rene/llm-gateway
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: add fixes 049-050 (OPNsense WireGuard FritzBox NAT + VLAN WAN)

Browse Source
This commit is contained in:
Rene Fichtmueller 2026-04-13 08:20:06 +02:00
parent c50af63389
commit 132cf835b0
1 changed files with 54 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

54
knowledge/fixes.json
View File

@ -1010,5 +1010,59 @@
] ]
}, },
"prevention": "/etc/vzdump.conf mit bwlimit und ionice ist PFLICHT auf jedem Proxmox-Host. Ohne diese Settings IMMER Gefahr eines Crashes." "prevention": "/etc/vzdump.conf mit bwlimit und ionice ist PFLICHT auf jedem Proxmox-Host. Ohne diese Settings IMMER Gefahr eines Crashes."
},
{
"id": "fix-049",
"date": "2026-04-13",
"system": "opnsense",
"host": "192.168.178.11",
"component": "wireguard",
"severity": "high",
"title": "OPNsense WireGuard 0B empfangen — FritzBox blockiert WG-Response",
"symptoms": [
"wg show: transfer 0B received, trotz Handshake-Initiierung",
"Erik wg show: peer-Endpoint 89.245.218.31:44220 sichtbar, transfer 345 KiB sent",
"tcpdump auf Proxmox vmbr0: nur outbound von 192.168.178.11, kein inbound von 82.165.222.127",
"pf disabled, trotzdem 0B received"
],
"root_cause": "FritzBox blockiert WireGuard-Responses fuer OPNsense-Source-Ports. Andere Peers (192.168.178.204:49360) funktionieren, OPNsense (44220, 52100) nicht. Moeglicherweise FritzBox-spezifisches NAT-Verhalten fuer Firewall-Hosts.",
"fix": [
"WireGuard NICHT auf OPNsense direkt einrichten (FritzBox-NAT-Problem)",
"Stattdessen WireGuard auf Proxmox als Erik-Client (wg1):",
"wg genkey | tee /etc/wireguard/wg1_priv | wg pubkey",
"Peer auf Erik: wg set wg0 peer <PUBKEY> allowed-ips 10.10.0.9/32,192.168.178.0/24",
"Peer in /etc/wireguard/wg0.conf auf Erik persistieren",
"wg1.conf: Address=10.10.0.9/32, Peer=Erik:51820, AllowedIPs=10.10.0.0/24, PK=25s",
"systemctl enable wg-quick@wg1",
"Erik SSH-Key in Proxmox + OPNsense authorized_keys eintragen",
"net.ipv4.ip_forward=1 auf Proxmox"
],
"verification": "ssh root@82.165.222.127 'ssh root@192.168.178.10 hostname; ssh root@192.168.178.11 hostname'",
"notes": "Proxmox routet 192.168.178.0/24 via WG zu Erik. OPNsense erreichbar via LAN-Routing durch Proxmox."
},
{
"id": "fix-050",
"date": "2026-04-13",
"system": "opnsense",
"host": "192.168.178.11",
"component": "wan-dhcp",
"severity": "high",
"title": "OPNsense WAN kein IP — VLAN 20 inexistent + blockpriv stoert CGNAT",
"symptoms": [
"dhclient TIMEOUT-Loop: 172.16.0.114 kurz gesetzt, dann sofort entfernt",
"Reason FAIL: ping 172.16.0.1 schlaegt fehl",
"tcpdump enp86s0.20 auf Proxmox: 0 packets",
"blockpriv=1 blockiert Starlink-CGNAT-Antworten auf vtnet0"
],
"root_cause": "GE12 (Starlink) am 2026-04-09 auf VLAN 1 verschoben. OPNsense WAN auf vmbr20 (VLAN 20) bekommt kein Traffic. blockpriv=1 blockiert ICMP-Reply von 172.16.0.1 (RFC1918), dhclient-TIMEOUT-Ping schlaegt fehl und entfernt die IP.",
"fix": [
"In /conf/config.xml: blockbogons und blockpriv auf 0 setzen",
"sed -i '' 's|<blockbogons>1|<blockbogons>0|' /conf/config.xml",
"sed -i '' 's|<blockpriv>1|<blockpriv>0|' /conf/config.xml",
"/usr/local/sbin/configctl filter reload",
"Langfristig: Switch VLAN fuer OPNsense WAN konfigurieren oder OPNsense WAN-Interface aendern"
],
"verification": "grep -n blockpriv /conf/config.xml",
"notes": "Fuer ctx-health von Erik: WireGuard via Proxmox (fix-049) nutzen. OPNsense LAN (192.168.178.11) ist direkt per SSH erreichbar."
} }
] ]