fix: add fixes 049-050 (OPNsense WireGuard FritzBox NAT + VLAN WAN)

2026-04-13 08:20:06 +02:00 · 2026-04-13 08:20:06 +02:00 · 132cf835b0
commit 132cf835b0
parent c50af63389
1 changed files with 54 additions and 0 deletions
--- a/knowledge/fixes.json
+++ b/knowledge/fixes.json
@ -1010,5 +1010,59 @@
      ]
    },
    "prevention": "/etc/vzdump.conf mit bwlimit und ionice ist PFLICHT auf jedem Proxmox-Host. Ohne diese Settings IMMER Gefahr eines Crashes."
+  },
+  {
+    "id": "fix-049",
+    "date": "2026-04-13",
+    "system": "opnsense",
+    "host": "192.168.178.11",
+    "component": "wireguard",
+    "severity": "high",
+    "title": "OPNsense WireGuard 0B empfangen — FritzBox blockiert WG-Response",
+    "symptoms": [
+      "wg show: transfer 0B received, trotz Handshake-Initiierung",
+      "Erik wg show: peer-Endpoint 89.245.218.31:44220 sichtbar, transfer 345 KiB sent",
+      "tcpdump auf Proxmox vmbr0: nur outbound von 192.168.178.11, kein inbound von 82.165.222.127",
+      "pf disabled, trotzdem 0B received"
+    ],
+    "root_cause": "FritzBox blockiert WireGuard-Responses fuer OPNsense-Source-Ports. Andere Peers (192.168.178.204:49360) funktionieren, OPNsense (44220, 52100) nicht. Moeglicherweise FritzBox-spezifisches NAT-Verhalten fuer Firewall-Hosts.",
+    "fix": [
+      "WireGuard NICHT auf OPNsense direkt einrichten (FritzBox-NAT-Problem)",
+      "Stattdessen WireGuard auf Proxmox als Erik-Client (wg1):",
+      "wg genkey | tee /etc/wireguard/wg1_priv | wg pubkey",
+      "Peer auf Erik: wg set wg0 peer <PUBKEY> allowed-ips 10.10.0.9/32,192.168.178.0/24",
+      "Peer in /etc/wireguard/wg0.conf auf Erik persistieren",
+      "wg1.conf: Address=10.10.0.9/32, Peer=Erik:51820, AllowedIPs=10.10.0.0/24, PK=25s",
+      "systemctl enable wg-quick@wg1",
+      "Erik SSH-Key in Proxmox + OPNsense authorized_keys eintragen",
+      "net.ipv4.ip_forward=1 auf Proxmox"
+    ],
+    "verification": "ssh root@82.165.222.127 'ssh root@192.168.178.10 hostname; ssh root@192.168.178.11 hostname'",
+    "notes": "Proxmox routet 192.168.178.0/24 via WG zu Erik. OPNsense erreichbar via LAN-Routing durch Proxmox."
+  },
+  {
+    "id": "fix-050",
+    "date": "2026-04-13",
+    "system": "opnsense",
+    "host": "192.168.178.11",
+    "component": "wan-dhcp",
+    "severity": "high",
+    "title": "OPNsense WAN kein IP — VLAN 20 inexistent + blockpriv stoert CGNAT",
+    "symptoms": [
+      "dhclient TIMEOUT-Loop: 172.16.0.114 kurz gesetzt, dann sofort entfernt",
+      "Reason FAIL: ping 172.16.0.1 schlaegt fehl",
+      "tcpdump enp86s0.20 auf Proxmox: 0 packets",
+      "blockpriv=1 blockiert Starlink-CGNAT-Antworten auf vtnet0"
+    ],
+    "root_cause": "GE12 (Starlink) am 2026-04-09 auf VLAN 1 verschoben. OPNsense WAN auf vmbr20 (VLAN 20) bekommt kein Traffic. blockpriv=1 blockiert ICMP-Reply von 172.16.0.1 (RFC1918), dhclient-TIMEOUT-Ping schlaegt fehl und entfernt die IP.",
+    "fix": [
+      "In /conf/config.xml: blockbogons und blockpriv auf 0 setzen",
+      "sed -i '' 's|<blockbogons>1|<blockbogons>0|' /conf/config.xml",
+      "sed -i '' 's|<blockpriv>1|<blockpriv>0|' /conf/config.xml",
+      "/usr/local/sbin/configctl filter reload",
+      "Langfristig: Switch VLAN fuer OPNsense WAN konfigurieren oder OPNsense WAN-Interface aendern"
+    ],
+    "verification": "grep -n blockpriv /conf/config.xml",
+    "notes": "Fuer ctx-health von Erik: WireGuard via Proxmox (fix-049) nutzen. OPNsense LAN (192.168.178.11) ist direkt per SSH erreichbar."
  }
 ]