xhytasx
Goto Top

OPNsense LAN Geräte extern erreichen

Moin,

ich habe noch eine Frage bezüglich dem Zugriff von Außen auf WireGuard und NGINX (Bitwarden) befinden sich beide im LAN Netz.

WireGuard 10.10.10.45 und (NGINX) Bitwarden 10.10.10.42 laufen beide als LXC in Proxmox. Lief vor dem Umstieg schon, daher passt der DNS Server. Hatte ich kontrolliert, der ist korrekt vergeben.

Die beiden Aliases/IPs habe ich als Port Forwarding freigegeben und folgende WAN Regeln erstellt:
port_forw
wan

Port 80 und 443 sind offen, laut Portscanner.

Müsste eigentlich soweit richtig sein.
Per WireGuard kann ich mich auch auf dem Server anmelden und bekomme die IP 10.250.1.1/24.
Aktuell funktioniert der Zugriff ins LAN und WAN über VPN noch nicht.
Dazu hatte ich folgende Regel angelegt:
lan_wireguatd

Mach meinem Verständnis müsste ich doch als Source die IP 10.250.1.1 angeben und dann ins LAN net freigeben.

Bitwarden kann ich von Außen nicht per dynDNS erreichen, ist aber soweit eigentlich auch freigegeben.

Irgendwo scheitert es wieder.

Content-ID: 4466867266

Url: https://administrator.de/forum/opnsense-lan-geraete-extern-erreichen-4466867266.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

aqui
aqui 31.10.2022 aktualisiert um 13:53:19 Uhr
Goto Top
Fürs Port Forwarding um von außen ohne VPN Zugriff auf lokale Recner zu erlauben benötigst du 2 (!) Regeln:
  • Eine die TCP 80 und TCP 443 auf das WAN IP Interface erlaubt
  • Ein 1:1 Port Forwarding was von der WAN IP inbound TCP 80 und 443 auf die lokale LAN IP TCP 80 und 443 macht
xhYtasx
xhYtasx 31.10.2022 um 16:47:45 Uhr
Goto Top
Danke face-smile probiere ich heute Abend mal aus.
Csui8n1
Csui8n1 31.10.2022 um 17:07:41 Uhr
Goto Top
Wenn Wireguard auf einem eigenen Server/Container läuft und dieser nicht gerade selber NAT macht, musst du dich auch um das Routing kümmern.

So wie ich das lese ist der OPNsense das 10.250.1.0/24 Subnetz nicht bekannt.

Spontan würde ich auch vorschlagen, eine statische Route auf das 10.250.1.0/24 Subnetz mit dem Gateway 10.10.10.45 (Wireguard Server) einzurichten.
xhYtasx
xhYtasx 31.10.2022 um 17:13:25 Uhr
Goto Top
Du meinst die WireGuard Server IP direkt ins LAN?
Stimmt, bis x.x.x.127 ist eh ein fester Bereich
Csui8n1
Csui8n1 31.10.2022 um 17:34:16 Uhr
Goto Top
Zitat von @xhYtasx:

Du meinst die WireGuard Server IP direkt ins LAN?
Stimmt, bis x.x.x.127 ist eh ein fester Bereich

Das verstehe ich jetzt nicht face-wink

Ich habe aber überlesen, dass es vorher schon ging. Wenn du auf dem alten Router keine statischen Routen dafür angelegt hattest, musst du das hier wohl auch nicht.

Ansonsten was @aqui schrieb.
xhYtasx
xhYtasx 31.10.2022 aktualisiert um 22:32:12 Uhr
Goto Top
So sollte es korrekt sein, haut aber irgendwie nicht hin... bin mir eigentlich sicher das ich alles beachtet habe.

NGINX_Ports sind 80 und 443 so spare ich mir eine Regel.

port_forw
unter Rules WAN taucht dann das automatisch auf:
wan

Oder meintest du eine One-to-One Regel? Da kann ich keine Ports angeben.

Bei WireGuard hatte ich alle Regeln gelöscht, ich kann aber immer noch eine Verbindung zum Server aufbauen(natürlich kein Zugriff ins LAN/WAN). Wie kann das sein? Ich sollte doch einen Fehler bekommen.
xhYtasx
xhYtasx 05.11.2022 um 13:41:10 Uhr
Goto Top
Es läuft nun alles wie gewollt. Wireguard klappt auch.