7
OPNsense LAN Geräte extern erreichen
Moin,
ich habe noch eine Frage bezüglich dem Zugriff von Außen auf WireGuard und NGINX (Bitwarden) befinden sich beide im LAN Netz.
WireGuard 10.10.10.45 und (NGINX) Bitwarden 10.10.10.42 laufen beide als LXC in Proxmox. Lief vor dem Umstieg schon, daher passt der DNS Server. Hatte ich kontrolliert, der ist korrekt vergeben.
Die beiden Aliases/IPs habe ich als Port Forwarding freigegeben und folgende WAN Regeln erstellt:
Port 80 und 443 sind offen, laut Portscanner.
Müsste eigentlich soweit richtig sein.
Per WireGuard kann ich mich auch auf dem Server anmelden und bekomme die IP 10.250.1.1/24.
Aktuell funktioniert der Zugriff ins LAN und WAN über VPN noch nicht.
Dazu hatte ich folgende Regel angelegt:
Mach meinem Verständnis müsste ich doch als Source die IP 10.250.1.1 angeben und dann ins LAN net freigeben.
Bitwarden kann ich von Außen nicht per dynDNS erreichen, ist aber soweit eigentlich auch freigegeben.
Irgendwo scheitert es wieder.
ich habe noch eine Frage bezüglich dem Zugriff von Außen auf WireGuard und NGINX (Bitwarden) befinden sich beide im LAN Netz.
WireGuard 10.10.10.45 und (NGINX) Bitwarden 10.10.10.42 laufen beide als LXC in Proxmox. Lief vor dem Umstieg schon, daher passt der DNS Server. Hatte ich kontrolliert, der ist korrekt vergeben.
Die beiden Aliases/IPs habe ich als Port Forwarding freigegeben und folgende WAN Regeln erstellt:
Port 80 und 443 sind offen, laut Portscanner.
Müsste eigentlich soweit richtig sein.
Per WireGuard kann ich mich auch auf dem Server anmelden und bekomme die IP 10.250.1.1/24.
Aktuell funktioniert der Zugriff ins LAN und WAN über VPN noch nicht.
Dazu hatte ich folgende Regel angelegt:
Mach meinem Verständnis müsste ich doch als Source die IP 10.250.1.1 angeben und dann ins LAN net freigeben.
Bitwarden kann ich von Außen nicht per dynDNS erreichen, ist aber soweit eigentlich auch freigegeben.
Irgendwo scheitert es wieder.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4466867266
Url: https://administrator.de/contentid/4466867266
Printed on: May 8, 2024 at 00:05 o'clock
7 Comments
Latest comment
Fürs Port Forwarding um von außen ohne VPN Zugriff auf lokale Recner zu erlauben benötigst du 2 (!) Regeln:
- Eine die TCP 80 und TCP 443 auf das WAN IP Interface erlaubt
- Ein 1:1 Port Forwarding was von der WAN IP inbound TCP 80 und 443 auf die lokale LAN IP TCP 80 und 443 macht
Danke 
probiere ich heute Abend mal aus.
probiere ich heute Abend mal aus.
Wenn Wireguard auf einem eigenen Server/Container läuft und dieser nicht gerade selber NAT macht, musst du dich auch um das Routing kümmern.
So wie ich das lese ist der OPNsense das 10.250.1.0/24 Subnetz nicht bekannt.
Spontan würde ich auch vorschlagen, eine statische Route auf das 10.250.1.0/24 Subnetz mit dem Gateway 10.10.10.45 (Wireguard Server) einzurichten.
So wie ich das lese ist der OPNsense das 10.250.1.0/24 Subnetz nicht bekannt.
Spontan würde ich auch vorschlagen, eine statische Route auf das 10.250.1.0/24 Subnetz mit dem Gateway 10.10.10.45 (Wireguard Server) einzurichten.
Du meinst die WireGuard Server IP direkt ins LAN?
Stimmt, bis x.x.x.127 ist eh ein fester Bereich
Stimmt, bis x.x.x.127 ist eh ein fester Bereich
Zitat von @xhYtasx:
Du meinst die WireGuard Server IP direkt ins LAN?
Stimmt, bis x.x.x.127 ist eh ein fester Bereich
Du meinst die WireGuard Server IP direkt ins LAN?
Stimmt, bis x.x.x.127 ist eh ein fester Bereich
Das verstehe ich jetzt nicht
Ich habe aber überlesen, dass es vorher schon ging. Wenn du auf dem alten Router keine statischen Routen dafür angelegt hattest, musst du das hier wohl auch nicht.
Ansonsten was @aqui schrieb.
So sollte es korrekt sein, haut aber irgendwie nicht hin... bin mir eigentlich sicher das ich alles beachtet habe.
NGINX_Ports sind 80 und 443 so spare ich mir eine Regel.
unter Rules WAN taucht dann das automatisch auf:
Oder meintest du eine One-to-One Regel? Da kann ich keine Ports angeben.
Bei WireGuard hatte ich alle Regeln gelöscht, ich kann aber immer noch eine Verbindung zum Server aufbauen(natürlich kein Zugriff ins LAN/WAN). Wie kann das sein? Ich sollte doch einen Fehler bekommen.
NGINX_Ports sind 80 und 443 so spare ich mir eine Regel.
Oder meintest du eine One-to-One Regel? Da kann ich keine Ports angeben.
Bei WireGuard hatte ich alle Regeln gelöscht, ich kann aber immer noch eine Verbindung zum Server aufbauen(natürlich kein Zugriff ins LAN/WAN). Wie kann das sein? Ich sollte doch einen Fehler bekommen.
Es läuft nun alles wie gewollt. Wireguard klappt auch.
