hallo,
ich habe hier eine nextcloud an einem mikrotik switch an der opnsense laufen. das ganze funktioniert auch über dyndns mit nextcloud.xxx von extern. wenn ich nun mit dem handy per wlan mit der dyndns adresse auf diese zugreife kann ich sehen wie der traffic von intern nach draußen und dann wieder nach innen auf die nextcloud läuft. in der firewall-nat-portweiterleitung habe ich den port 443 für nat reflexion aktiviert. nun läuft der traffic auch wie gewünscht vom wlan direkt zur nextcloud. so weit so gut, aber dann geht kein weiterer internet verkehr mehr. kein wlan oder lan oder zugriff auf den switch etc nur noch wlan zur nextcloud. deaktiviere ich nat reflexion wieder geht wieder alles wie gehabt.
kann mir jemand sagen was ich falsch mache ?
ziel ist es vom handy etc mit der dyndns adresse nextcloud.xxx auf die nextcloud zugreifen zu können ohne das der traffic über das internet geht sondern intern bleibt.
keiner eine idee ?
Hi,
Wieso legst Du intern im DNS keinen Eintrag an?
Dann gibt OPNSense die interne IP zurück, wenn Du daheim bist.
Von unterwegs dann die Dyndns-Adresse.
hi,
das habe ich zuerst probiert (dienste-unboud-überschreibung) aber das hat keinen effekt. der traffic geht weiter über extern und zurück.
auf windows geht das über die host datei problemlos
Hallo,
wenn der DNS Host Override nicht funktioniert, nutzt dein Handy nicht dein DNS. Dann würde ich mal daran was ändern.
DNS Requests kannst du per NAT Regel auf dein internes DNS umleiten.
Aber wahrscheinlich fragt dein Handy den DNS Server des Herstellers via HTTPS ab. Der möchte ja schließlich auch wissen, was du so mit seinem Gerät treibst. ;)
Um dem was entgegen zu setzen, gibt es aber IP Listen dieser DNS Dienste im Internet. Die kann man in OPNsense einbinden, um die Abfragen zu blockieren.
Ein Nachteil an der Sache: Die betroffenen Server bzw. IPs werden nicht selten auch für andere Dienste genutzt, speziell jene der großen Software Hersteller. Diese werden dann ebenfalls blockiert.
Wenn du aber für NAT Reflection eine Lösung suchst, müsstest du mal mehr Details angeben.
Wie sieht diese Port Forwarding Regel aus?
Wie ist dein Netzwerk genau aufgebaut? Wo befindet sich Nextcloud, wo das Gerät, auf dem es Probleme gibt?
Alternative:
Immer auf die externe IP-Adresse auflösen und dort, statt sich mit NAT Reflection herum zu ärgern einfach einen Reverse Proxy aufsetzen. Der kann dann auch gleich den SSL-Kram für den offiziellen FQDN erledigen.
Z.B. mit dem Caddy Plugin.
Mache ich hier inzwischen für alles. Tatsächlich waren meine persönlichen Beiträge zum Plugin alle Lösungen für spezielle Anwendungen hier bei mir, z.B. Apache Guacamole.
Nochmal vielen lieben Dank an unser @Monviech für ein geniales Plugin!
Der tipp mit dem dns auf dem eigenen Handy war gut. Der adblocker war das Problem.
@ Patrick M. Hausen
Quote from: Patrick M. Hausen on December 09, 2024, 11:31:12 PM
Alternative:
Immer auf die externe IP-Adresse auflösen und dort, statt sich mit NAT Reflection herum zu ärgern einfach einen Reverse Proxy aufsetzen. Der kann dann auch gleich den SSL-Kram für den offiziellen FQDN erledigen.
Z.B. mit dem Caddy Plugin.
Mache ich hier inzwischen für alles. Tatsächlich waren meine persönlichen Beiträge zum Plugin alle Lösungen für spezielle Anwendungen hier bei mir, z.B. Apache Guacamole.
Nochmal vielen lieben Dank an unser @Monviech für ein geniales Plugin!
Das mit dem caddy plugin habe ich bisher nicht zum laufen gebracht. Mein dyndns Account ist von do.de die auch ein api für lets entcrypt anbieten aber do.de ist nicht in den settings verfügbar und es soll zwar manuell möglich sein den hinzuzufügen aber hinbekommen habe ich es nicht. Caddyfile ? Wo und wie anpassen? Oder json anpassen aber wo, wie und was eintragen?
Das wäre aber die wohl beste Lösung
Nein man kann im Caddyfile nichts anpassen um einen DNS Anbieter hinzuzufügen der nicht existiert.
Die sind reinkompiliert: https://github.com/opnsense/tools/blob/0c2f10b26b6ed9ff7c9b8202b6413bdfc6985cc3/config/24.7/make.conf#L98-L139
Man kann auch das externe ACME und Dyndns plugin nutzen, und die Zertifikate einbinden im Auswahlmenü beim anlegen einer Domain in Caddy.
Wenn du DynDNS bereits konfiguriert hast, braucht du das in Caddy nicht. Der kann Letsencrypt dann einfach über HTTP-01 machen.
den dyndns account habe ich in der fritzbox eingetragen sowie die ports freigegeben und in der opnsense weiter geleitet. funzt einwandfrei.
d.h ich brauche diese dann nicht in caddy eintragen ?
müssen die ports dann noch für die cloud freigegeben werden oder nur für das caddy plugin ?
Nur 80 und 443 für Caddy eingehend.
Wenn die Fritzebox die externe IP hat dann muss die Fritzbox NAT Reflektion machen. Der Proxy löst nur alle Probleme automagisch wenn der Router (OPNsense) die einzige Routing Instanz im Netzwerk ist, mit der öffentlichen und privaten IPs.
Ansonsten muss man wieder Split DNS benutzen.
Quote from: Monviech (Cedrik) on December 10, 2024, 07:10:51 PM
Wenn die Fritzebox die externe IP hat dann muss die Fritzbox NAT Reflektion machen. Der Proxy löst nur alle Probleme automagisch wenn der Router (OPNsense) die einzige Routing Instanz im Netzwerk ist, mit der öffentlichen und privaten IPs.
Ansonsten muss man wieder Split DNS benutzen.
ok, aber nur so zum verständniß.
die fritzbox gibt doch durch die geöffneten ports (80,443) die öffentliche ip an die opnsense weiter.
in der nextcloud (hinter der opnsense mit weiter geleiteten ports) kann ich die öffentliche ip sehen. muß ich mir das dann so vorstellen wie ein langes reihenhaus mit vielen türen zur strasse und durch die geöffneten türen nr. 80 und 443 kann ich die strasse (öffentliche ip) sehen ?
Nein die öffentliche IP wird nicht weitergegeben. Sie bleibt dort wo sie ist.
Was gemacht wird ist NAT:
https://de.m.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
Der Rest ist Routing:
https://de.m.wikipedia.org/wiki/Routing
hmm, also ich stehe auf dem schlauch.
zu nat reflexion in der fritzbox finde ich nix, nur rebind schutz oder exposed host was aber nicht gemeint ist.
läßt sich ein reverse proxy wie caddy oder haproxy nicht auf einer opnsense hinter einer fritzbox einrichten?
auf der fritzbox sind die ports 80 und 443 an die opnsense freigegeben.
mit split dns gehts ja mit deaktivierten adblocker aber reverse proxy bisher nicht.