Zugriff aus dem Lan auf das DMZ (Webserver) landet auf der Firewall

[lfirewall1243]

@bforpc hier wurdest du nirgends als Dumm oder sonst-was bezeichnet.

Du hattest ein "Problem" und dabei wurden dir verschiedene Wege vorgeschlagen welche alle ihre Berechtigung haben mit Vor und Nachteilen.
Sowie wurden auf Grundsätzliche Probleme deine Herangehensweise gewiesen, was weder als Kritik noch sonst was gemeint war - einfach nur als Hilfe für ein sicheres Setup.
Wenn du dich da sofort persönlich angegriffen fühlst, behalte diese Thematik für dich, aber bezeichne nicht die anderen als unfreundlich oder sonst was.

Die meisten helfen hier immerhin unentgeltlich und aus freien Stücken

[Thomas]

Ich muss auch @lfirewall1243 zustimmen. Ich sah da auch keinen Angriff auf die Person.

Ich fand auch den Kommentar wegen

"auf solche Weise wirst du keine Kunden für deinen "Deutschsprachigen Bezahl-Support" finden. Ich würde dich auf jeden Fall nicht Empfehlen"

nicht gerade schön. @JeGr beantwortet alle Fragen ohne Entgelt und bemüht uns allen eine Idee / Lösung gemeinsam zu finden.

Ich finde es toll, wenn es auch andere bessere Lösungen gibt und freue mich auf jede Idee. Natürlich kann ich später selber entscheiden was ich machen werde oder will. Es zwingt ja keiner das zu tun.

Ich finde aus Thema Sicherheit ist die Lösung von @JeGr die bessere und sichere Variante.

Aber das muss jeder selber entscheiden :)

[bforpc]

Hallo,

seine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.
Wieso muss jemand dermaßen Oberlehrerhaft Sprüche machen "wenn du es nicht verstehen willst ..." das ist unfreundlich.
Vielleicht sitzen nicht überall vor dem Bildschirm die studierten Kernel Entwickler...

Wenn er das unentgeltlich macht - wunderbar - wir alle doch (ich versuche mein Wissen in Foren auch zu teilen)  - aber warum muss das in D immer so schulmeisterisch ausarten? Und wenn ihm das ein zu große Last ist - und so siehts ja aus wenn man das liesst- dann  - wie hat Dieter Nuhr mal gesagt: "Fresse halten".
In einem US Forum wirst du selten die Antwort auf eine Frage bekommen "wieso willst du das machen" - in D ist das zu 50% so. Schwätzen ohne Grund - heute gerade gelesen: Da fragt einer im Linux Forum "... wie man in debian bla bla...." und dnn die Antworten: "Wieso benutzt du denn Debain" oder "das weiss ich auch nicht, aber unter Slackware gibts das Problem nicht..."


Seufz ... OK, ich schweife ab.
Forget it - have a nice day @all


Bfo

[lfirewall1243]

Hallo,

seine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.
Wieso muss jemand dermaßen Oberlehrerhaft Sprüche machen "wenn du es nicht verstehen willst ..." das ist unfreundlich.
Vielleicht sitzen nicht überall vor dem Bildschirm die studierten Kernel Entwickler...

Wenn er das unentgeltlich macht - wunderbar - wir alle doch (ich versuche mein Wissen in Foren auch zu teilen)  - aber warum muss das in D immer so schulmeisterisch ausarten? Und wenn ihm das ein zu große Last ist - und so siehts ja aus wenn man das liesst- dann  - wie hat Dieter Nuhr mal gesagt: "Fresse halten".
In einem US Forum wirst du selten die Antwort auf eine Frage bekommen "wieso willst du das machen" - in D ist das zu 50% so. Schwätzen ohne Grund - heute gerade gelesen: Da fragt einer im Linux Forum "... wie man in debian bla bla...." und dnn die Antworten: "Wieso benutzt du denn Debain" oder "das weiss ich auch nicht, aber unter Slackware gibts das Problem nicht..."


Seufz ... OK, ich schweife ab.
Forget it - have a nice day @all


Bfo

Sind dann aber immer noch bessere Antworten als keine.

Aber so oder so ist das wie hier eine typische Foren Vorgehensweise. Man teilt einfach seine Erfahrungen.

Du scheinst ja noch recht neu im Thema OPNsense bzw. Firewall zu sein, warum also nicht die Vorschläge der anderen Nutzer annehmen? Ob du Sie am Ende umsetzt oder nicht sie ja mal dahin gestellt.
Mit deiner Herangehensweise und deinen Aussagen sind OpenSource Lösungen vielleicht nicht das richtige. Wechsel doch zu kommerziellen Lösungen und kaufe dort den Support ein, die schlagen dir mit Sicherheit nicht so viele verschiedene Lösungen vor.

Aber gut bei deinen nächsten Threads werden wir alle darauf achten keine andere evtl. bessere Lösungen vorzuschlagen  :-X  ;D

[JeGr]

seine Antwort bezog sich nur zu einem winzigen Teil auf meine Ursprüngliche Frage.

Nein, tut sie nicht. Aber du weigerst dich standhaft eine Antwort zu akzeptieren, die dir aus mir unerkennbaren Gründen nicht in den Denkprozess passt.

Leider kann ich selbst aus meinem Lan Netzwerk über diesen Namen nicht auf meinen öffentlichen Web Server zugreifen. Ich lande auf der Firewall und nicht auf dem Web Server im DMZ.
Habe ich meine NAT Regeln falsch gesetzt oder wo könnte das Problem sein?

Das sind die beiden Fragen. Die Antworten aller hier inkl meiner ist/war, dass du es wahrscheinlich falsch verstehst, das aber aus Gründen des Routings schlichtweg NICHT so funktioniert wie du es dir vielleicht vorstellst.

Zweite Fragepost war:

> Ich verstehe nur das Prinzip nicht.

Genau was wir versucht haben dir zu sagen.

> Was genau macht diese NAT Reflection oder was macht das Split DNS?
> Wo kann man dieses generell einschalten und warum ist es standardmäßig deaktiviert?
> Das würde ja bedeuten, dass alle aus der Welt auf den Web server Zugriff bekommen, aber nicht Benutzer hinter der FW. Welchen Sinn hat sowas?

Die Antwort darauf hast du in zigfacher Form bekommen. Weil sich die Regel bzw. das Port Forwarding NUR auf das WAN bezieht und damit die Pakete vom WAN umbiegt und die nach innen auf deinen Webserver schickt. Und mehr nicht. Der Weg vom LAN zum Webserver ist ein komplett anderer, auch wenn du das nicht einsehen möchtest, weil das Paket dann als ERSTES nicht auf dem WAN, sondern auf dem LAN aufschlägt und DORT gefiltert oder bearbeitet wird. Ergo verhält sich diese Verbindung grundlegend anders als eine von außen und muss auch anders abgearbeitet werden.

Das haben außer mir noch einige andere im Thread mehrfach versucht dir zu erklären. Dagegen hast du dich gewehrt mit:

Das möchte ich aber eigentlich nicht, weil ich mir doch sonst eine Brücke in das DMZ Netz schaffen würde.
Da würde ich dann doch lieber die Nat Refelction nutzen.

Zweites ist OK. Kein Problem. Dabei macht das Paket einen Umweg über die Firewall. Ist unnötig, kostet Ressourcen und daher nicht die beste Option das zu lösen. Zudem gingst du mit dem Satz davor von Dingen aus, die so einfach nicht stimmen (es gibt keine "Brücke" dadurch). Nichts anderes habe ich dir damit geantwortet:
https://forum.opnsense.org/index.php?topic=20819.msg97289#msg97289

Leider wolltest du aber grundsätzlich alles falsch verstehen oder hast andere Dinge im Kopf, die so einfach nicht richtig sind. Siehe die Kommentare zu "dann schaffe ich doch eine Bridge/Brücke o.ä.". Oder auch

> Das Problem mit einem entsprechenden DNS Eintrag ist nicht zu umgehen, da die DMZ Rechner in einem anderen IP Adressbereich liegen, auf welchen Rechner im Intranet keinen Zugriff haben.

Auch das ist einfach nicht richtig. Nur weil dein Rechner woanders steht hat das nichts damit zu tun, ob du ihn per DNS auflösen kannst (bzw. der Name aufgelöst wird und zu welcher IP). Denn das regelt deine Sense an der Stelle. OB du dann draufkommst, entscheiden dann lediglich Firewallregeln.

Auf alles was ich dir ausführlich habe versucht zu erklären kamen halb-falsche/halbwissende Aussagen dass das so nicht geht/gewollt ist, aber du Zugriff von A nach B möchtest. Du hast dir da selbst die ganze Zeit widersprochen, daher hatte ich das mal etwas deutlicher formuliert. Bin ich dann direkt? Ja. War das beleidigend? Nicht die Bohne. Wenn das beleidigend für dich war, solltest du bitte nochmals genau lesen. Ich bin an keiner Stelle persönlich geworden, sondern habe lediglich mehrfach darauf hingewiesen, dass deine Aussagen sich beißen und dein "Wunsch" keinen Sinn macht bzw. gar nicht technisch so abläuft/möglich ist.

Auf deine tumben Kommentare mit Beleidigungen muss ich nicht eingehen. Die sind unnötig und haben hier nichts verloren.

Wie du die NAT Reflection einrichten kannst, wurde verlinkt und gesagt. Warum das nicht optimal ist und im (technischen Grundsatz) Prinzip keinerlei anderer Weg ist, als der mehrfach aufgezeigte über simples Routing + DNS Nutzung ebenfalls.
Und auch in einem US Forum wird es dir nicht anders ergehen wenn dir jemand schreibt, dass das war du möchtest einfach keine technische Basis hat und nicht so, sondern eben so funktioniert. Hier gings auch nicht drum zu sagen "ja nee mach mal anders", sondern darum, dass es technisch nur 2 Möglichkeiten gibt wie das überhaupt zu lösen ist und es wurde hier nur lang und breit erklärt, was beide sind, können und warum eine ggf. sinnvoller ist als andere. Keiner kam hier an und hat bspw. gesagt: "JA LOL dann mach das doch gleich mit Proxy dann geht das geiler und ist IMBA 11elf". Könnte man auch machen. Also mit Proxy. Hatte aber mit der Frage nichts zu tun. ;)


Generell: Wenn man sagt, dass man etwas nicht versteht ist es einfach: man kann es erklären, oder zumindest versuchen. Wenn man sich aber hinstellt und ständig ohne technische Grundlage, sondern einfach nur "weil ich das so will" argumentiert, kann niemand helfen. Und wenn man mehrfache Hilfsangebote einfach mit "dann lies hier halt nicht" und "Fresse halten" abtut, muss man sich auch nicht wundern, wenn die Hilfe irgendwann ausbleibt. :)
Zudem kann man es nie allen recht machen, aber wie @lfirewall1243 schon richtig sagt: in den meisten Fällen ist eine Antwort auch wenn vielleicht etwas anders als gewünscht immer noch hilfreicher oder bringt einen auf einen (richtigen) Weg als gar nichts. Viel zu viel Foren oder Diskussionen bleiben da dann leer, denn "lieber nichts schreiben was nicht 100% passt". Dann sähe es hier ziemlich düster aus zumal man relativ oft raten muss, was der Nutzer eigentlich möchte, weil ers ggf. selbst nicht weiß oder eben unwissend auf dem falschen Weg ist. Dann sind Antworten mit dem Versuch von Hilfe doch wesentlich netter, oder? ;)