Zugriff aus LAN auf IP-Adresse des WAN-Interfaces

[guest25630]

Hallo zusammen,

wie ich schon mal irgendwo geschrieben habe, bin ich von Sophos UTM 9.x auf OPNsense 20.7 umgestiegen.

Die meisten Dinge funktionieren soweit, aber bei ein paar Kleinigkeiten hakelt es noch und ich brauche dabei eure Hilfe.

Ein solcher Fall ist z.B. dieser hier:

Ich möchte aus dem LAN auf die mir per DHCP vom Provider zugewiesen (feste) IP-Adresse auf dem WAN-Interface zugreifen.

Aus dem Internet selbst ist das natürich kein Problem. Aber aus dem LAN funktioniert es einfach nicht. Bei der Sophos ging das aber, out of the box.

Die default rule im LAN (Default allow LAN to any rule ) sollte das ja eigentlich gestatten ...  kann mir vielleicht jemand helfen?

Grüße + Danke

moose

[micneu]

Leider verstehe ich dein Ziel nicht was du damit bezweckst. Wozu wir das benötigt bitte auch ein Beispiel
vielleicht wird dein vorhaben auf der sense anders umgesetzt.

Bitte einen grafischen netzwerkplan

Gesendet von iPhone mit Tapatalk Pro

[JeGr]

> Aus dem Internet selbst ist das natürich kein Problem. Aber aus dem LAN funktioniert es einfach nicht. Bei der Sophos ging das aber, out of the box.

Weil Sophos wie manch andere %Hersteller wohl wieder OOB BlackMagic NAT Reflection angemacht haben. Die Sense macht das nicht per default (weil meh) und wenn man kann sollte man es vermeiden.

Ich mutmaße mal, dass es darum geht, dass irgendein Port per NAT durchgereicht wurde und man den jetzt genauso auch intern nutzen will über die externe IP bzw. Domain die auf die IP zeigt.

-> wie gesagt geht entweder über NAT Reflection bei der NAT Regel (einschalten) oder man macht es sinnvoll mit SplitDNS und ruft intern einfach direkt die IP bzw. den DNS mit interner IP auf, den man erreichen will.

SplitDNS ist der bevorzugte Weg. Einfachste Variante: DNS Host Override einrichten.

Cheers

[guest25630]

Danke an @micneu und @JeGr für eure Antworten! Insbesondere die Stichworte NAT Reflection und  Split-DNS, die @JeGr ins Spiel gebracht hat, haben mir weitergeholfen und mich letztendlich zur Lösung geführt.

Da mir in diesem Forum fast immer schnell und unkompliziert geholfen wird, möchte ich euch meine Lösung nachfolgend kurz vorstellen und die ein oder andere Bemerkung dazu machen.

Doch zunächst zur Frage von @micneu: Ich habe roaming users, die mit ihren mobile devices sowohl vom Internet als auch vom Extranet aus auf bestimmte Hosts, die bei mir im LAN stehen, zugreifen wollen. Wichtig ist dabei u.a., dass dieser Zugriff nur über HTPPS erfolgt und sich die URL beim Zugriff "von innen" nicht ändert, damit das Zertifikat weiterhin passt.

Das hatte ich früher bei der Sophos so eingerichtet: in der DMZ hatte ich einen reverse proxy, der Anfragen aus dem Internet von der Sophos per DNAT erhalten und an die Server im inneren Netz weitergeleitet hat. Der Proxy hat dabei auch die Zertifikate für die hosts, auf die er weitergeleitet hat, vorgehalten. Die Namen der hosts, auf die der Proxy internetseitig hört, waren dabei Aliases auf den A-Record des Namens der WAN-Adresse der Sophos, auf die ich vom Internet und von den internen Netzen aus zugreifen konnte.

Doch dieser Mechanismus funktioniert so mit der OPNSense halt nicht (mehr). Warum das so ist, das ist im Buch "Der OPNsense Praktiker" in Kapitel 8 im Abschnitt "NAT Reflection" recht gut beschrieben.

Nun zur Lösung: Für den Zugriff aus dem Internet auf den reverse proxy genügt ein einfaches port forwarding. Für den Zugriff aus den inneren Netzen auf den proxy habe ich mich nach Vergleich von NAT reflecting mit Split-DNS wie von @JeGr bereits vorgeschlagen für Split-DNS entschieden. Das scheint mir einfach die 'sauberere' und unkompliziertere Lösung (kiss) zu sein.

Das kann man unter Services:Unbound:Obverrides über das WebUI recht komfortabel einstellen. Nicht vergessen: Unbound danach neu starten bzw. reloaden. Details siehe Screenshot.

Grüße,

moose