[Gelöst] Über Duckdns bzw. DynDNS kein Zugriff auf Heimnetzwerk

[phneutral]

Moin,

ich versuche gerade Vaultwarden auf meiner Proxmox VE zum laufen zu bekommen.
Der Container läuft auch, ich kann die Startseite aufrufen

Code: [Select]

http://192.168.1.18:8000/#/login

Jetzt kommt der Punkt. Ich kann mir über diese IP keinen Account erstellen oder Anmelden. Da kommt dann immer folgende Meldung








Nun habe ich mir also Nginx Proxymanager installiert und wie folgt konfiguriert.






Die Weiterleitung über die duckdns URL sollte also an die entsprechende IP mit Port erfolgen.
Dieser Port ist auch für diese IP freigegeben

Für die Nginx IP 192.168.1.20 sind die Ports 80 und 443 freigegeben.

Deaktiviere ich beim Iphone Wlan und versuche über Mobiles Netz zu connecten, dann komme ich wie gewünscht auf die Vaultwarden Seite und kann mich auch anmelden.

Versuche ich das Ganze jetzt wieder über den Browser am PC unter XXXXXX.duckdns.org aufzurufen passiert folgendes:






Mit welchen Einstellungen kann ich das Problem beheben?







Danke schon mal für Eure Antworten!

[tblum]

Nur so ein Schuss ins Blaue, aber ich denke, Du musst den Port für's Webinterface Deiner Opnsense umstellen, wenn Du sie als Reverseproxy benutzen willst. Sonst machst Du ne Anfrage an 192.168.1.20:443 und das wird dann vom Webinterface bedient. Du willst aber ja, dass das vom nginx bedient wird.

[phneutral]

Nur so ein Schuss ins Blaue, aber ich denke, Du musst den Port für's Webinterface Deiner Opnsense umstellen, wenn Du sie als Reverseproxy benutzen willst. Sonst machst Du ne Anfrage an 192.168.1.20:443 und das wird dann vom Webinterface bedient. Du willst aber ja, dass das vom nginx bedient wird.

Weisst du zufällig wo man den Port dafür umstellt? In der Browseradressleiste wird auch kein Port angezeigt.

[Patrick M. Hausen]

Wenn kein Port angezeigt wird, ist es der Default-Port. Für HTTP 80, für HTTPS 443.

Umstellen kann man das unter System > Settings > Administration > TCP Port.

Hier beispielsweise 4443 eintragen. Ebenfalls musst du den Haken bei HTTP Redirect: Disable web GUI redirect rule setzen.

Dann greifst du zukünftig mit dem Browser auf https://opnsense.meinedomain.de:4443 oder https://192.168.1.1:4443 zu für das Web UI und die Standard-Ports stehen für deine Anwendungen zur Verfügung.

[phneutral]

Wenn kein Port angezeigt wird, ist es der Default-Port. Für HTTP 80, für HTTPS 443.

Umstellen kann man das unter System > Settings > Administration > TCP Port.

Hier beispielsweise 4443 eintragen. Ebenfalls musst du den Haken bei HTTP Redirect: Disable web GUI redirect rule setzen.

Dann greifst du zukünftig mit dem Browser auf https://opnsense.meinedomain.de:4443 oder https://192.168.1.1:4443 zu für das Web UI und die Standard-Ports stehen für deine Anwendungen zur Verfügung.

Ja super, Danke! Das hat soweit schon mal funktioniert.

Nun passiert folgendes wenn ich die XXXXX.duckdns.org aus dem LAN öffne:
und wie gesagt, das öffnen von außerhalb (Mobil) funktioniert.

[Patrick M. Hausen]

Du brauchst NAT reflection. Such mal im Forum.

Alternativ: benutz das Caddy Plugin auf der OPNsense anstelle der Portweiterleitung und Nginx.

[phneutral]

Du brauchst NAT reflection. Such mal im Forum.

Alternativ: benutz das Caddy Plugin auf der OPNsense anstelle der Portweiterleitung und Nginx.

Alles klar, Danke!

Den Begriff NAT reflection hatte ich vorher noch nie gehört, aber nun werde ich mal gezielt danach suchen. Wieder was dazu gelernt 

[phneutral]

Zwischenstand: Ich kann nun auf alle Seiten zugreifen.

Die Lösung habe ich hier gefunden: https://docs.opnsense.org/manual/how-tos/nat_reflection.html#introduction-to-reflection-and-hairpin-nat


Ich habe mich für Method 3 entschieden. Dort sind 3 Schritte beschrieben. Ich habe nur den ersten Schritt durchgeführt und es funktioniert.

Go to Firewall ‣ Settings ‣ Advanced
Enable Reflection for port forwards to create automatic rules for all :menuselection: Firewall –> NAT –> Port Forward that have WAN as interface. Enable Automatic outbound NAT for Reflection to create automatic SNAT rules.

Nur diese beiden Dinge aktivieren und es läuft!

Vielen Dank nochmal für die Hilfe!