Messages

> Welchem Router? Der Sense oder nochwas vornedran?

Nur der Vollständigkeit halber, ich habe nur die Sense mit einem ADSL Modem. Es gibt keinen zweiten Router.
Im Dashboard und unter Services / Dynamic DNS war die PIP grün. Im Logfile sah ich das die Sense sich erfolgreich beim DynDNS registriert hatte. Da ich gerade nicht davor sitze kann ich Dir nicht zu 100% sagen welches Logfile es war, kann aber heute Abend noch einmal nachsehen. Deswegen kam mir auch nicht der Gedanke das da etwas nicht stimmen könnte.

Ich finde auch das DynDNS nicht die sauberste Lösung ist. Privat kann man es nutzen da ein Ausfall meist verkraftbar ist. Beruflich setze ich auf eine VPN Lösung. Ich habe beruflich draußen vor Ort immer zwei Internetanschlüsse (primär meist Festnetz und als Backup Mobilfunk) weil die Anlagen redundant angebunden sein müssen. Die Anlagen müssen aber immer über ein und die selbe public IP erreichbar sein. Deswegen baut der Router vor Ort als OVPN Client einen Tunnel zum OVPN Server auf. Auf dem OVPN Server ist die public IP konfiguriert über die wir uns zu den Anlagen verbinden können. Das läuft bisher sehr stabil.
Ich habe gesehen das man so etwas (public IP über VPN) für kleines Geld kaufen kann. Vielleicht wäre das privat eine bessere Lösung als DynDNS. Erfahrung habe ich allerdings mit solchen Anbietern nicht.

Manchmal sieht man vor lauter Bäumen den Wald nicht mehr und es ist gut wenn man eine zweite Person zur Unterstützung hat um wieder einen klaren Blick zu bekommen. Einen ganz großen Dank dafür JeGr! Ich hatte mich zu sehr auf das Port Forwarding als Ursache versteift ...

Ich habe die Ursache für das Problem gefunden, auch wenn es jeglicher Logik widerspricht und mit Sicherheit auf meiner Liste der unerklärbaren IT Phänomene laden wird...

Im Webinterface meines DynDNS Providers stand eine andere public IP drin als ich tatsächlich hatte. Das erklärt warum der Verbindungsaufbau nicht zustande kam. Es erklärt aber nicht
- warum konnte ich erfolgreich meinen DynDNS Namen anpingen?
- warum konnte ich erfolgreich einen Portscan über meinen DynDNS Name machen?
- warum sah ich im Dump die Pakete bis zum Server durchlaufen?
- warum stand im Logfile des Routers das er sich erfolgreich beim DynDNS Provider angemeldet hatte?

Ich glaube diese Fragen werden wohl nie wirklich beantwortet werden ...

Erst als ich im Webinterface meines DynDNS Providers auf IP aktualisieren gedrückt hatte funktionierte es problemlos.

Hallo JeGr,

na mit sudo nmap -Pn -sU -p 64738 meindnsname.dd-dns.de

Geht aber auch im Webinterface des Providers  ;-)

Mir kam gerade auf der Heimfahrt die Idee mal einen anderen DynDNS Dienst auszuprobieren. Nur um zu sehen ob der Fehler bleibt oder weg ist.
Wenn der Fehler weg ist würde das für mich gar keinen Sinn machen aber irgendwie muss ich ja mal den Fehler eingrenzen.

Ich habe nur eine public IP und MultiWAN ist auch nicht konfiguriert.

Ich berichte nachher über das Ergebnis.

Hallo JeGr,

danke für deine schnelle Antwort! Ich bin der selben Meinung wie Du. Mich hätte das auch gewundert...

Nur noch einmal damit wir nicht aneinander vorbei reden. Der Client kann sich über die public IP verbinden. Da sich diese aber regelmäßig ändert habe ich einen DynDNS eingerichtet. Der funktioniert auch, das habe ich mehrmals per nmap getestet. Will der Client sich aber über den DynDNS verbinden laufen die Pakete sauber über das Port Forwarding bis zum Server durch, der schickt sein Antwortpaket an den Client zurück wo diese aber nie ankommt.

Das verstehe ich überhaupt nicht ...     ???

Gruß

Hallo zusammen,

ich habe ein Verständnisproblem bezüglich dynamic DNS in Zusammenspiel mit DNAT.

Kurz zum Aufbau. Ich habe einen Router mit OPNsense 18.7.2. Die Interneteinwahl erfolgt über PPPoE. Es gibt einen dynamic DNS für die WAN und eine DMZ mit einem murmur Server. Es ist ein DNAT für den murmur Server eingerichtet.

Nun zu meinem Problem. Ein Client versucht sich über das Internet zum murmur Server zu verbinden. Wenn der Client versucht sich über den dynamic DNS Namen zu verbinden und ich einen tcpdump auf dem OPNsense mache sehe ich wie das Datenpaket über die WAN zur DMZ und zum murmur Server durch gereicht wird. Der murmur Server sendet sein Antwortpaket über die DMZ zur WAN Schnittstelle zurück und dann wird das Paket verworfen. Das Paket wird nicht ins Internet geroutet. Der Verbindungsaufbau des Clients läuft in den time out.
Versucht der Client hingegen eine Verbindung nicht über den dynamic DNS Name sondern über die gerade aktuelle Public IP funktioniert der Verbindungsaufbau problemlos.
Deswegen vermute ich eine Fehlkonfiguration beim DNAT. Irgendwie fehlt hier eine Verknüpfung zum dynamic DNS Name.
Ich habe im DNAT unter destination WAN address eingetragen. Auch ein versuch mit This Firewall und ein Versuch über Alias eine Verbindung zu schaffen schlug fehl. Ich arbeite beruflich mit OpenWRT. OpenWRT verknüpft automatisch die WAN Zone mit dynamic DNS. Ist das bei OPNsense anders? Wenn ja wo muss ich die Verknüpfung konfigurieren?

Vielen Dank für Eure Hilfe!