Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
« previous
next »
Print
Pages: [
1
]
Author
Topic: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar (Read 1774 times)
bodyagency
Newbie
Posts: 3
Karma: 0
Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
on:
October 22, 2022, 10:51:22 pm »
Hallo zusammen.
Bin in dieser Woche von Turris Omnia auf einen OPNsense Router gewechselt. Der Turris hat mir einfach zu viel durchgelassen und schmiert bei Updates schonmal ab. Zum Basteln ist der cool, aber zum Absichern fehlt mir Zuverlässigkeit.
Einrichtung von OPNsense hat auch gut geklappt, läuft schnell und sorgt für Ruhe auf meinen Serverchen. Aaaaaaaber ich find keine Lösung für mein Problem bisher.
Meine Umgebung:
Zyxel DSL Modem -> OPNsense Router mit PPPoE Einwahl -> zwei LANs über zwei verschiedene ETH Schnittstellen
LAN_1: Heimnetz 10.10.0.0/16 über Fritz!Box mit Telefonie, TV & Smarthome - funzt prima
LAN_2: Businessnetzwerk 10.0.0.0/16 über eine Switch mit mehreren Servern (PC, Webserver, Mailserver, NAS, etc.)
Es geht um LAN_2:
von außerhalb kann ich wunderbar meine Webseiten und Dienste (API, Mailserver, etc.) aufrufen
Von meinem PC innerhalb des LAN 2 funktioniert das nicht
Externe Webseiten sind erreichbar
Wenn ich NAT Reflection aktiviere, funktionieren meine eigenen Webseiten und Dienste wunderbar. Dafür komme ich dann nicht mehr auf die externen Seiten...
Unbound/dnsmasq sind nicht eingerichtet, ich nutze einen externen DNS Resolver
Ich glaube, die Ursache ist mir klar - aber wie muss ich das Ding konfigurieren, damit es richtig funktioniert und sowohl meine selbstgehosteten Seiten/Apps/Dienste als auch externe Internetseiten aufrufbar sind?
Wenn sie mir nicht klar ist, dann klärt mich auf
Das ist übrigens was, was auf dem Turris einwandfrei klappte ohne besondere Konfiguration.
An den Firewall Rules und am NAT habe ich bislang außer der Reflection-Option nicht rumgespielt, sondern OPNsense die Regeln generieren lassen...
Danke für Eure Tipps! Wenn Ihr Infos, Screenshots, Logs braucht, lasst es mich wissen.
Magnus.
Logged
micneu
Hero Member
Posts: 1913
Karma: 59
Re: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
Reply #1 on:
October 23, 2022, 03:49:34 am »
Du kannst Host overrwrites nutzen . Wenn die Sense als dns Server genutzt wird(so mache ich das bei mir)
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Vexz
Jr. Member
Posts: 64
Karma: 2
Re: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
Reply #2 on:
October 23, 2022, 10:00:14 am »
Quote from: bodyagency on October 22, 2022, 10:51:22 pm
Unbound/dnsmasq sind nicht eingerichtet, ich nutze einen externen DNS Resolver
Hier ist das Problem. Warum nutzt du einen externen DNS Server? Unbound und Dnsmasq sind gute Lösungen und speziell für deinen Fall macht es Sinn, diese zu nutzen. Wie mein Vorredner schon sagte, wirst du hier Overrides benötigen, die du aber dann im DNS Server auf deiner OPNsense einrichten musst (für welchen auch immer du dich entscheidest). Allerdings musst du dann natürlich auch deine OPNsense als DNS Server verwenden.
Ansonsten sehe ich da nur die Option von Einträgen in der Hosts-Datei. Allerdings gelten diese Einträge dann natürlich nur für dieses individuelle Gerät.
Logged
Patrick M. Hausen
Hero Member
Posts: 6854
Karma: 575
Re: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
Reply #3 on:
October 23, 2022, 12:54:02 pm »
Ich würde versuchen, hairpin NAT zum Laufen zu kriegen. Weshalb wird eigentlich immer Split-DNS empfohlen? Ich finde das lästig.
Und wenn z.B. ein HAproxy auf der Sense die SSL-Terminierung und Letsencrypt macht, dann muss auch aus dem LAN alles durch diesen durch.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
bodyagency
Newbie
Posts: 3
Karma: 0
Re: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
Reply #4 on:
October 23, 2022, 02:47:59 pm »
Also, Split DNS kommt nicht in Frage. Ich möchte kein "Workaround" - sondern eine dauerhafte Lösung, die ich nicht immer anfassen muss, wenn sich was an meinen Zonen ändert (das passiert fast täglich - und extra dafür 'ne API bauen...neeee). Und dann vergisst ein Kollege das mal oder hat es nicht mitbekommen und plötzlich sucht die ganze Mannschaft den Fehler. Nicht ideal - möchte ja weniger Fehlerquellen haben statt mehr.
Das muss doch über ein vernünftiges und transparentes Regelwerk hinzukriegen sein - andere Firewalls und Router schaffen das schließlich auch.
Es ist ja auch seltsam, dass es in LAN_1 klappt, wenn ich NAT Reflection einschalte. In LAN_2 sind dann aber die externen Seiten nicht mehr aufrufbar.
Ich werde es finden und es Euch wissen lassen.
Wer in der Zwischenzeit Tipps hat, ohne dass ich mein gesamtes Set Up ändern muss:
gerne her damit
Und der externe DNS Server ist unser eigener DNS Primary. Wieso mehr Traffic erzeugen als nötig? Schneller als er kann keiner antworten...
«
Last Edit: October 23, 2022, 02:56:37 pm by bodyagency
»
Logged
bodyagency
Newbie
Posts: 3
Karma: 0
Re: Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar
«
Reply #5 on:
October 23, 2022, 06:29:52 pm »
Erledigt
Firewall -> Einstellungen -> Erweitert: Automatisches ausgehendes NAT für Reflektion AKTIVIERT
NAT: zusätzliche Regel "Quelle
LAN
/ Ziel
WAN
/ PF Ziel
lokale IP
" pro Port eingefügt (siehe Screenshot)
Funzt smooooooth ohne Neustart. Und funzt auch nach einem Neustart noch.
Warum kompliziert, wenn es auch einfach geht.
Danke Euch, hat mich zu 'ner Zeichnung und zum Denken angeregt. Bin mal gespannt ob für Euch was gegen diese Lösung spricht.
«
Last Edit: October 23, 2022, 06:32:59 pm by bodyagency
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Webseiten und Mailserver innerhalb des LAN nicht mit externer Domain erreichbar