Nat-Reflexion funktioniert nicht mehr

[Syosse]

Hallo Zusammen,

seit einem Monat funktioniert die NAT-Reflexion nicht mehr wie gewohnt, obwohl sie zuvor einwandfrei lief. Muss ich weitere Einstellungen vornehmen? Aktuell läuft meine Nextcloud in der DMZ. Von externem Standort aus kann ich problemlos auf die folgenden Domains zugreifen: nextcloud.muster.de sowie muster.de. Jedoch ist keine Verbindung möglich, wenn ich die Domain intern öffne. Auch das Nslookup löst die Domain nicht auf.

Wisst Ihr, was hier das Problem ist ?





Vielen herzlichen Dank.
Gruss Syosse

[meyergru]

Wenn nslookup von intern die Domain nicht auflöst (entweder auf die interne 10er IP oder auf Deine WAN IP), dann kann es ja auch nicht funktionieren. Wenn das sonst funktioniert, ist es offensichtlich so, dass der externe DNS verschattet wird oder nicht erreichbar ist. Hast Du eventuell einen lokalen Alias oder wird per DHCP eine Adresse registriert?

Das hat dann mit NAT Reflection erst einmal nichts zu tun.

[Syosse]

Wenn nslookup von intern die Domain nicht auflöst (entweder auf die interne 10er IP oder auf Deine WAN IP), dann kann es ja auch nicht funktionieren. Wenn das sonst funktioniert, ist es offensichtlich so, dass der externe DNS verschattet wird oder nicht erreichbar ist. Hast Du eventuell einen lokalen Alias oder wird per DHCP eine Adresse registriert?

Das hat dann mit NAT Reflection erst einmal nichts zu tun.

Vielen Dank für deine Antwort.

Komisch aber das er alles auflösen kann bis auf die Domain. DNS wird über DHCP vom WAN registriert.
Hab noch ein Test an einem PC durchgeführt: Die DNS Fix eingetragen 8.8.8.8  und es funktioniert einwandfrei.
Ich versuch bei der Firewall mal eine Fixe DNS IP Adresse einzutragen.

Gruss Syosse


Edit: Funktioniert leider immernoch nicht, beim PC habe ich noch Ipconfig/flushdns durchgeführt.

Routenverfolgung zu google.com [142.250.203.110]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  10.101.11.1
  2     2 ms     2 ms     2 ms  tzhbic20p-isg003.infra.swisscom.net [213.3.210.XX]
  3     4 ms     3 ms     3 ms  i79zhh-005-ae7x1400.bb.ip-plus.net [193.5.122.80]
  4     2 ms     2 ms     2 ms  i79zhh-005-ae7x1400.bb.ip-plus.net [193.5.122.80]
  5     2 ms     3 ms     2 ms  72.14.202.0
  6     2 ms     3 ms     3 ms  142.251.245.151
  7     2 ms     3 ms     3 ms  142.251.70.185
  8     2 ms     3 ms     2 ms  zrh04s16-in-f14.1e100.net [142.250.203.110]


C:\Users\PC-01>tracert muster.de
Der Zielname muster.de konnte nicht aufgelöst werden.

[meyergru]

Bei der Registrierung per DHCP kann viel schiefgehen - wenn Du da z.B. mal eine VM verschiebst, bekommt sie eine neue MAC und damit eine neue IP und dann hast Du zwei Einträge. Oder Du veränderst einen dynamic lease auf static, das klappt auch nicht, weil dann noch die alte Lease-IP für den DNS-Eintrag gilt.

Im Unbound kann man in /var/unbound/dhcpleases.conf sehen, was für die dynamic leases drinsteht und /var/unbound/host_entries.conf für statische Einträge.

Ich würde für solche Maschinen statische IPs (keine Leases) vergeben, da gibt es weniger Stress. Und dann kann im DNS einen Alias vergeben - im konkreten Fall müsstest Du das ja nicht einmal, weil die im öffentlichen DNS drin sind.

[Syosse]

Bei der Registrierung per DHCP kann viel schiefgehen - wenn Du da z.B. mal eine VM verschiebst, bekommt sie eine neue MAC und damit eine neue IP und dann hast Du zwei Einträge. Oder Du veränderst einen dynamic lease auf static, das klappt auch nicht, weil dann noch die alte Lease-IP für den DNS-Eintrag gilt.

Im Unbound kann man in /var/unbound/dhcpleases.conf sehen, was für die dynamic leases drinsteht und /var/unbound/host_entries.conf für statische Einträge.

Ich würde für solche Maschinen statische IPs (keine Leases) vergeben, da gibt es weniger Stress. Und dann kann im DNS einen Alias vergeben - im konkreten Fall müsstest Du das ja nicht einmal, weil die im öffentlichen DNS drin sind.

Vielen Dank für die Hilfe.

Das Problem besteht darin, dass etwa die Hälfte der Nutzer über WLAN mit dem Netzwerk verbunden sind. Dies bedeutet, dass die Verwendung statischer IP-Adressen schwierig wird. Wenn die Nutzer ausser Haus sind, verbinden sie sich mit anderen Access Points, die haben dann wiederrum andere IP,Gateway etc.
Ich werde die Configs überprüfen.

Gruss Syosse

[Syosse]

Ich bin wirklich am Ende und habe inzwischen alles versucht, was mir eingefallen ist. Leider funktioniert es immer noch nicht.

Ich habe auf meinem PC eine feste IP-Adresse sowie den Google DNS-Server eingetragen. Nslookup funktioniert jetzt und löst die Adresse korrekt auf.


Wenn ich die Seite jedoch im Browser öffnen möchte, klappt es nicht. Ein Ping auf die interne IP funktioniert dagegen problemlos.

[viragomann]

Was genau zeigt der Browser?

Der Server befindet sich in der DMZ und dein PC im LAN oder sonst einem anderen Netzwerksegment?
Ist der Zugriff auf den Server (lokale IP) von da auch erlaubt?

[Syosse]

Was genau zeigt der Browser?

Der Server befindet sich in der DMZ und dein PC im LAN oder sonst einem anderen Netzwerksegment?
Ist der Zugriff auf den Server (lokale IP) von da auch erlaubt?

Vielen Dank für die Info.

Browser zeigt Netzwerkzeitüberschreitung nach ca. 10 Sekunden.

Der Server befindet sich in der DMZ und PC im Client Netzwerk. 
Jap, ich habe sogar any any regel für alle erstellt, klappt leider auch nicht.
Pingen funktioniert nur eben Browser zeigt jedesmal Zeitüberschreitung an.

[viragomann]

Pingen funktioniert nur eben Browser zeigt jedesmal Zeitüberschreitung an.

Mit Ping lässt sich halt nicht NAT Reflection von HTTPS überprüfen. Und nach den Angaben scheint es wirklich daran zu scheitern.

Verwendest du kein lokales DNS, Unbound oder sonst was?
Da wäre ein Host Override die geeignetere Lösung.

Ob NAT Reflection das macht, was es soll, kannst du sonst nur mit Packet Capture auf den beiden Interfaces überprüfen.

Ich könnte mir ein asymmetrisches Routing noch als Ursache vorstellen. Grund könnte etwa ein Layer 2 Leck an einem Switch sein, wenn beide Subnetze über diesen laufen.

[Syosse]

Pingen funktioniert nur eben Browser zeigt jedesmal Zeitüberschreitung an.

Mit Ping lässt sich halt nicht NAT Reflection von HTTPS überprüfen. Und nach den Angaben scheint es wirklich daran zu scheitern.

Verwendest du kein lokales DNS, Unbound oder sonst was?
Da wäre ein Host Override die geeignetere Lösung.

Ob NAT Reflection das macht, was es soll, kannst du sonst nur mit Packet Capture auf den beiden Interfaces überprüfen.

Ich könnte mir ein asymmetrisches Routing noch als Ursache vorstellen. Grund könnte etwa ein Layer 2 Leck an einem Switch sein, wenn beide Subnetze über diesen laufen.

Stimmt, es scheint so, dass HTTPS-Anfragen nicht korrekt übermittelt werden, und ich frage mich echt, woran das liegen könnte. Unbound DNS ist eingerichtet, und ich habe bereits einen Host Override eingetragen. Allerdings hat es beim ersten Versuch nicht funktioniert, habe es jetzt nochmals versucht, leider ohne erfolg.

Es gibt nur einen Switch, und es läuft lediglich ein Subnetz  das des Clients.

[viragomann]

Der Erfolg von einem Host Override hängt von der Nutzung von Unbound ab.
Wenn dein Browser seine Namensauflösung über HTTPS (DoH) macht, weil er auch dem Partner Cloudflare ein paar wertvolle Daten zukommen lassen möchte, ist der Host Override nutzlos, und der Browser versucht dennoch die öffentliche IP zu kontaktieren.

DoH kann man aber normalerweise in den Browsereinstellungen abschalten. Oder mit der Hammermethode auf der Firewall blockieren.

[Patrick M. Hausen]

Oder sein System so einrichten, dass auch die lokale Kommunikation über die öffentliche IP-Adresse läuft, z.B. mit dem Caddy-Plugin. Das halte ich inzwischen für die bei weitem stabilste Lösung.