Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP
« previous
next »
Print
Pages: [
1
]
Author
Topic: Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP (Read 1713 times)
ThePocky
Newbie
Posts: 7
Karma: 0
Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP
«
on:
September 05, 2020, 06:28:58 am »
Hallo,
seit einigen Stunden suche ich mich durch alle möglichen Foren um mein Problem zu lösen:
Ich habe ein Subnet mit 5 Nutzbaren IP-Adressen zur verfügung.
BEISPIEL:
155.100.0.58 - 192.168.0.1 - OPNSense WAN IP)
155.100.0.59 - FREI
155.100.0.60 - FREI
155.100.0.61 - 192.168.0.15 - Webserver VM
155.100.0.62 - FREI
Um nun meine Domain (meineDomain.de) zu erreichen habe ich ein 1:1 NAT angelegt. Nach langen versuchen funktioniert dies nun wunderbar. Jeder Benutzer von außerhalb kann auf die jeweilige Domain zugreifen, und landet auf meinem Webserver.
Da auf dem Webserver auch Blogs etc liegen sollen, welche auch von Intern Verwaltet werden, sollten die Domains ebenfalls Intern erreichbar sein. Nun bekomme ich allerdings keine Verbindung zum Internen Server. Ich habe bereits den Port der Firewall verlegt, so dass dieser weder mit Port 80 noch mit Port 443 in Konflikt kommt. Vorher habe ich natürlich eine Warnung erhalten, dass ich von einer Domain mit Externer-IP von Intern auf die Firewall zugreifen möchte. Dies habe ich auch versucht abzuschalten, aber es wird weiterhin versucht auf die Interne Firewall IP zuzugreifen, auch wenn keine Antwort mehr kommt.
Eine meiner Lösungsansätze, welche ich durch Lesen in Foren erhalten habe sind:
Firewall -> Einstellungen -> Erweitert
AKTIV - Reflektion für Portweiterleitungen
AKTIV - Reflektion für 1:1
AKTIV - Automatisches ausgehendes NAT für Reflektion
Leider ohne erfolg. Eine weitere Möglichkeit wäre evtl. gewesen:
Firewall -> NAT -> Eins-zu-Eins -> 1:1 REGEL
NAT reflection: Aktivieren
Auch dies hat nicht zum gewünschten erfolg geführt.
Gibt es eventuell eine einigermaßen saubere Lösung dafür?
Würde mich über eure Denkanstöße freuen.
Gruß
Björn
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP
«
Reply #1 on:
September 09, 2020, 12:05:45 pm »
> Gibt es eventuell eine einigermaßen saubere Lösung dafür?
Ja. Die sauberste Lösung ist das ganze NAT Reflection Zeugs wieder AUS zu machen. Wirfs raus, es ist häßlich und für das was du möchtest eigentlich unnötig.
Der Zugriff auf
155.100.0.61 - 192.168.0.15 - Webserver VM
den Webserver würde also wohl durch "name.domain.tld" -> aufgelöst zu 155.100.0.61 laufen. Das macht Probleme von innen, klar. Weil wegen 1:1 NAT. Normalerweise kann man da Reflection drauflegen und konfigurieren etc. etc. - ist aber wie gesagt häßlich.
Das Einfachste ist Split-DNS zu machen. Ich vermute deine Sense macht auch DNS nach Innen -> also gehst du einfach her und überschreibst im DNS der Sense den Aufruf des Blogs etc. mit der internen IP, so dass auf den internen Clients dann eben "name.domain.tld" nicht mit der 155er IP, sondern mit der 192er IP beantwortet werden. Damit geht der Traffic ohne Umweg direkt zum Webserver, du kannst deine BLogs und internen Seiten erreichen und alles ist fein, ohne die Pakete durch NAT Reflection zu verbiegen
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP