OPNsense Forum
International Forums => German - Deutsch => Topic started by: lloid on June 16, 2017, 12:53:48 am
-
Hallo OPNSense Forum :)
Ich habe einen Server, welchen ich dank dynDns und Portforwarding wunderbar aus dem Internet ansprechen kann. Leider funktioniert das nicht innerhalb meines Netzes.
Das Anlegen verschiedener Regeln hat leider nicht zum Erfolg geführt, irgendwas mache ich falsch..
Kann mir bitte jemand helfen?
Struktur:
Kabelmodem
-> OPNSense Firewall
-> FritzBox -> Internes Netzwerk
-> Server
-
Moin,
leider kann man nach Deiner Beschreibung nicht genau erkennen, ob Du ein grundsätzliches Problem mit dem DNS oder ein FW-Regelproblem hast.
Funktionieren die Zugriffe auf Deinen Server aus dem internen Netz heraus, wenn Du den Server direkt über seine interne IP-Adresse ansprichst?
Wenn der Zugriff per IP auf den Server klappt, dann hast Du offenbar ein DNS-Problem. Split-DNS wäre hier Dein Freund. Hab das allerdings mangels eigenem Bedarf noch nicht mit OPNsense/pfsense umgesetzt. ;)
Sollte aber recht einfach sein.
Unter Services -> DNS Forwader findest Du die Sektion 'Host Overrides'.
Hier muss Dein Server eingetragen werden.
Anschließend sollte der Server dann von intern auch per externer dyndns-Adresse erreichbar sein. :)
Gruß
Dirk
-
Hey hey,
wie monstermania schon meinte ist der Eintrag "Host Overrides" egal ob DNS Forwarder (Dnsmasq) oder DNS Resolver (Unbound) der Punkt den du konfigurieren musst.
Dort trägst du den Hostnamen und die Domain ein und dessen interne IP Adresse.
Danach wird ein Alias mit der internen IP Adresse angelegt, damit die Regelfreischaltung schöner aussieht.
Als letzter Schritt dann die Firewallfreischaltung vom Subnetz des internen Netzes zur Server IP, bzw. zum angelegten Alias und es sollte klappen.
Bei mir hatte das so wunderbar funktioniert. :)
Btw: gibt es einen Grund für die Fritzbox, als Router, zum internen Netz?
Ein VLAN fähiger Switch wäre eleganter gewesen, jedoch kenn ich deinen Netzwerkaufbau nicht im Detail.
Schöne Grüße,
Oxy
-
Vielen Dank für die Antworten :)
@monstermania: Ja, die Zugriffe via <IP-Adresse>:678 funktionieren wunderbar aus dem internen Netzwerk heraus, von außen über name.dyndns.org:12345 via Portforwarding auf <IP-Adresse>:678 ebenfalls. Nur von intern kann ich nicht über die DynDNS zugreifen, nur über die IP-Adresse direkt.
@Oxygen61: Die FritzBox hat sich ergeben, da WLAN, Telefonie usw ohnehin über die FritzBox laufen. Der Server und die FritzBox laufen im gleichen Subnetz.
Die DynDNS-Adresse, die auf der OPNSense aufläuft, wird für mehrere Rechner verwendet, nicht nur für den erwähnten Server. Über den angesprochenen Port werde ich dann entsprechend weitergeleitet. Auch intern würde ich gerne zB RemoteDesktop-Zugriffe auf die PCs mit der (externen) DynDNS-Adresse aufbauen.
Bitte könntet ihr mir die Konfiguration etwas genauer (kleinschrittiger) erklären? Das ist meine erste Firewall und ich finde mich noch nicht so gut zurecht mit deren Konfiguration.. Habe die angesprochenen Menupunke gefunden. Was muss ich jetzt wo eintragen?
VG lloid
-
Hey hey,
die Konfigurationsschritte sind nicht so schwer. Das kann ich dir im Anschluss auf meine Frage gleich auch nochmal klein schrittig aufschreiben. :)
Bevor ich das mache, erst einmal eine grundlegende Frage zu deinem Netzaufbau, bzw. deiner Überlegung mit dem DynDNS. :)
Deine Server und Rechner im internen Netz haben doch sicher eigene Host Namen oder? (Hoffentlich?)
Wäre es nicht sinnvoller die Freischaltungen im internen Netz zu belassen, wenn diese auch aus dem internen Netz kommen? also zum Beispiel:
interner Rechner --- Freischaltung TCP Port 3389 ---> interner Server (über private IP oder Hostnamen)
Worauf ich hinaus will:
Wieso: "würde ich gerne zB RemoteDesktop-Zugriffe auf die PCs mit der (externen) DynDNS-Adresse aufbauen" ?
Das erschließt sich mir nicht, wenn die Anfrage auf den RDP Port schon aus dem internen Netz kommt. :)
Deswegen ja die Überlegung des Split-DNS, ergo die Host Auflösungen, durch das "Host-Override" im internen Netz zu belassen.
Rechner aus dem Internet werden geportforwarded (ist das noch ein Wort? :D )
Rechner aus dem internen Netz bekommen Freischaltungen auf Dienste im internen Netz.
Falls Host Auflösungen gewollt sind vom DNS im internen Netz für Host Auflösungen aus dem internen Netz nutzt man "Host-Override" hierfür.
Folgendes bei Nutzung des DNS Forwarders:
1 ) Services > DNS Forwarder
2 ) runterscrollen bis zur Überschrift "Host Overrides" und das Plus anklicken
3 ) Bei "Host" kommt der Hostname des Servers rein den du von deinem internen Subnetz aus erreichen willst
z.B.: MeinWEBServer (Der muss dann logischer Weise auch wirklich so heißen :P)
4 ) Bei "Domain" kommt die Domain rein, in der die Namensauflösung stattfinden soll, ergo deine Domain im privaten Subnetz, die du festgelegt hast, z.B.: "home.de"
Der FQDN für den Server aus deinem internen Subnetz wäre an dieser Stelle also Beispielhaft "MeinWEBServer.home.de"
5 ) IP address: Dort kommt die private IP Adresse des Servers rein, auf die die Host DNS Namensauflösung im Internen Netz dann durchgeführt werden soll, z.B.: 192.168.5.7
6 ) Bei "Description" kommt für dich eine Beschreibung rein.
7 ) "Aliases" lässt du frei.
8 ) Unter Firewall > Rules müssen nun Regeln erstellt werden, die den Zugriff auf den lokalen DNS der Firewall zulassen und weiterhin die Freischaltung zum Server erlauben. Ich halte mich hier also an das Beispiel von oben und sage:
Regeln:
IPv4 TCP/UDP LAN net * 192.168.5.1 53 (DNS) * Zugriff auf den DNS Forwarder erlauben
IPv4 TCP LAN net * 192.168.5.7 80 (HTTP) * Erlaube Web -> Web Server
Versuchst du nun aus dem internen Netz den Namen "MeinWEBServer.home.de" aufzurufen, kann die Firewall die Auflösung machen und bekommt durch den Host-Override Eintrag die Antwort "192.168.5.7" zurück. Der DynDNS spielt an dieser Stelle dann keine Rolle mehr für die private Subnetz Kommunikation.
Wenn ich dich falsch verstanden habe dann sag bescheid :)
Schöne Grüße
Oxy
-
Also es kann schon Beispiele geben, warum man immer die Dyndns Adresse verwenden will.
Bei mir ist es z.B. so das ich eine Dyndns Adresse habe und diese per Port Forwarding auf einen mail server und einen webserver weiterleite. Diese sind auch auf dem Handy eingerichtet welches per Internet und lokales WLAN darauf zugreifen soll, ohne die Apps jedesmal anpassen zu müssen.
-
Musst du auch nicht - die Overrides sind nur lokal bei dir im LAN. Das heißt im LAN wird auf die private IP aufgelöst, irgendwo im Internet auf die öffentliche IP von außen. In beiden Fällen wird eine TCP-Verbindung zum richtigen Server aufgebaut.
-
Ich will aber in verschiedenen Netzen (LAN, Wireless, DMZ) darauf zugreifen.
Mit dem override funktioniert es nur für ein Netz.
Also um es nochmal zu verdeutlichen. Ich habe mehrere Server in der DMZ die ich über Portforwarding über eine öffentliche IP erreiche.
Intern könnte ich dann zum gleichen zweck nur die IP der Firewall via override verwenden, da ich ja auf das portforwarding angewiesen bin. Die Firewall hat aber in jedem Netz (LAN, WLAN, DMZ) eine andere IP, wodurch das auch nicht funktioniert.
-
> Ich will aber in verschiedenen Netzen (LAN, Wireless, DMZ) darauf zugreifen.
> Mit dem override funktioniert es nur für ein Netz.
Warum? Das hängt ganz von deinem Override ab. Zumal du auch von extern bei mehreren Servern sinnvollerweise mehrere DNS Namen nutzen solltest, statt (nur) mehreren Ports.
Aber du kannst natürlich auch intern ein Forwarding erstellen auf einer internen IP der sense die freigegeben ist aus allen Netzen und dort dann mit den Ports arbeiten. Hört sich für mich nur extrem ungeschickt und aufwändig an.
Vielleicht kannst du nochmal etwas näher ausführen, was du eigentlich gebaut hast (mehrere Server in DMZ erreichbar machen via DynDNS) -> evtl gibt es eine bessere Möglichkeit die auch mit internem Einsatz besser klappt. Ansonsten bliebe dir immer noch das DNS Thema komplett zu lassen und statt dessen NAT Reflection zu nutzen. Ekliger, aber dann wenigstens konsistent genauso wie von extern zu nutzen.
Gruß Jens
-
Ich wollte den Thread nicht übernehmen ;)
Bei Gelegenheit mache ich einen eigenen auf, wo wir dann (hoffentlich) mein Setup weiter diskutieren können.