Hallo zusammen.
Bin in dieser Woche von Turris Omnia auf einen OPNsense Router gewechselt. Der Turris hat mir einfach zu viel durchgelassen und schmiert bei Updates schonmal ab. Zum Basteln ist der cool, aber zum Absichern fehlt mir Zuverlässigkeit. Einrichtung von OPNsense hat auch gut geklappt, läuft schnell und sorgt für Ruhe auf meinen Serverchen. Aaaaaaaber ich find keine Lösung für mein Problem bisher. Meine Umgebung:Zyxel DSL Modem -> OPNsense Router mit PPPoE Einwahl -> zwei LANs über zwei verschiedene ETH SchnittstellenLAN_1: Heimnetz 10.10.0.0/16 über Fritz!Box mit Telefonie, TV & Smarthome - funzt prima LAN_2: Businessnetzwerk 10.0.0.0/16 über eine Switch mit mehreren Servern (PC, Webserver, Mailserver, NAS, etc.)Es geht um LAN_2:
- von außerhalb kann ich wunderbar meine Webseiten und Dienste (API, Mailserver, etc.) aufrufen
- Von meinem PC innerhalb des LAN 2 funktioniert das nicht
- Externe Webseiten sind erreichbar
- Wenn ich NAT Reflection aktiviere, funktionieren meine eigenen Webseiten und Dienste wunderbar. Dafür komme ich dann nicht mehr auf die externen Seiten...
- Unbound/dnsmasq sind nicht eingerichtet, ich nutze einen externen DNS Resolver
Ich glaube, die Ursache ist mir klar - aber wie muss ich das Ding konfigurieren, damit es richtig funktioniert und sowohl meine selbstgehosteten Seiten/Apps/Dienste als auch externe Internetseiten aufrufbar sind? Wenn sie mir nicht klar ist, dann klärt mich auf ;)
Das ist übrigens was, was auf dem Turris einwandfrei klappte ohne besondere Konfiguration.
An den Firewall Rules und am NAT habe ich bislang außer der Reflection-Option nicht rumgespielt, sondern OPNsense die Regeln generieren lassen...Danke für Eure Tipps! Wenn Ihr Infos, Screenshots, Logs braucht, lasst es mich wissen.Magnus.
Du kannst Host overrwrites nutzen . Wenn die Sense als dns Server genutzt wird(so mache ich das bei mir)
Gesendet von iPhone mit Tapatalk Pro
Quote from: bodyagency on October 22, 2022, 10:51:22 PM
Unbound/dnsmasq sind nicht eingerichtet, ich nutze einen externen DNS Resolver
Hier ist das Problem. Warum nutzt du einen externen DNS Server? Unbound und Dnsmasq sind gute Lösungen und speziell für deinen Fall macht es Sinn, diese zu nutzen. Wie mein Vorredner schon sagte, wirst du hier Overrides benötigen, die du aber dann im DNS Server auf deiner OPNsense einrichten musst (für welchen auch immer du dich entscheidest). Allerdings musst du dann natürlich auch deine OPNsense als DNS Server verwenden.
Ansonsten sehe ich da nur die Option von Einträgen in der Hosts-Datei. Allerdings gelten diese Einträge dann natürlich nur für dieses individuelle Gerät.
Ich würde versuchen, hairpin NAT zum Laufen zu kriegen. Weshalb wird eigentlich immer Split-DNS empfohlen? Ich finde das lästig.
Und wenn z.B. ein HAproxy auf der Sense die SSL-Terminierung und Letsencrypt macht, dann muss auch aus dem LAN alles durch diesen durch.
Also, Split DNS kommt nicht in Frage. Ich möchte kein "Workaround" - sondern eine dauerhafte Lösung, die ich nicht immer anfassen muss, wenn sich was an meinen Zonen ändert (das passiert fast täglich - und extra dafür 'ne API bauen...neeee). Und dann vergisst ein Kollege das mal oder hat es nicht mitbekommen und plötzlich sucht die ganze Mannschaft den Fehler. Nicht ideal - möchte ja weniger Fehlerquellen haben statt mehr.
Das muss doch über ein vernünftiges und transparentes Regelwerk hinzukriegen sein - andere Firewalls und Router schaffen das schließlich auch.
Es ist ja auch seltsam, dass es in LAN_1 klappt, wenn ich NAT Reflection einschalte. In LAN_2 sind dann aber die externen Seiten nicht mehr aufrufbar.
Ich werde es finden und es Euch wissen lassen.
Wer in der Zwischenzeit Tipps hat, ohne dass ich mein gesamtes Set Up ändern muss:
gerne her damit :D
Und der externe DNS Server ist unser eigener DNS Primary. Wieso mehr Traffic erzeugen als nötig? Schneller als er kann keiner antworten...
Erledigt ;)
- Firewall -> Einstellungen -> Erweitert: Automatisches ausgehendes NAT für Reflektion AKTIVIERT
- NAT: zusätzliche Regel "Quelle LAN / Ziel WAN / PF Ziel lokale IP" pro Port eingefügt (siehe Screenshot)
Funzt smooooooth ohne Neustart. Und funzt auch nach einem Neustart noch.
Warum kompliziert, wenn es auch einfach geht.
Danke Euch, hat mich zu 'ner Zeichnung und zum Denken angeregt. Bin mal gespannt ob für Euch was gegen diese Lösung spricht.