NAT von intern, Seite nicht erreichbar

[macalloy]

Hallo!
Ich habe wieder mal ein NAT Problem.
Ich habe einen GIT Dienst, welcher per Internet zugänglich ist.
Auf der OpnSense läuft Nginx mit Reverseproxy zum GIT-Service auf Port 50000.
Von extern funktioniert das auch.

Code Select Expand


   Internet
      |
+------------+
| DSL Modem  |
| 10.0.0.138 |
+------------+
      | DMZ
      |
      | 10.0.0.10
+-------------+
|   OpnSense  |
| 192.168.1.1 |
+-------------+
      |   
      |       
+------------+
|   Switch   |--------------+------------------+
+------------+              |                  |
      |                     |                  |
      |                     |                  |
+----------------+  +-------------------+  +--------+
|    DNS         |  |      Git          |  | Client |
| 192.168.1.3:53 |  | 192.168.1.3:50000 |  +--------+
+----------------+  +-------------------+


Bis vor kurzem hat das auch im Netzwerk funktioniert.
Da ich nicht so oft per LAN auf den Dienst zugreife, habe ich erst jetzt festgestellt, dass es nicht
mehr funktioniert.

Zuletzt habe ich ein Update auf der OpnSense durchgeführt. Hatte auch ein Backup. Leider hab ich
verabsäumt, zu prüfen, ob ich per LAN noch auf den Dienst hinkomme. Backup ist mittlerweile gelöscht.
Ich habe OpnSense nun neu installiert (mit alter Install-CD) und Config eingespielt. Funktioniert
trotzdem nicht mehr.

Im LAN kann ich den öffentlichen Namen auflösen:

Code Select Expand


❯ nslookup git.zuhause.net
Server: 192.168.1.3
Address: 192.168.1.3#53

Non-authoritative answer:
git.zuhause.net canonical name = zuhause.net.
Name: zuhause.net
Address: 193.154.xxx.xxx


Der Browser bekommt aber einen timeout.

Unter Firewall / Advanced habe ich die 3 NAT Settings aktiviert (waren, als es funktionierte, nicht
eingeschalten). Hilft aber nichts.

Ich helfe mir aktuell so, indem ich einen Hotspot zum Mobiltelefon aufbaue. Dann kann ich den GIT
sync durchführen  :(

Ich habe noch die Screenshots zu NAT und WAN-Rules ergänzt.

[micneu]

Mach doch ein Host Overdrive


Gesendet von iPhone mit Tapatalk Pro

[macalloy]

Meinst Du, ich soll die lokale IP in meinem DNS für git.zuhause.net hinterlegen?
Das hab ich schon probiert.

Ich denke, es würde funktionieren. Bekomme dann aber eine Zertifikatswarnung.
Darum "denke". Ich habe das nämlich mal nicht akzeptiert und wieder bleiben lassen.
Immerhin, hat es hat ja schon mal komplett richtig funktioniert...

[micneu]

dann warst du ja schon auf dem richtigen weg

[macalloy]

Versteh die Antwort nicht ganz  ;)
Bedeutet das nun, dass dies der einzige Weg ist, wie man es lösen kann?
Warum hat es dann vorher ohne funktioniert?

Ich hab's nun mal (fast) zu Ende probiert:

Code Select Expand


❯ nslookup git.zuhause.net
Server: 192.168.1.3
Address: 192.168.1.3#53

git.zuhause.net canonical name = zuhause.net.
Name: zuhause.net
Address: 192.168.1.1

Zum einen kommt die Zertifikatswarnung.
Ich bekomme nicht das Zertifikat, welches ngnix ausliefern würde, sondern das interne Zertifikat der OpnSense.
Akzeptiere ich dieses, kommt:

Code Select Expand


A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.


Frage: Wie komm ich zum korrekten Zertifikat und darf ich diesen Check deaktivieren?

[macalloy]

Ich habs geschafft!

Das interne Zertifikat hab ich bekommen, weil das Admin UI der OpnSense auf Port 80/443 lauschte.
Hab ich nun geändert.

Nun funktioniert es.
Wobei ich nicht ganz sicher bin, warum...

Meinem Verständnis nach, hätte ich die NAT Regeln für 80 auf 8080 und 443 auf 8081 nun auch für LAN aktivieren müssen.
Es funktioniert aber auch, wenn sie weiterhin nur für WAN definiert sind...

*) Scheint mir ein Caching Problem im zu sein. NAT Regel muss sehr wohl für LAN und WAN definiert werden.

Die NAT Settings (Reflection for port forwards, Reflection for 1:1, Automatic outbound NAT for Reflection) habe ich auch wieder deaktiviert. Wozu braucht man diese?