigabe der Fritzbox ist OPNsense als Exposed Host deklariert, um Pakete direkt durchzuleiten.

Was muß ich in OPNsense einrichten, daß man mit dyndns myfritz.net auf die Raspberries zugreifen kann. Geht das überhaubt, oder muß man VPN verwenden?

Ich bin sicher, daß diese Frage oder ähnliches Problem schon mal im Forum behandelt worden ist, habe trotz Suche bisher nichts gefunden. Wenn dem so ist, schickt mir bitte den entsprechenden Link.

Wüde mich freuen, wenn ich einen Tipp bekommen kann.

Vielen Dank im voraus

hdkirschbaum

[hopper]

Das könnte helfen:

https://forum.opnsense.org/index.php?topic=8783.0

Denk bitte auch daran, in der fritzbox das Routing einzutellen: also unter "Heimnetz - Netzwerk - Statische Routen":

bei Netzwerk 192.168.1.0, Subnetzmaske 255.255.255.0 und Gateway 192.168.178.fritzip

[micneu]

1. warum ist deine Sense in dem .179.0 netz, ist das dein WAN, woher kommt dieser bereich?
bin mir nicht sicher ob das ein ip bereich aus der fritte ist für das interne gäste lan.
hier eine liste von ip´s die ich empfehle zu vermeiden:
https://forum.opnsense.org/index.php?topic=12697.0
alternativ kannst du deinem wan von der sense auch als DHCP-Client konfigurieren und die sense bekommt ganz einfach die ip von der fritte zugeteilt.
zu deiner frage mit zugriff auf dein openHUB usw. ich bin ein freund von VPN, so wenig wie möglich offen nach draußen.
zu deiner suche im forum, das ist wirklich meist so ähnlich zigfach behandelt worden, ich denke mit dem begriff "Exposed Host" wirst du schon 100 treffer haben (ob die alle für dich relevant sind kann ich dir nicht sagen).
und noch ein, ich bin ein freund von einem modem, das mit der fritzbox vor der sense macht es immer nochmal etwas komplexer.

[hdkirschbaum]

Vielen Dank für die schnellen Antworten.
Im Netzwerkstruktur war ein Tipp-Fehler.

Die OPNsense hat als WAN-Schnittstelle 192.168.178.10 und nicht 192.168.179.10.

Werde den Hinweis  berücksichtigen und die ips im  Fritz-Netzwerk umbenennen.

Die Empfehlung für das Port forwarding werde ich zunächst mal einpflegen. Mal schauen, ob es damit klappt.

Vielleicht werde  dann doch vielleicht auf eine VPN-Lösung umsteigen.

[JeGr]

Da das Netz vor der Sense (also Transfernetz zwischen Fritte und Sense) eigentlich "unbewohnt" sein sollte würde ich auf der Fritzbox einfach den Exposed Host auf die Sense setzen, das gibt im Nachgang viel weniger Kopfschmerzen bei Dingen, die später kommen und erspart das ständige zweifache konfigurieren von Forwardings.

Der Routing Hinweis von @hopper ist hilfreich, wenn man später selbst auf die FB zugreifen möchte oder wenn man sich die Telefonie dort zu Nutze machen möchte/muss. Dann kann man zur FB auch das NATting abschalten, braucht dann dort aber natürlich die Rückroute.

Freigabe von OwnCloud und openHAB würde ich tatsächlich versuchen _nicht_ über unterschiedliche Ports zu regeln, sondern ggf. bei eigener Domain oder mit anderen Möglichkeiten einfach 2-3 externe Hostnamen/Subdomains einzurichten und den Zugriff dann mittels HAproxy via Domain realisieren.

Bspw. eigene Domain, Einrichtung cloud/openhab.meine.domain als CNAME auf xyz.myfritz.net
Dann lösen cloud/openhab.meine.domain beide auf die gleiche IP (die von myfritz, also deiner externen) auf.
HAproxy kann man dann entsprechend konfigurieren, dass er an Hand der Domain dann entweder die Zugriffe zur Cloud oder zum Hab schickt. Damit keine unnötigen weiteren Ports offen und noch zusätzlich die Dienste davor abgesichert und ggf. mit SSL Zertifikat geschützt (durch Einbindung von ACME und LetsEncrypt). Zudem kann HAproxy meist bessere/neuere Protokolle und Cipher Suites (Verschlüsselung) sprechen als die Dienste dahinter.

Aber das nur als Denkanstoß.

[lfirewall1243]

Da das Netz vor der Sense (also Transfernetz zwischen Fritte und Sense) eigentlich "unbewohnt" sein sollte würde ich auf der Fritzbox einfach den Exposed Host auf die Sense setzen, das gibt im Nachgang viel weniger Kopfschmerzen bei Dingen, die später kommen und erspart das ständige zweifache konfigurieren von Forwardings.

Der Routing Hinweis von @hopper ist hilfreich, wenn man später selbst auf die FB zugreifen möchte oder wenn man sich die Telefonie dort zu Nutze machen möchte/muss. Dann kann man zur FB auch das NATting abschalten, braucht dann dort aber natürlich die Rückroute.

Freigabe von OwnCloud und openHAB würde ich tatsächlich versuchen _nicht_ über unterschiedliche Ports zu regeln, sondern ggf. bei eigener Domain oder mit anderen Möglichkeiten einfach 2-3 externe Hostnamen/Subdomains einzurichten und den Zugriff dann mittels HAproxy via Domain realisieren.

Bspw. eigene Domain, Einrichtung cloud/openhab.meine.domain als CNAME auf xyz.myfritz.net
Dann lösen cloud/openhab.meine.domain beide auf die gleiche IP (die von myfritz, also deiner externen) auf.
HAproxy kann man dann entsprechend konfigurieren, dass er an Hand der Domain dann entweder die Zugriffe zur Cloud oder zum Hab schickt. Damit keine unnötigen weiteren Ports offen und noch zusätzlich die Dienste davor abgesichert und ggf. mit SSL Zertifikat geschützt (durch Einbindung von ACME und LetsEncrypt). Zudem kann HAproxy meist bessere/neuere Protokolle und Cipher Suites (Verschlüsselung) sprechen als die Dienste dahinter.

Aber das nur als Denkanstoß.

Gibt es irgendwo eine Anleitung wie man sowas mit HaProxy umsetzt?

[JeGr]

> Gibt es irgendwo eine Anleitung wie man sowas mit HaProxy umsetzt?

Ist jetzt OutOfScope für den Post hier, aber können wir gern in einem extra Thread behandeln. Da kannst du ja reinpacken, was genau dir am Vorgehen unklar wäre etc.
Im Prinzip ist das - wenn man die Domain(s) hat - für HAproxy nur ein SharedFrontend Setup mit ACLs + Actions die eben an Hand des Hostnamens prüfen, welche Action auszuführen ist und als Action dann das entsprechende Backend zu nutzen.