Interne Dienste nicht über Domain erreichbar / NAT Reflection

[thefrydai]

Hallo zusammen,

da ich nun seit einigen Tagen am verzweifeln bin versuche ich mal hier mein Glück!

Ausgangssituation:
Hetzner Dedicated Server mit einer IP, Proxmox als Hypervisor, OPNsense als VM virtualisiert. Jeglicher Traffic außer 22 und 8006 werden per IPTables direkt an die OPNsense VM weitergeschoben (nach Tutorial von TheMorpheus auf YT, falls jemand weitere Informationen benötigt).
Schnittstelle bei Proxmox ist vmbr1 mit der 10.10.10.0, OPNsense WAN 10.10.10.1.
In der OPNsense habe ich ein Subnet "DMZ" erstellt, wo alle VMs drin sind, darunter bspw. Nextcloud, Uptime Kuma, Bitwarden, ... sowie ein nginx Proxy Manager als Reverse Proxy.
Ich habe nun jeglichen Traffic auf 80/443 auf den Proxy Manager genattet. Von extern (z.B. mein Rechner Zuhause) sind die Dienste ganz normal per Domain abc.xyz.de erreichbar.
Soweit so gut und soweit hatte ich das alles auch schon problemlos hier Zuhause am laufen.

Nun zum eigentlichen Problem:
Einige VMs in der DMZ sollen über die externen Domains abc.xyz.de, def.xyz.de, ... die eigenen Dienste erreichen. Beispiel: Uptime Kuma soll prüfen, ob nextcloud.xyz.de online ist. Beide VMs sind im selben DMZ-Netz und können sich gegenseitig erreichen.
Wenn ich allerdings von einer VM aus dem DMZ-Netz versuche, die Domains aufzurufen funktioniert das nicht.

Ich habe hierbei gelesen, dass man die NAT-Reflection aktivieren soll oder alternativ Split-DNS per Unbound. Beides funktioniert bei mir jedoch nicht, ich kann die Domains aus
dem DMZ-Netz über Biegen und Brechen nicht über externe Domains erreichen.
Ich habe natürlich jegliche Tutorials hier im Forum oder anderswo getestet, kein Erfolg.
Ich hoffe ihr könnt mir auf die Sprünge helfen, ich bin mit meinem Latein am Ende.

Beste Grüße

[Monviech (Cedrik)]

Vielleicht kann ich dir ja helfen weil ich eins dieser NAT Reflection Tutorials geschrieben habe.
Da wird das Verhalten was du mit VMs im gleichen Netz hast genau erläutert. Du benötigst dafür Hairpin NAT.

Hier die aktuelle Version: https://forum.opnsense.org/index.php?topic=34925.0

[thefrydai]

Hey,

erstmal vielen Dank für deine grandiosen Tutorials! Ich habe tatsächlich Methode 1 bereits vor einigen Tagen versucht und eben nochmal getestet. Die Dienste sind nun intern erreichbar (Fortschritt^^), extern aber nicht mehr.
Habe daraufhin die Logs geprüft und gesehen, dass Traffic von meiner IP auf die 10.10.10.1:443 geblockt wird (warum die 10.10.10.1 und nicht die IP meines Reverse Proxys?!). Kurz Allow-Regel dafür angelegt, Traffic wird jetzt durchgelassen, die Dienste sind aber weiterhin von extern nicht erreichbar.

EDIT.:
Heute ist Weihnachten, es funktioniert!
Der Trick war, die NAT-Regeln 1x mit Destination "Diese Firewall" anzulegen sowie extra 1x mit Destination Public IP (siehe Screenshots).
Vielen Dank!

[Monviech (Cedrik)]

Freut mich das es geklappt hat. Den Fall, dass die Opnsense selbst eine interne IP auf dem WAN Interface hat, und dann NAT Reflection funktionieren soll hatte ich noch nicht. Gut dass du eine Lösung gefunden hast.