OPNsense Forum

International Forums => German - Deutsch => Topic started by: white_rabbit on November 08, 2019, 09:19:14 am

Title: Portweiterleitung an HAProxy kommt nicht an.
Post by: white_rabbit on November 08, 2019, 09:19:14 am

Hallo.
Ich habe einen HAProxy (später zusammen mit LE geplant) auf unserer OPNSense-FW installiert.

Das Setup sieht so aus:
Unsere Domain "meine-domain.de" wird bei HostEurope gehostet, wo ein CNAME-Eintrag auf einen dyn-dns-Anbieter zeigt. So werden alle Anfragen, die bei *.intern.meine-domain.de ankommen, an die eingetragene dyn-dns-Adresse umgeleitet. Dort hängt zunächst eine FritzBox, die Port 80 und 443 an die WAN-Schnittstelle der OPNSense durchlässt. Auf der FW ist unter NAT eine Portweiterleitung für WAN auf die HAProxy-Adressen gesetzt. HAProxy soll das an einen Rechner in unserer DMZ weiterleiten. Zudem sind FW-Regeln eingetragen, die den Zugriff von WAN --> DMZ erlauben. Soweit der Plan.

Wenn ich nun im internen Netz (also sowohl LAN als auch DMZ) http(s)://nextcloud.intern.meine-domain.de nutze, funktioniert alles. Ein Seitenaufruf geht an die FW bzw HAProxy und wird dann ordnungsgemäß an den Rechner in der DMZ weitergeleitet. Wenn ich das gleiche aber von außen versuche, erhalte ich immer "Unable to retrieve .... Verbindungsaufbau abgelehnt!".
Das kann doch nur eine Kleinigkeit sein, an der das scheitert aber ich sehe den Fehler gerade nicht.
Woran kann das liegen bzw welche Einstellung fehlt hier? Die Liveansicht der FW-Protokolldateien zeigen leider auch kein "Blocked" oder so...

Title: Re: Portweiterleitung an HAProxy kommt nicht an.
Post by: hbc on November 08, 2019, 01:45:44 pm

Klingt für mich nach DNS. Löst dein Domänengebastel auch auf die korrekte IP auf? Nicht das die DynIP noch eine alte ist und Deine OPNsense schon eine neue hat. Die Fehlermeldung und das fehlende Block im Log deutet stark darauf hion, daß irgendwo anders angefragt wird, aber nicht an Deine Firewall.

Ist hoffentlich nur eine kleine private Webseite . Für was professionelles würde ich entweder den Webauftriff gleich ebenfalls bei HostEurope hosten oder in eine statische IP investieren und den DNS-Eintrag fix auf diese setzen.

Title: Re: Portweiterleitung an HAProxy kommt nicht an.
Post by: white_rabbit on November 08, 2019, 05:09:11 pm

Ok, ich bin einen Schritt weiter ... habe mit einem anderen Client im WAN versucht, auf die DMZ-Adresse zu gelangen. Da gelingt ebenfalls nicht (wird aber auch nicht gelogged). Daher muss es offenbar daran liegen, dass es weitere Regeln für das WAN geben muss, damit der Zugriff auf die DMZ gelingt?

Ich habe diese Regeln für NAT und WAN eingerichtet -- scheint nicht zu reichen?