itsed99
Goto Top

UPnP funktioniert nicht opnsense

Hallo,
ich habe ein Problem mit UPnP. Ich würde gerne clients im vlan1 UPnP zur Verfügung stellen. Der Traffic sollen über Wireguard über einen VPS geroutet werden.
apt, curl, wget, ping, traceroute etc funktioniert alles.

Jedoch habe ich Probleme, beim UPnP. Hier wird in der Firewall nichts geplockt. In den Opnsense logs sehe ich keine errors. Ich verstehe nicht, wie ich herausfinden kann, wo das Problem liegt.

Bitte um etwas Unterstützung.

Danke

Content-ID: 4710420530

Url: https://administrator.de/forum/upnp-funktioniert-nicht-opnsense-4710420530.html

Ausgedruckt am: 28.12.2024 um 23:12 Uhr

itsed99
itsed99 21.11.2022 um 15:05:53 Uhr
Goto Top
Hint: Einziger Hinweis den ich derzeit habe ist folgender Log vom Opnsense Routing. Leider kann ich nicht viel damit anfangen.

10.66.66.1 ist die IP auf Wireguard VPS Seite


2022-11-21T14:03:56 Warning miniupnpd HTTP peer 10.66.66.1:50236 is not from a LAN, closing the connection
aqui
aqui 21.11.2022 aktualisiert um 15:16:22 Uhr
Goto Top
UPnP nutzt UDP Port 1900 und zur Discovery Multicast mit der IP Adresse 239.255.255.250. Hast du das entsprechend in deinem Wireguard Setup bei den "Allowed IPs" berücksichtigt?
HIER kannst du das im Beispiel bei dynamischen Routing Protokollen wie RIPv2 und OSPF sehen wie es aussieht. Diese nutzen auch Multicast Adressen.
Die Paket Capture Funktion auf der FW hätte dir das auch sofort gezeigt.
itsed99
itsed99 21.11.2022 um 17:18:56 Uhr
Goto Top
Sorry das passt bei mir alles hinten und vorne nicht. Hast du eine Schritt-für-Schritt Anleitung /Youtube Video (Oder am besten ein fertiges Image für Proxmox oder ESXI) wo ich mir das an einem realen Beispiel anschauen kann?

Ich möchte einfach nur diverse clients an einem vlan 10.1.1.1/24, welche UPNP nutzen können und der gesamte Traffic über einen externen VPS gesendet wird? Ich habe gefühlt schon alle Anleitungen mindestens 3x probiert und verzweifle face-sad. Seit einem halben Jahr bekomme ich das leider nicht zum laufen.

Nichtmal das hat funktioniert:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html

pls help.
aqui
aqui 22.11.2022 aktualisiert um 11:40:45 Uhr
Goto Top
Hast du eine Schritt-für-Schritt Anleitung
Die findest du doch in dem oben geposteten Tutorial!!! Einfach nur mal lesen und verstehen... 😉
Wenn du die UPnP Multicast Adresse 239.255.255.250 nicht in die "Allowed IPs" einträgst wird die schlicht und einfach geblockt vom Wireguard im Crypto Routing und nix geht.
Deine WG Client Konfig für die Server Seite sähe dann z.B. so aus wenn das lokale Client LAN 192.168.100.0/24 ist:
[Interface]
Address = 10.10.10.1/24
PrivateKey = 123abcd....
ListenPort = 51820

[Peer]
# zum WG Client
PublicKey = dcba321....
AllowedIPs = 10.10.10.100/32, 239.255.255.250/32, 192.168.100.0/24 
Die Client Config ist dann analog dazu. Damit ist eigentlich alles gesagt zum Crypto Key Routing bei Wireguard.
Ggf. musst du auf dem Router bzw. Firewall dann noch IGMP Proxy oder PIM Routing aktivieren damit Multicast auch in andere IP Segmente übertragen werden kann.
Nichtmal das hat funktioniert:
Da man deine WG Konfig beidseitig nicht kennt und du es bis dato leider nicht geschafft hast die hier auch mal annonymisiert zu posten bleibt einem ja nur wildes Kristallkugeln und freies Raten um zu sehen WO du den Fehler im Setup gemacht hast?! Was also hast du für eine Erwartungshaltung?!
itsed99
itsed99 22.11.2022 aktualisiert um 20:27:20 Uhr
Goto Top
Hi vielen Dank. Ich muss die 239.255.255.250 zu "Alowed IPs" hinzufügen, auch wenn UPNP und Client auf der gleichen "Seite" sind?

Ubuntu Client (10.1.1.6) - (10.1.1.1) OPNsense (UPNP)10.66.66.2 mit Gateway 10.66.66.3 - wireguard - (10.66.66.2) Ubuntu VPS Public Server (feste public IP)

Config Public Server:
root@localhost:~# cat /etc/wireguard/wg0.conf 
[Interface]
Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 64158
PrivateKey = abcd
PostUp = iptables -A FORWARD -i ens192 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -D FORWARD -i ens192 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens192 -j MASQUERADE

### Client opnsense
[Peer]
PublicKey = VBopPjKlJPNSAnfpNxkEq1qnu1MLIMTsEuNKvMSI1gg=
PresharedKey = aaaa/Qc00IM=
AllowedIPs = 10.1.1.0/24,10.66.66.2/32,fd42:42:42::2/128,10.66.66.3/32,239.255.255.250/32

Config Client (OPNSENSE)
root@localhost:~# cat wg0-client-opnsense.conf 
[Interface]
PrivateKey = MMV1e+EciR6VergEPL4SFwgd1CNjkoY2G5ul8gMBRFU=
Address = 10.66.66.2/32,fd42:42:42::2/128
DNS = 94.140.14.14,94.140.15.15

[Peer]
PublicKey = 92zGzBWgfm9NH75s/YASNnKbiaGZe1KcdEKVLD4Oslw=
PresharedKey = aPKPp2bHwXVausMBQ8T1YaUNeVD404Cel7BF/Qc00IM=
Endpoint = 82.165.104.3:64158
AllowedIPs = 0.0.0.0/0,::/0

Hier wären noch die Configs und Firewall/NAT der OPNSense. Ich verstehe nicht, warum UPNP einfach nicht will.

Wireguard Config OPNSense
bildschirm­foto 2022-11-22 um 20.03.45
bildschirm­foto 2022-11-22 um 20.04.34

Firewall und NAT
bildschirm­foto 2022-11-22 um 20.07.05
bildschirm­foto 2022-11-22 um 20.07.13
bildschirm­foto 2022-11-22 um 20.07.20
bildschirm­foto 2022-11-22 um 20.06.52
bildschirm­foto 2022-11-22 um 20.07.55

Gateway
bildschirm­foto 2022-11-22 um 20.10.09

Und zum Schluss die Routen
bildschirm­foto 2022-11-22 um 20.20.51

Sowie die Wirewall logs
bildschirm­foto 2022-11-22 um 20.26.36

Für mich sieht das alles aus, als würde das passen. Ich sehe ja auch, dass in den Firewall Logs UPNP durchgeht. Aber irgendwo funktioniert es eben nicht face-sad
aqui
aqui 23.11.2022 um 11:38:37 Uhr
Goto Top
auch wenn UPNP und Client auf der gleichen "Seite" sind?
Nein. Dann natürlich nicht. Das wäre ja völliger Quatsch, denn wenn UPnP und Client im gleichen lokalen LAN Segment sind, greift doch werder ein Routing noch ein VPN!
Router oder VPN Server sind dann logischerweise gar nicht involviert weil ja alles über Layer 2 im lokalen LAN direkt passiert.
Da ist es dann auch völlig klar das am Router/Firewall nix davon auftaucht, denn das bleibt ja logischerweise alles im lokalen Netz. In dem Falle musst du doch auch gar nichts machen!
Wenn sich der UPnP Server und Client schon im lokalen Netz ganz ohne Router oder VPN gar nicht "sehen" hast du primär erstmal ein ganz anderes Problem.
Routing und VPN sind nur dann involviert wenn der Client Zugriff auch von remote über das VPN passieren soll.
Dein Firewall Regelwerk am WAN Port ist etwas unverständlich. Generell erlaubt man hier nur den Traffic auf den WG UDP Port.
Arbeitet die Firewall in einer Router Kaskade?
Wenn ja solltest du dort noch das RFC1918 Blocking deaktivieren.
aqui
aqui 12.12.2022 um 14:01:51 Uhr
Goto Top
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!