Kein Zugriff auf den nextcloud-Home-Server hinter der pfsense-Firewall über ddns (no-ip, pfsense, ExpressVPN)

Probleme beim Einrichten des Zugriffs auf einen nextcloud-Server in meinem lokalen Netzwerk. Fühlte mich ein bisschen verloren.

Ich möchte auf den Server von außerhalb des lokalen Netzwerks (Internet) zugreifen. Der Server befindet sich hinter einer pfsense-Firewall, auf der drei VPN-Clients mit Lastausgleich ausgeführt werden (alle mit ExpressVPN verbunden).

Der Serverzugriff funktioniert problemlos aus dem lokalen Netzwerk.

Dies ist meine Netzwerkkonfiguration:

Server, auf dem nginx ausgeführt wird und nextcloud -> 10.0.0.0/24 sub -> LAN-Port an der Pfsense-Firewall -> WAN-Port Pfsense-Firewall -> 192.168.1.0/24.net -> Heimrouter -> Internet

Ich habe drei verschiedene ddns-Hostnamen, die bei no-ip.com registriert sind, außerdem führt der pfsense-Rechner drei individuelle ddns-Update-Clients aus. Sie sind jeweils einem der drei ddns-Hostnamen und einem der drei VPN-Gateways zugeordnet.

Sie aktualisieren sich gut, ich kann sie im no-ip.com-Dash aktualisieren.

Jetzt kann ich nur eine Vermutung wagen, aber es scheint, dass ExpressVPN tatsächlich ddns unterstützt. Ich erfahre das von dieser Seite: ExpressVPN-DDNS-Setup

Folgendes passiert: Wenn ich die ddns-Clients auf pfsense starte, erhält no-ip.com die Remote-Host-Adresse, dh die ExpressVPN-Server-Endadresse. Was ich dachte, würde funktionieren (?), Aber alles, was ich bekomme, wenn ich auf einen der registrierten ddns-Hostnamen (der auf die scheinbar korrekte IP-Adresse aktualisiert wird) zugreifen kann, ist 'nginx 403 verboten'. Dies geschieht auch, wenn mein lokaler Server deaktiviert ist. Ich habe sogar die Pfsense-Firewall abgeschaltet, um eine vollständige Überprüfung der Systemintegrität durchzuführen, und es wurde immer noch ein 403 zurückgegeben.

ANMERKUNG: Auch um gründlich zu sein, musste ich NAT einrichten, um eingehende Anforderungen des Ports 80/443 an die IP des Servers umzuleiten. Ich habe versucht, "Destination" für jedes Gateway als "GATEWAY-X_Adresse" und "GATEWAY-X_net" einzustellen, aber es hat sich nichts geändert.

Es ist so, als würde man vom ExpressVPN-Ende überhaupt nicht durch den Tunnel zurückkehren. Als ob sie es verweigern würden, bevor es überhaupt die Chance hat, NAT zu bekommen.

Wenn ich jedoch den Update-Client von einem Computer im Heimrouter-Netz aus, z. B. 192, ausführe, führt der Zugriff auf eine der registrierten ddns zu meinem Heimrouter. Offensichtlich habe ich auf meinem Router keine Portweiterleitung durchgeführt, daher ist dies in Ordnung, es zeigt nur, dass das ddns tatsächlich richtig eingerichtet ist und meine Konfiguration definitiv nicht stimmt. Muss ich meinen Router im Bridged-Modus oder in etwas einrichten? Muss ich zurück in das lokale Netzwerk tunneln? Sicher nicht...

Wenn jemand eine Idee hat, wie ich meine VPN-Clients auf meiner Firewall ausführen kann, dann richten Sie auch ddns ein, damit ich auf einen dahinterliegenden Server zugreifen kann. Das wäre toll.