Hallo,
ich hab Server, welche port 80/443 senden im Intranet.
Zugriff aus dem Internet klappt. Sobald ich aber meinen Wireguard Tunnel an habe, lande ich statt auf meinem Intranetserver immer auf dem Login der Firewall.
Der Zugriff durch den Tunnel auf andere Freigaben (z.B. SSH) klappt problemlos. Die Ip des (web) Intranetservers funktioniert ebenfalls über den Tunnel.
Nur der Zugriff auf den externen Namen des Intranetservers landet auf der FW.
Wo fehlt da noch die passende Einstellung?
LG
Bfo
Quote from: bforpc on June 14, 2021, 04:02:23 PM
Hallo,
ich hab Server, welche port 80/443 senden im Intranet.
Zugriff aus dem Internet klappt. Sobald ich aber meinen Wireguard Tunnel an habe, lande ich statt auf meinem Intranetserver immer auf dem Login der Firewall.
Der Zugriff durch den Tunnel auf andere Freigaben (z.B. SSH) klappt problemlos. Die Ip des (web) Intranetservers funktioniert ebenfalls über den Tunnel.
Nur der Zugriff auf den externen Namen des Intranetservers landet auf der FW.
Wo fehlt da noch die passende Einstellung?
LG
Bfo
Dies ist ohne nähere Angaben nicht wirklich zu beantworten.
Ich gehe davon aus das du über den Tunnel einen anderen DNS Server nutzt, dieser löst dein FQDN dann vermutlich mit der internen IP der Sense auf, was dazu führt das du auf der Login Page landest.
Aber dies ist nur eine Vermutung aus der Glaskugel.
Wenn du die entsprechende Konfiguration mal posten könntest, wäre eine genauere Analyse möglich.
Gesendet mit Tapatalk pro
>Ich gehe davon aus das du über den Tunnel einen anderen DNS Server nutzt, dieser löst dein FQDN dann vermutlich mit der internen IP der Sense auf, was dazu führt das du auf der Login Page landest.
Der DNS hat damit doch nichts zu tun!?
Aus dem Internet - ganz ohne VPN - kommen die Anfragen doch auch über die opnSense an und landen auf dem richtigen Intranet Server. Jemand aus dem Internet hat auch "irgendeinen" DNS Server. Das Intranet ist öffentlich erreichbar mit einer festen IP.
Es funktioniert ja genau dann nicht, wenn ich per VPN aus dem Internet auf den Webserver zugreifen will. Bisher habe ich mir damit beholfen, den VPN in dem Moment aus zu schalten, wenn ich aus dem Internet auf die Webseite wollte. Wenn ich von dort auf einen Dienst durchs VPN wollte, habe ich den Tunnel wieder an gemacht - das ist aber ein wenig nervig.
Bfo
Moin bfo,
Du hast in Deinem Netzwerk, mehrere Server, die auf einem Port einen Dienst anbieten: PC01, PC02, PC03
Diese Server sind je nach Quelle der Anfrage beziehungsweise Zugriffs auf das LAN (z.B. mit VPN) über unterschiedliche/gleiche Namen erreichbar.
Da je nach Zugriffsweg andere DNS-Server befragt werden können, kann ich mir schon vorstellen, dass unterschiedliche bzw. falsche Eintragungen im "DNS" (bei Dir lokal, sonst wo) die Ursache für Dein Problem sein können.
Besorge Dir ein Programm, mit dem Du DNS-Anfragen an bestimme DNS-Server über die Angaben derer IP-Adressen stellen kannst (z.B. host).
Bei host geht das so:
host <name> [DNS-Server]
Ohne die Angabe der IP-Adresse des DNS-Servers wird der Standard-DNS-Server genutzt.
Damit kannst Du prüfen, ob die Antworten eines (dessen IP-Adresse Du nutzt) DNS-Servers konstant bleiben.
Vielleicht wird ja nach Aktivierung des VPN-Zugriffs ein anderer DNS-Server befragt.
Ansonsten kann ich Dir nur raten, Dir ein Bild zu malen und dieses hier vorzustellen, damit die Antworten hier konkreter werden können, als meine Tipps.
Gruß
Thomas
Hallo thogru,
zunächst vielen Dank für deine Nachricht.
Ich bin immer noch der Meinung, dass der DNS nicht das Problem ist.
Der Intranet Server (ist nur ein einziger Host mit port 80 und 443) ist aus der "Welt" mit einer IP erreichbar. Diese ist fest. In dem zur Domain gehörenden Zonenfile ist Name & IP fest verdrahtet. Somit können alle aus der Welt auf diesen Server in meinem Intranet zugreifen. Soweit so richtig.
Wenn ich mit meinem Handy ohne VPN und ausserhalb meines Netzes auf die Domain zugreife, klappts auch.
schalte ich aber den WireGuard ein, lande ich auf der Firewall.
Der Wireguard leitet _nicht_ alles durch den Tunnel, nur das, was im Intranet zu erreichen wäre. Das Handy nutzt in dem Moment den gleichen DNS wie vorher (also den öffentlichen des Providers). Somit hat sich hier nichts geändert.
ABER: Auf der Firewall gibt es im unbound einen Eintrag für die private IP des Intranet Servers und seinem öffentlichen Namen, weil sonst Clients im Intranet keinen Zugriff auf diesen Server haben (weil der Name auf die öffenrliche IP auflöst == opnsense).
.... Kommando zurück - Fehler gefunden:
Der Fehler lag im lokalen Konfigurationsprofil des Wireguard Tunnels. Dort waren bei "allowed IPs" nicht alle Netze eingetragen.
Somit Fehler des Tunnels, nicht der opnsense und ndicht des DNS's.
Besten Dank.
Bfo
Hallo bfo,
Cool, dass Du den Fehler gefunden hast.
Das [Gelöst] bitte auch im Topic des ersten Beitrags vom Thread eintragen, dann taucht es auch in den Übersichtslisten auf.
Gruß
Thomas