Zugriff auf Service mit NAT von der "falschen" Seite

[derhelge]

Ich habe folgendes Problem: Ich habe einen Dienst (Webserver) mit der IP Adresse (hier 10.0.0.2). Ein externer Zugriff ist möglich, weil der Dienst per One-to-One NAT veröffentlicht wurde (hier 198.51.100.2).

User greifen per DNS zu: web.example.com zeigt im internen DNS auf 10.0.0.2 und in einem public DNS auf 198.51.100.2.

Das Problem entsteht, wenn User im Home-Office IPv6 aktiviert haben und der IPv6 DNS Server höher priorisiert ist. Wenn die User dann ins VPN wechseln, welches noch kein IPv6 hat, erhalten Sie vom public DNS 198.51.100.2.

Leider kommen die User dann nicht auf den Webdienst zu web.example.com sondern auf die opnsense Firewall.

Irgendwie fehlt mir der Ansatz was ich konfigurieren muss, damit 198.51.100.2 auch von den internen Netzen korrekt auf 10.0.0.2 zeigt.

Langfristig sollte es mit IPv6 im internen Netz natürlich auch funktionieren.

Viele Grüße
Helge

[micneu]

mach doch einen DNS Overrides in der sense?

[meyergru]

Der DNS-Override wirkt ja nicht auf die VPN-Clients...

Am Rande: Wenn Du ein VPN nutzt und auf der Client-Seite der DNS nicht auch umgestellt wird, kannst Du doch die (anderen) internen Adressen sowieso nur per IP ansteuern oder indem dort z.B. per hosts die Auflösung erfolgt? Offenbar behandelst Du den Web-Server aber anders, weil der auch extern  (d.h. ohne VPN) sichtbar sein soll?

Funktioniert NAT Reflection nicht? Dann kämst Du ohne lokalen DNS-Override aus und 198.51.100.2 würde auch ohne DNS-Override funktionieren...

[derhelge]

Ja klar! NAT-Reflection!
Danke! Damit funktioniert es wie gewünscht und war nur ein Klick entfernt.

Vielen Dank!