OPNsense Forum

Hallo,

ich habe ein internes LAN Netz und ein DMZ Netz, in welchem ein Web Server steht. Dieser Webserver ist aus dem Internet erreichbar über seinen Namen (welcher auf meine öffentliche IP zeigt). Soweit so gut.

Leider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.

Habe ich meine NAT Regeln falsch gesetzt oder wo könnte das Problem sein?

Nfo

Hallo,

dein Problem lässt sich mit NAT Reflection lösen.

https://docs.opnsense.org/manual/firewall_settings.html

Die Alternative wäre Split-DNS.

VG,

Dominik

Danke für deine Antwort.
Ich verstehe nur das Prinzip nicht.
Was genau macht diese NAT Reflection oder was macht das Split DNS?
Wo kann man dieses generell einschalten und warum ist es standardmäßig deaktiviert?

Das würde ja bedeuten, dass alle aus der Welt auf den Web server Zugriff bekommen, aber nicht Benutzer hinter der FW. Welchen Sinn hat sowas?

Bfo

Hallo,

nein du hast nichts falsch gesetzt.

Was du aber machen willst ist aus deinem internen LAN auf deine eigene externe Adresse zuzugreifen.
Da du aber normalerweise dein internes IPv4 LAN per NAT hinter einer deiner externen IPs per NAT "versteckst" kommt es zu dem "Problem".

Im Detail gibt es dazu viel Dokumentation im Netz und auch einige RFCs wenn ich nicht Irre.

Split DNS bedeutet, dass du intern die interne IP in deinem lokalen DNS angibts und nicht die eigene Externe IP. Somit entsteht das Problem nicht und du greifst von deinem LAN auf die DMZ Adresse deines Servers zu, ganz ohne NAT.

NAT Reflection ist per default nicht an, weil es je nach Konfiguration auch Probleme bedeuten kann die man evtl. nicht möchte. Für eine Fritbox in der es keine DMZ mit eigenem Netz oder mehrere getrennte Interface gibt, mag das o.k sein sowas per default zu aktivieren. Bei vielen Firewalls ist sowas nicht per default an.

VG,

Wie schon erwähnt ist das verhalten ja normal.

Dein Webserver ist ja hinter der Firewall. Split DNS ist die Lösung.
Dafür braucht es aber einen lokalen DNS der eingerichtet wird.

Oder wenn es nur einzelne Rechner im Lan sind dann geht bei Windows auch die Host Datei anzupassen.
Da kannst Du den Zugriff via Namensauflösung auf den Webserver mit der lokalen ip hinterlegen

Quote from: banym on January 08, 2021, 03:16:44 PM
Was du aber machen willst ist aus deinem internen LAN auf deine eigene externe Adresse zuzugreifen.
Da du aber normalerweise dein internes IPv4 LAN per NAT hinter einer deiner externen IPs per NAT "versteckst" kommt es zu dem "Problem".

Aha...zugegebenermaßen ist das wohl an allen Hardware FW's auch so, wenigstens die, die ich gesehen habe.

Quote from: banym on January 08, 2021, 03:16:44 PM
Split DNS bedeutet, dass du intern die interne IP in deinem lokalen DNS angibts und nicht die eigene Externe IP. Somit entsteht das Problem nicht und du greifst von deinem LAN auf die DMZ Adresse deines Servers zu, ganz ohne NAT.

Das möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.

Quote from: banym on January 08, 2021, 03:16:44 PM
NAT Reflection ist per default nicht an, weil es je nach Konfiguration auch Probleme bedeuten kann die man evtl. nicht möchte.

Da würde ich dann doch lieber die Nat Refelction nutzen.
Dein Link oben habe ich mir angesehen, allerdings nicht heraus gefunden, wie ich das nun tatsächlich für meinen Fall aktivieren kann. Der Link beschreibt ja nur, was da passiert, aber nicht wo das einzustellen ist!?

Bfo

> Das möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.

Ist aber eigentlich die sauberste Variante und empfohlen. Denn zugreifen tust du egal wie über die Domain. Nur wird die eben von extern mit der IP deiner WAN Schnittstelle beantwortet (und damit dann per NAT reingeroutet) und im anderen Fall von vom LAN auf die DMZ direkt zugegriffen wird OHNE dass die Firewall den Zugriff erst noch (sinnfrei) als Proxy zwischendrin bearbeitet oder das Paket umschreibt. (je nach Modus)

Das hat überhaupt nichts mit "Brücke" schaffen zu tun. Der Zugriff von LAN nach DMZ muss per Regel so oder so erlaubt sein, sonst würde auch NAT Reflection keine Änderung bringen. Nur weil der Zugriff per IP/Port erlaubt ist, hat das doch nichts mit "Brücke/Bridging" zu tun!

> Leider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.

Du WILLST doch aus dem LAN auf deinen Webserver zugreifen. Also ist das keine Brücke, kein Bridging oder sonstwas, sondern ein gewollter Zugriff. Ob der jetzt aber direkt via Split DNS (was sehr einfach zu realisieren ist mit einem Host Override im DNS) realisiert wird oder ob du umständlich eine NAT Reflection in Kauf nimmst, bei der Pakete unnötig erst an die Firewall geschickt werden, nur damit diese das Paket umschreibt und dann doch in die DMZ schickt, ist prinzipiell egal.

Jetzt ist es vielleicht klarer was beide Optionen machen. NAT Reflection macht (unnötige) zusätzliche Verbindung zur Firewall und lässt sich dort die Pakete umschreiben, SplitDNS umgeht das und verbindet dich direkt einfach mit deinem Server, wie es sich gehört und ohne zusätzliche Umwege :)

[quote ]
Jetzt ist es vielleicht klarer was beide Optionen machen. NAT Reflection macht (unnötige) zusätzliche Verbindung zur Firewall und lässt sich dort die Pakete umschreiben, SplitDNS umgeht das und verbindet dich direkt einfach mit deinem Server, wie es sich gehört und ohne zusätzliche Umwege :)
[/quote]

Hallo,

zunächst herzlichen Dank für deine Erklärung.
Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.


Bfo

> Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.

Dann verstehst du es nicht der kannst dich nicht wirklich gut erklären warum das nicht gehen soll.

1) Du WILLST auf diesen Rechner zugreifen, weil dort Dienste laufen auf die du Zugriff WILLST.
2) Dann gibst du diesen Rechner auch frei, ansonsten macht das keinen Sinn!
3) Und dann klappt das auch problemlos mit einem DNS Eintrag

Sorry aber das ist einfach komplett unverständlich und macht 0,0 keinen Sinn für mich. Niemand sagt, dass du komplett für alle Rechner/das ganze Netz/whatever den Zugriff auf den Webserver aufmachst. Aber ein simples

* erlaube IPv4/v6 Typ TCP von Quelle XY_PC auf DMZ_Webserver Port 80/443/whatever

ist genau nichts anderes, als das was du versuchst zu erreichen. Du kannst dich aber eben nicht gleichzeitig hinstellen und sagen "ne nee, aus dem LAN darf nix nach DMZ, das darf nur von außen!" - und dann soll dein PC im LAN eben doch dahinkommen. Dann denke nochmal drüber nach wer wann warum wie auf den Server zugreifen können muss/soll. Denn das was du gerade schreibst macht leider keinen Sinn.

Moin,

sorry... *du* hast es nicht verstanden. Wenn du den Post in Ruhe liest, wirst du erkennen,  dass meine Anforderung ganz simpel ist: vom LAN auf Rechner im DMZ zugreifen - und zwar über die WAN Adresse. PUNKT. ENDE. MEHR NICHT!

Warum und wieso spielt doch jetzt keine Rolle. Das ist die Anforderung.
Das viele (auch andere) Wege nach Rom führen ist bekannt, ich suche aber nach einer Lösung dieses Problems.
Durch die NAT Reflection, wie banym schrieb, ist es ja möglich.

Bfo

p.s. auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen.

Quote from: bforpc on January 27, 2021, 09:44:10 AM
Moin,

sorry... *du* hast es nicht verstanden. Wenn du den Post in Ruhe liest, wirst du erkennen,  dass meine Anforderung ganz simpel ist: vom LAN auf Rechner im DMZ zugreifen - und zwar über die WAN Adresse. PUNKT. ENDE. MEHR NICHT!

Warum und wieso spielt doch jetzt keine Rolle. Das ist die Anforderung.
Das viele (auch andere) Wege nach Rom führen ist bekannt, ich suche aber nach einer Lösung dieses Problems.
Durch die NAT Reflection, wie banym schrieb, ist es ja möglich.

Bfo

p.s. auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen.

@JeGr hat dir lediglich den mMn sinnvollsten weg gezeigt um dein Problem zu lösen.

Sicherheitstechnisch macht es am Ende keinen Unterschied ob du nun von außen per Port 443 reinkommst oder intern bleibst.
Ganz im Gegenteil soltle man den Traffic intern lassen, da diese theoretisch im Netz mitgeschnitten werden kann (je nach dem wie weit du alles mögliche durchs Internet schießt).

Hast du Schadsoftware oder sonst was auf deinem PC erreicht diese genau so den Webserver per Port 443 wie intern auch.
Vielleicht gibt es ja wirklich einen Sinnvollen Grund nur über die WAN Adresse darauf zuzugreifen, dann erkläre diesen aber auch bitte!

> Sicherheitstechnisch macht es am Ende keinen Unterschied ob du nun von außen per Port 443 reinkommst oder intern bleibst.

Zumal es kein "VON AUSSEN" gibt. Das Paket kommt so oder so von LAN und kommt ans DMZ Interface, ob es nun dumme Umwege durch die Firewall kreiselt oder nicht. Es wird NIE von außen kommen.
Ein Ergebnis zu bekommen, wenn man die Funktionsweise des Paketfilters nicht versteht/verstehen will und dann darauf beharrt, dass man Dinge möchte, die so nicht möglich sind, grenzt das eben leider an Wahn. Es gibt die Variante "NAT Reflection" bzw. Port Forwarding auf dem LAN konfigurieren oder SplitDNS via dem DNS Namen. Done.

Kannst du PUNKTE schreiben wie du möchtest, ändert aber nichts am Ergebnis :)

Quote from: JeGr on January 27, 2021, 01:10:22 PM
... wenn man die Funktionsweise des Paketfilters nicht versteht/verstehen will

vor allem:  "...nicht will..." (deswegen gibt "man" sich ja die Mühe des Fragens)

Quote from: JeGr on January 27, 2021, 01:10:22 PM
Kannst du PUNKTE schreiben wie du möchtest, ändert aber nichts am Ergebnis :)

Du kannst noch so wissend sein, dein Umgangston ändert nichts an deiner Unfreundlichkeit. Wenn dich die ach so "dummen" User so schlimm nerven, dann bitte - im Namen aller  - behalte deine Kommentare für dich - ist auch besser fürs Herz!

Bfo

Quote from: bforpc on February 01, 2021, 11:02:43 AM
Wenn dich die ach so "dummen" User so schlimm nerven, dann bitte - im Namen aller  - behalte deine Kommentare für dich - ist auch besser fürs Herz!

Bfo

Ähm bitte nicht in Namen Aller. Denn ich würde mich da gerne komplett raus halten. DANKE

Eieiei, Corona-Koller... Kinder, bleibt friedlich...

@bforpc hier wurdest du nirgends als Dumm oder sonst-was bezeichnet.

Du hattest ein "Problem" und dabei wurden dir verschiedene Wege vorgeschlagen welche alle ihre Berechtigung haben mit Vor und Nachteilen.
Sowie wurden auf Grundsätzliche Probleme deine Herangehensweise gewiesen, was weder als Kritik noch sonst was gemeint war - einfach nur als Hilfe für ein sicheres Setup.
Wenn du dich da sofort persönlich angegriffen fühlst, behalte diese Thematik für dich, aber bezeichne nicht die anderen als unfreundlich oder sonst was.

Die meisten helfen hier immerhin unentgeltlich und aus freien Stücken

Ich muss auch @lfirewall1243 zustimmen. Ich sah da auch keinen Angriff auf die Person.

Ich fand auch den Kommentar wegen

Quote"auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen"

nicht gerade schön. @JeGr beantwortet alle Fragen ohne Entgelt und bemüht uns allen eine Idee / Lösung gemeinsam zu finden.

Ich finde es toll, wenn es auch andere bessere Lösungen gibt und freue mich auf jede Idee. Natürlich kann ich später selber entscheiden was ich machen werde oder will. Es zwingt ja keiner das zu tun.

Ich finde aus Thema Sicherheit ist die Lösung von @JeGr die bessere und sichere Variante.

Aber das muss jeder selber entscheiden :)

Hallo,

seine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.
Wieso muss jemand dermaßen Oberlehrerhaft Sprüche machen "wenn du es nicht verstehen willst ..." das ist unfreundlich.
Vielleicht sitzen nicht überall vor dem Bildschirm die studierten Kernel Entwickler...

Wenn er das unentgeltlich macht - wunderbar - wir alle doch (ich versuche mein Wissen in Foren auch zu teilen)  - aber warum muss das in D immer so schulmeisterisch ausarten? Und wenn ihm das ein zu große Last ist - und so siehts ja aus wenn man das liesst- dann  - wie hat Dieter Nuhr mal gesagt: "Fresse halten".
In einem US Forum wirst du selten die Antwort auf eine Frage bekommen "wieso willst du das machen" - in D ist das zu 50% so. Schwätzen ohne Grund - heute gerade gelesen: Da fragt einer im Linux Forum "... wie man in debian bla bla...." und dnn die Antworten: "Wieso benutzt du denn Debain" oder "das weiss ich auch nicht, aber unter Slackware gibts das Problem nicht..."


Seufz ... OK, ich schweife ab.
Forget it - have a nice day @all


Bfo

Quote from: bforpc on February 01, 2021, 04:03:26 PM
Hallo,

seine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.
Wieso muss jemand dermaßen Oberlehrerhaft Sprüche machen "wenn du es nicht verstehen willst ..." das ist unfreundlich.
Vielleicht sitzen nicht überall vor dem Bildschirm die studierten Kernel Entwickler...

Wenn er das unentgeltlich macht - wunderbar - wir alle doch (ich versuche mein Wissen in Foren auch zu teilen)  - aber warum muss das in D immer so schulmeisterisch ausarten? Und wenn ihm das ein zu große Last ist - und so siehts ja aus wenn man das liesst- dann  - wie hat Dieter Nuhr mal gesagt: "Fresse halten".
In einem US Forum wirst du selten die Antwort auf eine Frage bekommen "wieso willst du das machen" - in D ist das zu 50% so. Schwätzen ohne Grund - heute gerade gelesen: Da fragt einer im Linux Forum "... wie man in debian bla bla...." und dnn die Antworten: "Wieso benutzt du denn Debain" oder "das weiss ich auch nicht, aber unter Slackware gibts das Problem nicht..."


Seufz ... OK, ich schweife ab.
Forget it - have a nice day @all


Bfo

Sind dann aber immer noch bessere Antworten als keine.

Aber so oder so ist das wie hier eine typische Foren Vorgehensweise. Man teilt einfach seine Erfahrungen.

Du scheinst ja noch recht neu im Thema OPNsense bzw. Firewall zu sein, warum also nicht die Vorschläge der anderen Nutzer annehmen? Ob du Sie am Ende umsetzt oder nicht sie ja mal dahin gestellt.
Mit deiner Herangehensweise und deinen Aussagen sind OpenSource Lösungen vielleicht nicht das richtige. Wechsel doch zu kommerziellen Lösungen und kaufe dort den Support ein, die schlagen dir mit Sicherheit nicht so viele verschiedene Lösungen vor.

Aber gut bei deinen nächsten Threads werden wir alle darauf achten keine andere evtl. bessere Lösungen vorzuschlagen  :-X  ;D

Quoteseine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.

Nein, tut sie nicht. Aber du weigerst dich standhaft eine Antwort zu akzeptieren, die dir aus mir unerkennbaren Gründen nicht in den Denkprozess passt.

QuoteLeider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.
Habe ich meine NAT Regeln falsch gesetzt oder wo könnte das Problem sein?

Das sind die beiden Fragen. Die Antworten aller hier inkl meiner ist/war, dass du es wahrscheinlich falsch verstehst, das aber aus Gründen des Routings schlichtweg NICHT so funktioniert wie du es dir vielleicht vorstellst.

Zweite Fragepost war:

Quote> Ich verstehe nur das Prinzip nicht.

Genau was wir versucht haben dir zu sagen.

Quote> Was genau macht diese NAT Reflection oder was macht das Split DNS?
> Wo kann man dieses generell einschalten und warum ist es standardmäßig deaktiviert?
> Das würde ja bedeuten, dass alle aus der Welt auf den Web server Zugriff bekommen, aber nicht Benutzer hinter der FW. Welchen Sinn hat sowas?

Die Antwort darauf hast du in zigfacher Form bekommen. Weil sich die Regel bzw. das Port Forwarding NUR auf das WAN bezieht und damit die Pakete vom WAN umbiegt und die nach innen auf deinen Webserver schickt. Und mehr nicht. Der Weg vom LAN zum Webserver ist ein komplett anderer, auch wenn du das nicht einsehen möchtest, weil das Paket dann als ERSTES nicht auf dem WAN, sondern auf dem LAN aufschlägt und DORT gefiltert oder bearbeitet wird. Ergo verhält sich diese Verbindung grundlegend anders als eine von außen und muss auch anders abgearbeitet werden.

Das haben außer mir noch einige andere im Thread mehrfach versucht dir zu erklären. Dagegen hast du dich gewehrt mit:

QuoteDas möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.
Da würde ich dann doch lieber die Nat Refelction nutzen.

Zweites ist OK. Kein Problem. Dabei macht das Paket einen Umweg über die Firewall. Ist unnötig, kostet Ressourcen und daher nicht die beste Option das zu lösen. Zudem gingst du mit dem Satz davor von Dingen aus, die so einfach nicht stimmen (es gibt keine "Brücke" dadurch). Nichts anderes habe ich dir damit geantwortet:
https://forum.opnsense.org/index.php?topic=20819.msg97289#msg97289

Leider wolltest du aber grundsätzlich alles falsch verstehen oder hast andere Dinge im Kopf, die so einfach nicht richtig sind. Siehe die Kommentare zu "dann schaffe ich doch eine Bridge/Brücke o.ä.". Oder auch

Quote> Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.

Auch das ist einfach nicht richtig. Nur weil dein Rechner woanders steht hat das nichts damit zu tun, ob du ihn per DNS auflösen kannst (bzw. der Name aufgelöst wird und zu welcher IP). Denn das regelt deine Sense an der Stelle. OB du dann draufkommst, entscheiden dann lediglich Firewallregeln.

Auf alles was ich dir ausführlich habe versucht zu erklären kamen halb-falsche/halbwissende Aussagen dass das so nicht geht/gewollt ist, aber du Zugriff von A nach B möchtest. Du hast dir da selbst die ganze Zeit widersprochen, daher hatte ich das mal etwas deutlicher formuliert. Bin ich dann direkt? Ja. War das beleidigend? Nicht die Bohne. Wenn das beleidigend für dich war, solltest du bitte nochmals genau lesen. Ich bin an keiner Stelle persönlich geworden, sondern habe lediglich mehrfach darauf hingewiesen, dass deine Aussagen sich beißen und dein "Wunsch" keinen Sinn macht bzw. gar nicht technisch so abläuft/möglich ist.

Auf deine tumben Kommentare mit Beleidigungen muss ich nicht eingehen. Die sind unnötig und haben hier nichts verloren.

Wie du die NAT Reflection einrichten kannst, wurde verlinkt und gesagt. Warum das nicht optimal ist und im (technischen Grundsatz) Prinzip keinerlei anderer Weg ist, als der mehrfach aufgezeigte über simples Routing + DNS Nutzung ebenfalls.
Und auch in einem US Forum wird es dir nicht anders ergehen wenn dir jemand schreibt, dass das war du möchtest einfach keine technische Basis hat und nicht so, sondern eben so funktioniert. Hier gings auch nicht drum zu sagen "ja nee mach mal anders", sondern darum, dass es technisch nur 2 Möglichkeiten gibt wie das überhaupt zu lösen ist und es wurde hier nur lang und breit erklärt, was beide sind, können und warum eine ggf. sinnvoller ist als andere. Keiner kam hier an und hat bspw. gesagt: "JA LOL dann mach das doch gleich mit Proxy dann geht das geiler und ist IMBA 11elf". Könnte man auch machen. Also mit Proxy. Hatte aber mit der Frage nichts zu tun. ;)


Generell: Wenn man sagt, dass man etwas nicht versteht ist es einfach: man kann es erklären, oder zumindest versuchen. Wenn man sich aber hinstellt und ständig ohne technische Grundlage, sondern einfach nur "weil ich das so will" argumentiert, kann niemand helfen. Und wenn man mehrfache Hilfsangebote einfach mit "dann lies hier halt nicht" und "Fresse halten" abtut, muss man sich auch nicht wundern, wenn die Hilfe irgendwann ausbleibt. :)
Zudem kann man es nie allen recht machen, aber wie @lfirewall1243 schon richtig sagt: in den meisten Fällen ist eine Antwort auch wenn vielleicht etwas anders als gewünscht immer noch hilfreicher oder bringt einen auf einen (richtigen) Weg als gar nichts. Viel zu viel Foren oder Diskussionen bleiben da dann leer, denn "lieber nichts schreiben was nicht 100% passt". Dann sähe es hier ziemlich düster aus zumal man relativ oft raten muss, was der Nutzer eigentlich möchte, weil ers ggf. selbst nicht weiß oder eben unwissend auf dem falschen Weg ist. Dann sind Antworten mit dem Versuch von Hilfe doch wesentlich netter, oder? ;)