Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP

[ThePocky]

Hallo,

seit einigen Stunden suche ich mich durch alle möglichen Foren um mein Problem zu lösen:

Ich habe ein Subnet mit 5 Nutzbaren IP-Adressen zur verfügung.

BEISPIEL:

155.100.0.58 - 192.168.0.1 - OPNSense WAN IP)
155.100.0.59 - FREI
155.100.0.60 - FREI
155.100.0.61 - 192.168.0.15 - Webserver VM
155.100.0.62 - FREI

Um nun meine Domain (meineDomain.de) zu erreichen habe ich ein 1:1 NAT angelegt. Nach langen versuchen funktioniert dies nun wunderbar. Jeder Benutzer von außerhalb kann auf die jeweilige Domain zugreifen, und landet auf meinem Webserver.

Da auf dem Webserver auch Blogs etc liegen sollen, welche auch von Intern Verwaltet werden, sollten die Domains ebenfalls Intern erreichbar sein. Nun bekomme ich allerdings keine Verbindung zum Internen Server. Ich habe bereits den Port der Firewall verlegt, so dass dieser weder mit Port 80 noch mit Port 443 in Konflikt kommt. Vorher habe ich natürlich eine Warnung erhalten, dass ich von einer Domain mit Externer-IP von Intern auf die Firewall zugreifen möchte. Dies habe ich auch versucht abzuschalten, aber es wird weiterhin versucht auf die Interne Firewall IP zuzugreifen, auch wenn keine Antwort mehr kommt.

Eine meiner Lösungsansätze, welche ich durch Lesen in Foren erhalten habe sind:

Firewall -> Einstellungen -> Erweitert

AKTIV - Reflektion für Portweiterleitungen   
AKTIV - Reflektion für 1:1   
AKTIV - Automatisches ausgehendes NAT für Reflektion

Leider ohne erfolg. Eine weitere Möglichkeit wäre evtl. gewesen:

Firewall -> NAT -> Eins-zu-Eins -> 1:1 REGEL

NAT reflection: Aktivieren

Auch dies hat nicht zum gewünschten erfolg geführt.

Gibt es eventuell eine einigermaßen saubere Lösung dafür?

Würde mich über eure Denkanstöße freuen.

Gruß
Björn

[JeGr]

> Gibt es eventuell eine einigermaßen saubere Lösung dafür?

Ja. Die sauberste Lösung ist das ganze NAT Reflection Zeugs wieder AUS zu machen. Wirfs raus, es ist häßlich und für das was du möchtest eigentlich unnötig.

Der Zugriff auf

155.100.0.61 - 192.168.0.15 - Webserver VM

den Webserver würde also wohl durch "name.domain.tld" -> aufgelöst zu 155.100.0.61 laufen. Das macht Probleme von innen, klar. Weil wegen 1:1 NAT. Normalerweise kann man da Reflection drauflegen und konfigurieren etc. etc. - ist aber wie gesagt häßlich.

Das Einfachste ist Split-DNS zu machen. Ich vermute deine Sense macht auch DNS nach Innen -> also gehst du einfach her und überschreibst im DNS der Sense den Aufruf des Blogs etc. mit der internen IP, so dass auf den internen Clients dann eben "name.domain.tld" nicht mit der 155er IP, sondern mit der 192er IP beantwortet werden. Damit geht der Traffic ohne Umweg direkt zum Webserver, du kannst deine BLogs und internen Seiten erreichen und alles ist fein, ohne die Pakete durch NAT Reflection zu verbiegen :)