Zugriff aus dem Lan auf das DMZ (Webserver) landet auf der Firewall

[bforpc]

Hallo,

ich habe ein internes LAN Netz und ein DMZ Netz, in welchem ein Web Server steht. Dieser Webserver ist aus dem Internet erreichbar über seinen Namen (welcher auf meine öffentliche IP zeigt). Soweit so gut.

Leider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.

Habe ich meine NAT Regeln falsch gesetzt oder wo könnte das Problem sein?

Nfo

[banym]

Hallo,

dein Problem lässt sich mit NAT Reflection lösen.

https://docs.opnsense.org/manual/firewall_settings.html

Die Alternative wäre Split-DNS.

VG,

Dominik

[bforpc]

Danke für deine Antwort.
Ich verstehe nur das Prinzip nicht.
Was genau macht diese NAT Reflection oder was macht das Split DNS?
Wo kann man dieses generell einschalten und warum ist es standardmäßig deaktiviert?

Das würde ja bedeuten, dass alle aus der Welt auf den Web server Zugriff bekommen, aber nicht Benutzer hinter der FW. Welchen Sinn hat sowas?

Bfo

[banym]

Hallo,

nein du hast nichts falsch gesetzt.

Was du aber machen willst ist aus deinem internen LAN auf deine eigene externe Adresse zuzugreifen.
Da du aber normalerweise dein internes IPv4 LAN per NAT hinter einer deiner externen IPs per NAT "versteckst" kommt es zu dem "Problem".

Im Detail gibt es dazu viel Dokumentation im Netz und auch einige RFCs wenn ich nicht Irre.

Split DNS bedeutet, dass du intern die interne IP in deinem lokalen DNS angibts und nicht die eigene Externe IP. Somit entsteht das Problem nicht und du greifst von deinem LAN auf die DMZ Adresse deines Servers zu, ganz ohne NAT.

NAT Reflection ist per default nicht an, weil es je nach Konfiguration auch Probleme bedeuten kann die man evtl. nicht möchte. Für eine Fritbox in der es keine DMZ mit eigenem Netz oder mehrere getrennte Interface gibt, mag das o.k sein sowas per default zu aktivieren. Bei vielen Firewalls ist sowas nicht per default an.

VG,

[lewald]

Wie schon erwähnt ist das verhalten ja normal.

Dein Webserver ist ja hinter der Firewall. Split DNS ist die Lösung.
Dafür braucht es aber einen lokalen DNS der eingerichtet wird.

Oder wenn es nur einzelne Rechner im Lan sind dann geht bei Windows auch die Host Datei anzupassen.
Da kannst Du den Zugriff via Namensauflösung auf den Webserver mit der lokalen ip hinterlegen

[bforpc]

Was du aber machen willst ist aus deinem internen LAN auf deine eigene externe Adresse zuzugreifen.
Da du aber normalerweise dein internes IPv4 LAN per NAT hinter einer deiner externen IPs per NAT "versteckst" kommt es zu dem "Problem".

Aha...zugegebenermaßen ist das wohl an allen Hardware FW's auch so, wenigstens die, die ich gesehen habe.

Split DNS bedeutet, dass du intern die interne IP in deinem lokalen DNS angibts und nicht die eigene Externe IP. Somit entsteht das Problem nicht und du greifst von deinem LAN auf die DMZ Adresse deines Servers zu, ganz ohne NAT.

Das möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.

NAT Reflection ist per default nicht an, weil es je nach Konfiguration auch Probleme bedeuten kann die man evtl. nicht möchte.

Da würde ich dann doch lieber die Nat Refelction nutzen.
Dein Link oben habe ich mir angesehen, allerdings nicht heraus gefunden, wie ich das nun tatsächlich für meinen Fall aktivieren kann. Der Link beschreibt ja nur, was da passiert, aber nicht wo das einzustellen ist!?

Bfo

[JeGr]

> Das möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.

Ist aber eigentlich die sauberste Variante und empfohlen. Denn zugreifen tust du egal wie über die Domain. Nur wird die eben von extern mit der IP deiner WAN Schnittstelle beantwortet (und damit dann per NAT reingeroutet) und im anderen Fall von vom LAN auf die DMZ direkt zugegriffen wird OHNE dass die Firewall den Zugriff erst noch (sinnfrei) als Proxy zwischendrin bearbeitet oder das Paket umschreibt. (je nach Modus)

Das hat überhaupt nichts mit "Brücke" schaffen zu tun. Der Zugriff von LAN nach DMZ muss per Regel so oder so erlaubt sein, sonst würde auch NAT Reflection keine Änderung bringen. Nur weil der Zugriff per IP/Port erlaubt ist, hat das doch nichts mit "Brücke/Bridging" zu tun!

> Leider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.

Du WILLST doch aus dem LAN auf deinen Webserver zugreifen. Also ist das keine Brücke, kein Bridging oder sonstwas, sondern ein gewollter Zugriff. Ob der jetzt aber direkt via Split DNS (was sehr einfach zu realisieren ist mit einem Host Override im DNS) realisiert wird oder ob du umständlich eine NAT Reflection in Kauf nimmst, bei der Pakete unnötig erst an die Firewall geschickt werden, nur damit diese das Paket umschreibt und dann doch in die DMZ schickt, ist prinzipiell egal.

Jetzt ist es vielleicht klarer was beide Optionen machen. NAT Reflection macht (unnötige) zusätzliche Verbindung zur Firewall und lässt sich dort die Pakete umschreiben, SplitDNS umgeht das und verbindet dich direkt einfach mit deinem Server, wie es sich gehört und ohne zusätzliche Umwege

[bforpc]

[quote ]
Jetzt ist es vielleicht klarer was beide Optionen machen. NAT Reflection macht (unnötige) zusätzliche Verbindung zur Firewall und lässt sich dort die Pakete umschreiben, SplitDNS umgeht das und verbindet dich direkt einfach mit deinem Server, wie es sich gehört und ohne zusätzliche Umwege
[/quote]

Hallo,

zunächst herzlichen Dank für deine Erklärung.
Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.


Bfo

[JeGr]

> Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.

Dann verstehst du es nicht der kannst dich nicht wirklich gut erklären warum das nicht gehen soll.

1) Du WILLST auf diesen Rechner zugreifen, weil dort Dienste laufen auf die du Zugriff WILLST.
2) Dann gibst du diesen Rechner auch frei, ansonsten macht das keinen Sinn!
3) Und dann klappt das auch problemlos mit einem DNS Eintrag

Sorry aber das ist einfach komplett unverständlich und macht 0,0 keinen Sinn für mich. Niemand sagt, dass du komplett für alle Rechner/das ganze Netz/whatever den Zugriff auf den Webserver aufmachst. Aber ein simples

* erlaube IPv4/v6 Typ TCP von Quelle XY_PC auf DMZ_Webserver Port 80/443/whatever

ist genau nichts anderes, als das was du versuchst zu erreichen. Du kannst dich aber eben nicht gleichzeitig hinstellen und sagen "ne nee, aus dem LAN darf nix nach DMZ, das darf nur von außen!" - und dann soll dein PC im LAN eben doch dahinkommen. Dann denke nochmal drüber nach wer wann warum wie auf den Server zugreifen können muss/soll. Denn das was du gerade schreibst macht leider keinen Sinn.

[bforpc]

Moin,

sorry... *du* hast es nicht verstanden. Wenn du den Post in Ruhe liest, wirst du erkennen,  dass meine Anforderung ganz simpel ist: vom LAN auf Rechner im DMZ zugreifen - und zwar über die WAN Adresse. PUNKT. ENDE. MEHR NICHT!

Warum und wieso spielt doch jetzt keine Rolle. Das ist die Anforderung.
Das viele (auch andere) Wege nach Rom führen ist bekannt, ich suche aber nach einer Lösung dieses Problems.
Durch die NAT Reflection, wie banym schrieb, ist es ja möglich.

Bfo

p.s. auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen.

[lfirewall1243]

Moin,

sorry... *du* hast es nicht verstanden. Wenn du den Post in Ruhe liest, wirst du erkennen,  dass meine Anforderung ganz simpel ist: vom LAN auf Rechner im DMZ zugreifen - und zwar über die WAN Adresse. PUNKT. ENDE. MEHR NICHT!

Warum und wieso spielt doch jetzt keine Rolle. Das ist die Anforderung.
Das viele (auch andere) Wege nach Rom führen ist bekannt, ich suche aber nach einer Lösung dieses Problems.
Durch die NAT Reflection, wie banym schrieb, ist es ja möglich.

Bfo

p.s. auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen.

@JeGr hat dir lediglich den mMn sinnvollsten weg gezeigt um dein Problem zu lösen.

Sicherheitstechnisch macht es am Ende keinen Unterschied ob du nun von außen per Port 443 reinkommst oder intern bleibst.
Ganz im Gegenteil soltle man den Traffic intern lassen, da diese theoretisch im Netz mitgeschnitten werden kann (je nach dem wie weit du alles mögliche durchs Internet schießt).

Hast du Schadsoftware oder sonst was auf deinem PC erreicht diese genau so den Webserver per Port 443 wie intern auch.
Vielleicht gibt es ja wirklich einen Sinnvollen Grund nur über die WAN Adresse darauf zuzugreifen, dann erkläre diesen aber auch bitte!

[JeGr]

> Sicherheitstechnisch macht es am Ende keinen Unterschied ob du nun von außen per Port 443 reinkommst oder intern bleibst.

Zumal es kein "VON AUSSEN" gibt. Das Paket kommt so oder so von LAN und kommt ans DMZ Interface, ob es nun dumme Umwege durch die Firewall kreiselt oder nicht. Es wird NIE von außen kommen.
Ein Ergebnis zu bekommen, wenn man die Funktionsweise des Paketfilters nicht versteht/verstehen will und dann darauf beharrt, dass man Dinge möchte, die so nicht möglich sind, grenzt das eben leider an Wahn. Es gibt die Variante "NAT Reflection" bzw. Port Forwarding auf dem LAN konfigurieren oder SplitDNS via dem DNS Namen. Done.

Kannst du PUNKTE schreiben wie du möchtest, ändert aber nichts am Ergebnis

[bforpc]

... wenn man die Funktionsweise des Paketfilters nicht versteht/verstehen will

vor allem:  "...nicht will..." (deswegen gibt "man" sich ja die Mühe des Fragens)

Kannst du PUNKTE schreiben wie du möchtest, ändert aber nichts am Ergebnis

Du kannst noch so wissend sein, dein Umgangston ändert nichts an deiner Unfreundlichkeit. Wenn dich die ach so "dummen" User so schlimm nerven, dann bitte - im Namen aller  - behalte deine Kommentare für dich - ist auch besser fürs Herz!

Bfo

[CoolTux]

Wenn dich die ach so "dummen" User so schlimm nerven, dann bitte - im Namen aller  - behalte deine Kommentare für dich - ist auch besser fürs Herz!

Bfo

Ähm bitte nicht in Namen Aller. Denn ich würde mich da gerne komplett raus halten. DANKE

[chemlud]

Eieiei, Corona-Koller... Kinder, bleibt friedlich...