Externe Domain zeigt intern DNS_PROBE_FINISHED_NXDOMAIN

[pointless]

Guten Abend Zusammen,
anbei meine Netzwerkübersicht.
Ich habe opensense mit AdGuard und HaProxy inklusive ACME installiert.
Zudem habe ich eine öffentlich IPv6 Adresse.

Nun zum Problem:
Meine externe subdomain "server.name.com" funktioniert auserhalb der Opensense.
Sprich über mobile Daten und über meine Fritzbox 6660.
Sobald ich aber mit meinem W-LAN von der Fritzbox 4090 verbunden bin kommt beim Aufruf der Domain
entweder
"ERR_ADDRESS_UNREACHABLE" oder "DNS_PROBE_FINISHED_NXDOMAIN"

Mein Smartphone solll sich über die Nextcloud synchronisieren. Es ist etwas unpraktisch, wenn dies nur Auserhalb funktioniert.

Ausnahme sind in beide Fritzboxen eingestellt.

Hat jemand Rat?

Vielen Dank

[viragomann]

Ich habe opensense mit AdGuard und HaProxy inklusive ACME installiert.
Zudem habe ich eine öffentlich IPv6 Adresse.

So nehme ich an, dass der Zugriff auf Nextcloud von außen über den HAproxy auf OPNsense erfolgt.
Dein Hostname wird auf die externe IP der Kabelbox aufgelöst und die leitet Anfragen dahin weiter.

D.h., dein lokales DNS müsste die IP des HAproxy Frontends zurückgeben.
Von deinem lokalen DNS Server hast du aber nichts erwähnt. Vielleicht betreibst du auch keinen. Aber ohne könnte das nur funktionieren, wenn die Kabelbox so etwas wie NAT Reflection machen würde. Ob die das kann, kann ich nicht sagen.

Am besten ist aber, ein lokales DNS zu nutzen wie Unbound auf OPNsense, und da ein Host Override für die eigenen öffentlichen Hostnamen einzurichten.
Unbound müsste dann so konfiguriert werden, dass er alle übrigen Anfragen an Adguard weiterleitet.

[pointless]

Ja, die Annahme ist richtig.
Unbound auf der Opensense ist aktiv Port 5353
Adguard ist auf port 53 und als upstream in AdGuard steht:

https://dns10.quad9.net/dns-query
10.10.25.1:5353 (Opensense)

Wenn ich am Windowsrechner "nslookup server.name.com" eintrage erscheint als antwort:
Server: OPNsense
Adress: 10.10.25.1

Name: server.name.com
Adress: öffentliche und richtige IP v6

An der sense:
Private Domains sind eingetragen

Host Overrides ist server.name.com und die öffentlich IPv6 eingetragen.

Ist das so richtig?
Dies ergab allerdings keine Änderung....
Oder muss ich statt der öffendlichen IP den HAProxy eintragen, aber welche IP und Port wäre das?

Bin recht neu und froh, dass ich das endlich geschafft habe mehrere Server mit verschiedenen Domains extern zu erreichen.

[viragomann]

Du musst die IP des HAproxy Virtual Servers (Frontend) im Host Override angeben, also wahrscheinlich die WAN IP der OPNsense.
Auf die öffentliche IP löst es auch ohne auf durch das öffentlich DNS.

[pointless]

Hallo nochmal
Ich habe AdGuard jetzt richtig konfiguriert.

Wenn ich im LAN server.name.com aufrufe, dann kommt:

Typ: HTTPS, Einfaches DNS
Verarbeitet
0.16 ms
10.10.25.21
Pixel-8-Pro.localdomain

Das selbe auch bei anderen Clients.


Trotzdem zeigt mir der Browser:
DNS_PROBE_FINISHED_NXDOMAIN

Host Override einstellungen in OPNsense haben nichts genützt.

Der AdGuard funktioniert und leitet an die Sense zurück

Dort habe ich DNS over TLS auf Cloudflare und QUAD 9 verwiesen.

Ausgabe nslookup (Windows) ergibt:
Server:  OPNsense
Address:  10.10.25.1

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4005:80b::2003
          172.217.16.67

Bei meiner domain wird es auch richtig angezeigt.

Was kann ich noch tun?

[viragomann]

Wenn ich im LAN server.name.com aufrufe, dann kommt:

Typ: HTTPS, Einfaches DNS
Verarbeitet
0.16 ms
10.10.25.21
Pixel-8-Pro.localdomain

Das selbe auch bei anderen Clients.


Trotzdem zeigt mir der Browser:
DNS_PROBE_FINISHED_NXDOMAIN

Vielleicht mal den Browser Cache leeren.

Ein nslookup oder ein dig verrät, welcher DNS Server antwortet.

Ausgabe nslookup (Windows) ergibt:
Server:  OPNsense
Address:  10.10.25.1

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4005:80b::2003
          172.217.16.67

Ist das nun das erwartete Ergebnis?
Nachdem die die IPs im Plan unkenntlich gemacht hast, kann ich das nicht verifizieren.

[pointless]

Hier dann noch mal der Plan

Browser Cache leeren hat nichts gebracht....

Es wird die Google IP angezeigt, also ja das hatte ich erwartet.

Es sind alle Server weiterhin nur extern aus fremden netzen erreichbar nicht intern über LAN bzw W-Lan.
Keine Ahnung was ich noch einstellen muss

[viragomann]

Okay, ein DNS Request fragt 10.10.25.1 ab, also Adguard. Und zurückgegeben wird irgendeine öffentliche Google IP. Ich nehme an, du hast die eigene Domain abgefragt.

Code Select Expand

Es wird die Google IP angezeigt, also ja das hatte ich erwartet.
Warum hast du das erwartet?

Ich hätte erwartet, dass die HAproxy-IP zurückgegeben wird. Nur so kannst du die eigene Seite erreichen.

Wenn die Abfrage deine eigene Domain betrifft, sollte das DNS System die lokale IP zurückgeben.
In Unbound ist das mit einem Host Override zu erreichen, aber offenbar wird der gar nicht mit einbezogen.

Ich denke, du müsstest das in Adguard irgendwie einstellen können. Oder die Abfragefolge umdrehen, so dass Unbound erst abgefragt wird, und alles was es nicht selbst auflösen kann, an Adguard geht.
Ich habe allerdings mit Adguard keine Erfahrung und kann dir damit leider nicht weiterhelfen. Ich habe aber schon eine Menge Anleitungen und Diskussionen hier und im Netz dazu gesehen.

[pointless]

Ich hatte das erwartet, weil ich nsllokup google.de eingegebn hatte.... Einfach um zu schauen, ob das grundsätlich läuft..

NUN HABE ICH ALLES UMGESTELLT

Habe opensense neu installiert und nur acme-client und HAProxy installiert.

Meine Domain zeigt auf meine öffentlich v6 der Sense

Extern über das Handy läuft es nach wie vor
intern ist noch das Problem...

Habe festgestellt das ich im LAN /W-LAN keine IPv6 bekomme. Alle möglichen Tutorials durchforstet und leider keinen Erfolg gehabt

  Ich bekomme absolut keine vernünftige ip v6 im LAN

Nun war meine übrlegung einen VPS server mit 6 Tunnel aufzusetzen und die IPv4 meinem Domain Hoster mitzuteilen

Ja meine Domain zeigt nun auf die IPv6 (OPNsense)
und die ipv4 auf den VPS.

Trotzdem keinen zugriff

musste dann feststellen das  mein Domainhoster nicht mit 80 und 443 ankommt sondern mit vielen anderen Ports

Ich denke wenn iich das eingestellt bekomme das es dann läuft...-...

So langsam habe ich keine Idee mehr

[viragomann]

Habe festgestellt das ich im LAN /W-LAN keine IPv6 bekomme. Alle möglichen Tutorials durchforstet und leider keinen Erfolg gehabt

  Ich bekomme absolut keine vernünftige ip v6 im LAN

Keine IPs im Netz oder keine Namensauflösung.

Ja meine Domain zeigt nun auf die IPv6 (OPNsense)
und die ipv4 auf den VPS.

Nachdem du von außen via IPv6 Zugriff über HAproxy auf deinen Server hast, nehme ich an, dass dein HAproxy ein IPv6 Frontend (virtual Server) hat.

Wenn du intern aber nur IPv4 hast, dann würde ich versuchen, dem HAproxy ein zusätzliches IPv4 Frontend hinzuzufügen. Es sollte eigentlich mit einer zusätzlichen IPv4 am selben virtuellen Server funktionieren, aber das ist Theorie. Mit unterschiedlichen Ports im selben Server hatte ich auf OPNsense negative Erfahrung gemacht, was auf pfSense hingegen funktioniert.

Also falls die IPv4 am selben virtuellen Server nicht funktioniert, müsstest du einen eigenen dafür einrichten und denselben Backend Pool nutzen.
Das sollte funktionieren, denke ich.

[pointless]

SOOOOO...

Habe das Gelöst Habe den VPS beim Hoster mit 6Tunnel konfiguriert. Dieser hat eine öffentliche IPv4.
Meine Domain zeigt auf diesen Server und der routet das mit IPv6 auf meinen HAProxy.

Intern Extern alles erreichbar.

Auch AdGuard konnte ich wieder installieren und auch da musste ich jetzt nichts mehr groß konfigurieren.

Ich danke euch für die Hilfe und Tipps.

Warum ich keine ipv6 ins LAN bekomme ist noch ein anderes Thema....
Aber so ist das erstmnal eine gute Lösung denke ich