RRset Konflikt (CAA + CNAME) bei HAProxy mit LE Wildcard von deSEC / dedyn.io

[Anderer]

Mich stört das "let out anything from firewall host itself" im Regel-Log am LAN:

Firewall: Regeln: LAN

[Anderer]

Firewall: Regeln: WAN

Firewall: Regeln: Global

Was ist da die Quell-IP?
Wenn du die involvierten IPs erklären würdest, würde eine Analyse leichter fallen.

192.178.50.4 ist mein Windows-Notebook. Topologaie habe ich im Hauptbeitrag eingefügt. Andere IPs verwende ich von meiner Seite eigentlich nicht, außen zum Testen vom Mobilfunknetz aus - da hat mein Smartphone 192.178.50.175

Ziel ist auf jeden Fall die FritzBox, und ein Paket zu dieser sollte nicht am LAN raus gehen, wenn sie am WAN angeschlossen ist.

Kann es sein, dass die Pakete falsch gesteuert werden bzw. kann ich das nochmals zurücksetzen, da ich schon viel gesucht und womöglich auch etwas verstellt habe, als ich gleich zu Beginn wegen einer falschen Einstellung bei der WAN-Schnittstelle nicht ins Internet kam?

[viragomann]

Sieht aus, als ob du in den LAN Interface Einstellungen die FritzBox als Gateway angegeben hättest.
Am LAN ist kein Gateway zu setzen!

[Anderer]

Sieht aus, als ob du in den LAN Interface Einstellungen die FritzBox als Gateway angegeben hättest.
Am LAN ist kein Gateway zu setzen!

Im LAN ist 192.168.50.1/24 (OPNsense) eingegeben. Regeln sind deaktiviert. FritzBox hat 192.168.178.1

Oder verstehe ich etwas falsch?

Eingesteckt ist FritzBox in Port 0 und ASUS Router in Port 1

[Anderer]

System: Routen: Konfiguration

[viragomann]

In Interfaces: LAN
Bei dir wahrscheinlich Schnittstellen: LAN

Hast du da ein Gateway eingetragen??

[Anderer]

Ist das der Fehler?

Aber wenn ich auf "Settings" gehe, dann steht dort nirgends die IP der FritzBox. Ich habe nochmals gespeichert und übernommen, aber die IP geht nicht weg...

[viragomann]

Da steht die FB IP bei WAN und bei LAN.
Nachdem du LAN statisch konfiguriert hast, musst du auch die Gateway IP manuell gestetzt haben.

[Anderer]

In Interfaces: LAN
Bei dir wahrscheinlich Schnittstellen: LAN

Hast du da ein Gateway eingetragen??

Ich denke nicht.
Hier nochmals der gesamte Screen.

[viragomann]

Okay, dann ist es vermutlich in den System > Gateway Einstellungen zu finden. Dann kann es da einfach gelöscht werden.

[Anderer]

Okay, dann ist es vermutlich in den System > Gateway Einstellungen zu finden. Dann kann es da einfach gelöscht werden.

Ja, dort steht die IP drin, aber ich kann nicht speichern, nachdem sie gelöscht wurde.
Ich habe LAN_GW zunächst mal DEAKTIVIERT.

• DANKESCHÖN   

Wenn ich eine floating Regel in/out, pass, IPv4+6, beliebig zum Testen aktiviere, dann funktionieren alle PING (8.8.8.8 - SUBDOMAIN.dedyn.io oder any_string.SUBDOMAIN.dedyn.io

Wenn ich diese floating Regel aber deaktiviert lasse, ist wieder 100% Verlust, sendto: Host down, obwohl in FW-Live die 8.8.8.8 grün nach draußen im WAN steht.

Eine "Allow Ping" Regel hatte ich aber schon gesetzt:
pass, WAN, in, IPv4+6, ICMP, WAN Adresse, Rest *

In FW-Live sehe ich 192.168.178.5 (OPNsense im FritzBox Netzwerk) und 192.168.178.255 mehrfach blockiert:

WAN

2025-10-03T23:37:25

192.168.178.59:59624

192.168.178.255:58866

udp

Default deny / state violation rule

	WAN		2025-10-03T23:37:25	199.21.149.124:41941	192.168.178.5:60558	tcp	Default deny / state violation rule
	WAN		2025-10-03T23:37:25	104.255.154.159:41911	192.168.178.5:50877	tcp	Default deny / state violation rule

[viragomann]

Eine "Allow Ping" Regel hatte ich aber schon gesetzt:
pass, WAN, in, IPv4+6, ICMP, WAN Adresse, Rest

"WAN Adresse" ist da hoffentlich nicht als Quelle gesetzt?

Wenn ich eine floating Regel in/out, pass, IPv4+6, beliebig zum Testen aktiviere, dann funktionieren alle PING (8.8.8.8 - SUBDOMAIN.dedyn.io oder any_string.SUBDOMAIN.dedyn.io

Könnte bedeuten, dass die andere WAN Regel nicht zutrifft.

In FW-Live sehe ich 192.168.178.5 (OPNsense im FritzBox Netzwerk) und 192.168.178.255 mehrfach blockiert:

WAN

2025-10-03T23:37:25

192.168.178.59:59624

192.168.178.255:58866

udp

Default deny / state violation rule

	WAN		2025-10-03T23:37:25	199.21.149.124:41941	192.168.178.5:60558	tcp	Default deny / state violation rule
	WAN		2025-10-03T23:37:25	104.255.154.159:41911	192.168.178.5:50877	tcp	Default deny / state violation rule

192.168.178.5 sehe ich da nur als Ziel mit irgendwelchen Ports, du du wohl nicht erlaubt hast.
192.168.178.255 ist die Broadcast Adresse. Pakete an diese empfängt jedes Gerät im Subnetz.

[Anderer]

"WAN Adresse" ist da hoffentlich nicht als Quelle gesetzt?

Nein, WAN Adresse ist Ziel, aber ist das so richtig?
=> Firewall - Regel - WAN (Anhang)

Soll ich mal einen ganzen Screen von FW-Live anhängen, wenn Ping geblockt wird?
Sieht man dort, weshalb geblockt wird?

[viragomann]

Die Regel sieht gut aus.
Falls OPNsense das dennoch blockiert, wäre interessant, welche Regel dafür verantwortlich ist.

Dazu das Loggiing jeder Regel aktivieren und auch das der Standard Block-Regel in den erweiterten Firewall Einstellungen.

[Anderer]

Dazu das Loggiing jeder Regel aktivieren und auch das der Standard Block-Regel in den erweiterten Firewall Einstellungen.

ich habe bei allen Regeln das Logging aktiviert und dann Ping 9.9.9.9 ausgeführt.

Falls OPNsense das dennoch blockiert, wäre interessant, welche Regel dafür verantwortlich ist.

Kann man daraus erkennen, von welchen Regeln das kommt, oder was ich ändern müsste?

Ergänzung:
192.168.178.27 und  192.168.178.43 sind z. B. Saugroboter, die über WAN sicher blockiert werden sollen.
192.168.178.59 ist auch ein Saugroboter, aber nicht aktiv. Weshalb so viele Saugroboter in dem LAN sind, weiß ich nicht.
199.167.138.119 scheint ebenfalls ein LAN zu sein, aber nicht von mir!
=> Also eigentlich werden alle zurecht geblockt.

Ich sehe gar nicht, weshalb ICMP rausgeht, aber nicht mehr reinkommt. Das war mir nicht sofort klar.
Wie kann ich das bitte feststellen oder protokollieren? Ich habe nichts mehr gefunden.