Nextcloud nicht erreichbar, wenn im Heim-WLAN - von außen keine Probleme

Started by watzr, March 28, 2023, 05:46:21 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 28, 2023, 05:46:21 PM
Hallo,

im Grunde ist mit dem Titel schon das Problem beschrieben. Ich habe hier eine Nextcloud eingerichtet; diese ist über eine duckdns.org-Domain erreichbar. Das ist von außen auch kein Problem, nur aus dem eigenen Netzwerk ist sie nicht erreichbar.

Der grobe Aufbau meines Netzwerkes ist der folgende:

WAN - OPNSense - 3 Subnetze:
- 192.168.6.0/24 "service" keine VLAN ID
- 192.168.77.0/24 "DMZ" VLAN ID 20
- 192.168.14.0/24 "Clients" VLAN ID 30

Bis vor kurzem hatte ich die Clients mit im "service"-Netz, von hier aus konnten alle Geräte super die Nextcloud erreichen.
Jetzt habe ich als zusätzliche Isolationsschicht das "Clients"-Netz eingerichtet. Ich weiß nicht, wie ich am besten die Regeln dafür hier darstelle, daher unten Screenshots beider Netze.
Das "service"-Netz hat die Regel, dass es auf alle anderen Netze zugreifen darf, das dürfen "DMZ" und "Clients" nicht, müssten sie theoretisch ja aber auch nicht, da die Nextcloud ja über den Umweg->Internet zu erreichen sein sollte. Es ist wohl so, dass OPNSense erkennt, dass der Traffic wieder in das eigene Netzwerk führen würde und versucht direkt in das "service"-Netz zu routen, dort dann aber an den Firewall-Regeln scheitert. Der Weg macht also an sich schon Sinn, da viel schneller und ohne Umweg übers Internet, scheitert halt aber.

Wie kann ich meine Regeln anpassen, um den Zugriff auf die Nextcloud aus dem "Clients"-Netz wieder zu ermöglichen?

Besten Dank!
March 28, 2023, 09:09:32 PM #1
wenn du die forum suche genutzt hättest währst du auf "host overrites" gestoßen. damit kannst du dein problem lösen
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 30, 2023, 02:32:49 PM #2
Danke, ich bin damit halt nicht auf etwas wirklich hilfreiches gestoßen..

Warum funktioniert das Ganze aus dem 192.168.6.0/24 Netz und aus dem 192.168.14.0/24 Netz nicht? Die unterscheiden sich doch nur durch die FW-Regeln?! Daher hätte ich auch in den Regeln die Lösung des Problems erwartet..nur zum Verständnis?

MfG
March 31, 2023, 09:16:16 PM #3
ich habe das Problem nun mit einer Regel aus dem 14er Netz gelöst, welche auf Port 443 die Verbindung direkt zu den Hostadressen zulässt, damit geht alles und ich habe, meinem Verständnis nach, nur ein minimales Einfallstor von meinem 14er Netz in das 6er Netz mit Port 443 auf 2 Hosts.

Falls das mal jemand ließt und sich fragt, wie es am Ende lief..
April 04, 2023, 02:29:41 PM #4
Kannst Du einen Screenshot der Regel hier lassen?
SVDSL Telekom 145/40 = Vigor 165 = OPNsense@APU6B4 = UniFi US-24 / 2x US-8-60W /  2x UAP-AC-Lite
Print
Go Up Pages1
User actions