7
UPnP funktioniert nicht opnsense
Hallo,
ich habe ein Problem mit UPnP. Ich würde gerne clients im vlan1 UPnP zur Verfügung stellen. Der Traffic sollen über Wireguard über einen VPS geroutet werden.
apt, curl, wget, ping, traceroute etc funktioniert alles.
Jedoch habe ich Probleme, beim UPnP. Hier wird in der Firewall nichts geplockt. In den Opnsense logs sehe ich keine errors. Ich verstehe nicht, wie ich herausfinden kann, wo das Problem liegt.
Bitte um etwas Unterstützung.
Danke
ich habe ein Problem mit UPnP. Ich würde gerne clients im vlan1 UPnP zur Verfügung stellen. Der Traffic sollen über Wireguard über einen VPS geroutet werden.
apt, curl, wget, ping, traceroute etc funktioniert alles.
Jedoch habe ich Probleme, beim UPnP. Hier wird in der Firewall nichts geplockt. In den Opnsense logs sehe ich keine errors. Ich verstehe nicht, wie ich herausfinden kann, wo das Problem liegt.
Bitte um etwas Unterstützung.
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4710420530
Url: https://administrator.de/contentid/4710420530
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
Hint: Einziger Hinweis den ich derzeit habe ist folgender Log vom Opnsense Routing. Leider kann ich nicht viel damit anfangen.
10.66.66.1 ist die IP auf Wireguard VPS Seite
2022-11-21T14:03:56 Warning miniupnpd HTTP peer 10.66.66.1:50236 is not from a LAN, closing the connection
10.66.66.1 ist die IP auf Wireguard VPS Seite
2022-11-21T14:03:56 Warning miniupnpd HTTP peer 10.66.66.1:50236 is not from a LAN, closing the connection
UPnP nutzt UDP Port 1900 und zur Discovery Multicast mit der IP Adresse 239.255.255.250. Hast du das entsprechend in deinem Wireguard Setup bei den "Allowed IPs" berücksichtigt?
HIER kannst du das im Beispiel bei dynamischen Routing Protokollen wie RIPv2 und OSPF sehen wie es aussieht. Diese nutzen auch Multicast Adressen.
Die Paket Capture Funktion auf der FW hätte dir das auch sofort gezeigt.
HIER kannst du das im Beispiel bei dynamischen Routing Protokollen wie RIPv2 und OSPF sehen wie es aussieht. Diese nutzen auch Multicast Adressen.
Die Paket Capture Funktion auf der FW hätte dir das auch sofort gezeigt.
Sorry das passt bei mir alles hinten und vorne nicht. Hast du eine Schritt-für-Schritt Anleitung /Youtube Video (Oder am besten ein fertiges Image für Proxmox oder ESXI) wo ich mir das an einem realen Beispiel anschauen kann?
Ich möchte einfach nur diverse clients an einem vlan 10.1.1.1/24, welche UPNP nutzen können und der gesamte Traffic über einen externen VPS gesendet wird? Ich habe gefühlt schon alle Anleitungen mindestens 3x probiert und verzweifle
. Seit einem halben Jahr bekomme ich das leider nicht zum laufen.
Nichtmal das hat funktioniert:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
pls help.
Ich möchte einfach nur diverse clients an einem vlan 10.1.1.1/24, welche UPNP nutzen können und der gesamte Traffic über einen externen VPS gesendet wird? Ich habe gefühlt schon alle Anleitungen mindestens 3x probiert und verzweifle
. Seit einem halben Jahr bekomme ich das leider nicht zum laufen.Nichtmal das hat funktioniert:
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
pls help.
Hast du eine Schritt-für-Schritt Anleitung
Die findest du doch in dem oben geposteten Tutorial!!! Einfach nur mal lesen und verstehen... 😉Wenn du die UPnP Multicast Adresse 239.255.255.250 nicht in die "Allowed IPs" einträgst wird die schlicht und einfach geblockt vom Wireguard im Crypto Routing und nix geht.
Deine WG Client Konfig für die Server Seite sähe dann z.B. so aus wenn das lokale Client LAN 192.168.100.0/24 ist:
[Interface]
Address = 10.10.10.1/24
PrivateKey = 123abcd....
ListenPort = 51820
[Peer]
# zum WG Client
PublicKey = dcba321....
AllowedIPs = 10.10.10.100/32, 239.255.255.250/32, 192.168.100.0/24 Ggf. musst du auf dem Router bzw. Firewall dann noch IGMP Proxy oder PIM Routing aktivieren damit Multicast auch in andere IP Segmente übertragen werden kann.
Nichtmal das hat funktioniert:
Da man deine WG Konfig beidseitig nicht kennt und du es bis dato leider nicht geschafft hast die hier auch mal annonymisiert zu posten bleibt einem ja nur wildes Kristallkugeln und freies Raten um zu sehen WO du den Fehler im Setup gemacht hast?! Was also hast du für eine Erwartungshaltung?!
Hi vielen Dank. Ich muss die 239.255.255.250 zu "Alowed IPs" hinzufügen, auch wenn UPNP und Client auf der gleichen "Seite" sind?
Ubuntu Client (10.1.1.6) - (10.1.1.1) OPNsense (UPNP)10.66.66.2 mit Gateway 10.66.66.3 - wireguard - (10.66.66.2) Ubuntu VPS Public Server (feste public IP)
Config Public Server:
Config Client (OPNSENSE)
Hier wären noch die Configs und Firewall/NAT der OPNSense. Ich verstehe nicht, warum UPNP einfach nicht will.
Wireguard Config OPNSense
Firewall und NAT
Gateway
Und zum Schluss die Routen
Sowie die Wirewall logs
Für mich sieht das alles aus, als würde das passen. Ich sehe ja auch, dass in den Firewall Logs UPNP durchgeht. Aber irgendwo funktioniert es eben nicht
Ubuntu Client (10.1.1.6) - (10.1.1.1) OPNsense (UPNP)10.66.66.2 mit Gateway 10.66.66.3 - wireguard - (10.66.66.2) Ubuntu VPS Public Server (feste public IP)
Config Public Server:
root@localhost:~# cat /etc/wireguard/wg0.conf
[Interface]
Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 64158
PrivateKey = abcd
PostUp = iptables -A FORWARD -i ens192 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -D FORWARD -i ens192 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens192 -j MASQUERADE
### Client opnsense
[Peer]
PublicKey = VBopPjKlJPNSAnfpNxkEq1qnu1MLIMTsEuNKvMSI1gg=
PresharedKey = aaaa/Qc00IM=
AllowedIPs = 10.1.1.0/24,10.66.66.2/32,fd42:42:42::2/128,10.66.66.3/32,239.255.255.250/32Config Client (OPNSENSE)
root@localhost:~# cat wg0-client-opnsense.conf
[Interface]
PrivateKey = MMV1e+EciR6VergEPL4SFwgd1CNjkoY2G5ul8gMBRFU=
Address = 10.66.66.2/32,fd42:42:42::2/128
DNS = 94.140.14.14,94.140.15.15
[Peer]
PublicKey = 92zGzBWgfm9NH75s/YASNnKbiaGZe1KcdEKVLD4Oslw=
PresharedKey = aPKPp2bHwXVausMBQ8T1YaUNeVD404Cel7BF/Qc00IM=
Endpoint = 82.165.104.3:64158
AllowedIPs = 0.0.0.0/0,::/0Hier wären noch die Configs und Firewall/NAT der OPNSense. Ich verstehe nicht, warum UPNP einfach nicht will.
Wireguard Config OPNSense
Firewall und NAT
Gateway
Und zum Schluss die Routen
Sowie die Wirewall logs
Für mich sieht das alles aus, als würde das passen. Ich sehe ja auch, dass in den Firewall Logs UPNP durchgeht. Aber irgendwo funktioniert es eben nicht
auch wenn UPNP und Client auf der gleichen "Seite" sind?
Nein. Dann natürlich nicht. Das wäre ja völliger Quatsch, denn wenn UPnP und Client im gleichen lokalen LAN Segment sind, greift doch werder ein Routing noch ein VPN!Router oder VPN Server sind dann logischerweise gar nicht involviert weil ja alles über Layer 2 im lokalen LAN direkt passiert.
Da ist es dann auch völlig klar das am Router/Firewall nix davon auftaucht, denn das bleibt ja logischerweise alles im lokalen Netz. In dem Falle musst du doch auch gar nichts machen!
Wenn sich der UPnP Server und Client schon im lokalen Netz ganz ohne Router oder VPN gar nicht "sehen" hast du primär erstmal ein ganz anderes Problem.
Routing und VPN sind nur dann involviert wenn der Client Zugriff auch von remote über das VPN passieren soll.
Dein Firewall Regelwerk am WAN Port ist etwas unverständlich. Generell erlaubt man hier nur den Traffic auf den WG UDP Port.
Arbeitet die Firewall in einer Router Kaskade?
Wenn ja solltest du dort noch das RFC1918 Blocking deaktivieren.
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
