From 132cf835b078e8aa3845e3b08dcaddaafa35c54f Mon Sep 17 00:00:00 2001 From: Rene Fichtmueller Date: Mon, 13 Apr 2026 08:20:06 +0200 Subject: [PATCH] fix: add fixes 049-050 (OPNsense WireGuard FritzBox NAT + VLAN WAN) --- knowledge/fixes.json | 54 ++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 54 insertions(+) diff --git a/knowledge/fixes.json b/knowledge/fixes.json index c5a4610..ce422f8 100644 --- a/knowledge/fixes.json +++ b/knowledge/fixes.json @@ -1010,5 +1010,59 @@ ] }, "prevention": "/etc/vzdump.conf mit bwlimit und ionice ist PFLICHT auf jedem Proxmox-Host. Ohne diese Settings IMMER Gefahr eines Crashes." + }, + { + "id": "fix-049", + "date": "2026-04-13", + "system": "opnsense", + "host": "192.168.178.11", + "component": "wireguard", + "severity": "high", + "title": "OPNsense WireGuard 0B empfangen — FritzBox blockiert WG-Response", + "symptoms": [ + "wg show: transfer 0B received, trotz Handshake-Initiierung", + "Erik wg show: peer-Endpoint 89.245.218.31:44220 sichtbar, transfer 345 KiB sent", + "tcpdump auf Proxmox vmbr0: nur outbound von 192.168.178.11, kein inbound von 82.165.222.127", + "pf disabled, trotzdem 0B received" + ], + "root_cause": "FritzBox blockiert WireGuard-Responses fuer OPNsense-Source-Ports. Andere Peers (192.168.178.204:49360) funktionieren, OPNsense (44220, 52100) nicht. Moeglicherweise FritzBox-spezifisches NAT-Verhalten fuer Firewall-Hosts.", + "fix": [ + "WireGuard NICHT auf OPNsense direkt einrichten (FritzBox-NAT-Problem)", + "Stattdessen WireGuard auf Proxmox als Erik-Client (wg1):", + "wg genkey | tee /etc/wireguard/wg1_priv | wg pubkey", + "Peer auf Erik: wg set wg0 peer allowed-ips 10.10.0.9/32,192.168.178.0/24", + "Peer in /etc/wireguard/wg0.conf auf Erik persistieren", + "wg1.conf: Address=10.10.0.9/32, Peer=Erik:51820, AllowedIPs=10.10.0.0/24, PK=25s", + "systemctl enable wg-quick@wg1", + "Erik SSH-Key in Proxmox + OPNsense authorized_keys eintragen", + "net.ipv4.ip_forward=1 auf Proxmox" + ], + "verification": "ssh root@82.165.222.127 'ssh root@192.168.178.10 hostname; ssh root@192.168.178.11 hostname'", + "notes": "Proxmox routet 192.168.178.0/24 via WG zu Erik. OPNsense erreichbar via LAN-Routing durch Proxmox." + }, + { + "id": "fix-050", + "date": "2026-04-13", + "system": "opnsense", + "host": "192.168.178.11", + "component": "wan-dhcp", + "severity": "high", + "title": "OPNsense WAN kein IP — VLAN 20 inexistent + blockpriv stoert CGNAT", + "symptoms": [ + "dhclient TIMEOUT-Loop: 172.16.0.114 kurz gesetzt, dann sofort entfernt", + "Reason FAIL: ping 172.16.0.1 schlaegt fehl", + "tcpdump enp86s0.20 auf Proxmox: 0 packets", + "blockpriv=1 blockiert Starlink-CGNAT-Antworten auf vtnet0" + ], + "root_cause": "GE12 (Starlink) am 2026-04-09 auf VLAN 1 verschoben. OPNsense WAN auf vmbr20 (VLAN 20) bekommt kein Traffic. blockpriv=1 blockiert ICMP-Reply von 172.16.0.1 (RFC1918), dhclient-TIMEOUT-Ping schlaegt fehl und entfernt die IP.", + "fix": [ + "In /conf/config.xml: blockbogons und blockpriv auf 0 setzen", + "sed -i '' 's|1|0|' /conf/config.xml", + "sed -i '' 's|1|0|' /conf/config.xml", + "/usr/local/sbin/configctl filter reload", + "Langfristig: Switch VLAN fuer OPNsense WAN konfigurieren oder OPNsense WAN-Interface aendern" + ], + "verification": "grep -n blockpriv /conf/config.xml", + "notes": "Fuer ctx-health von Erik: WireGuard via Proxmox (fix-049) nutzen. OPNsense LAN (192.168.178.11) ist direkt per SSH erreichbar." } ] \ No newline at end of file