Nextcloud von intern erreichbar mit nat reflexion ?

Started by joeko, December 08, 2024, 10:53:07 AM

Previous topic - Next topic
hallo,
ich habe hier eine nextcloud an einem mikrotik switch an der opnsense laufen. das ganze funktioniert auch über dyndns mit nextcloud.xxx von extern. wenn ich nun mit dem handy per wlan mit der dyndns adresse auf diese zugreife kann ich sehen wie der traffic von intern nach draußen und dann wieder nach innen auf die nextcloud läuft. in der firewall-nat-portweiterleitung habe ich den port 443 für nat reflexion aktiviert. nun läuft der traffic auch wie gewünscht vom wlan direkt zur nextcloud. so weit so gut, aber dann geht kein weiterer internet verkehr mehr. kein wlan oder lan oder zugriff auf den switch etc nur noch wlan zur nextcloud. deaktiviere ich nat reflexion wieder geht wieder alles wie gehabt.

kann mir jemand sagen was ich falsch mache ?
ziel ist es vom handy etc mit der dyndns adresse nextcloud.xxx auf die nextcloud zugreifen zu können ohne das der traffic über das internet geht sondern intern bleibt.


Hi,

Wieso legst Du intern im DNS keinen Eintrag an?
Dann gibt OPNSense die interne IP zurück, wenn Du daheim bist.
Von unterwegs dann die Dyndns-Adresse.


hi,

das habe ich zuerst probiert (dienste-unboud-überschreibung) aber das hat keinen effekt. der traffic geht weiter über extern und zurück.

auf windows geht das über die host datei problemlos

Hallo,

wenn der DNS Host Override nicht funktioniert, nutzt dein Handy nicht dein DNS. Dann würde ich mal daran was ändern.
DNS Requests kannst du per NAT Regel auf dein internes DNS umleiten.

Aber wahrscheinlich fragt dein Handy den DNS Server des Herstellers via HTTPS ab. Der möchte ja schließlich auch wissen, was du so mit seinem Gerät treibst.  ;)
Um dem was entgegen zu setzen, gibt es aber IP Listen dieser DNS Dienste im Internet. Die kann man in  OPNsense einbinden, um die Abfragen zu blockieren.

Ein Nachteil an der Sache: Die betroffenen Server bzw. IPs werden nicht selten auch für andere Dienste genutzt, speziell jene der großen Software Hersteller. Diese werden dann ebenfalls blockiert.

Wenn du aber für NAT Reflection eine Lösung suchst, müsstest du mal mehr Details angeben.
Wie sieht diese Port Forwarding Regel aus?
Wie ist dein Netzwerk genau aufgebaut? Wo befindet sich Nextcloud, wo das Gerät, auf dem es Probleme gibt?

Alternative:

Immer auf die externe IP-Adresse auflösen und dort, statt sich mit NAT Reflection herum zu ärgern einfach einen Reverse Proxy aufsetzen. Der kann dann auch gleich den SSL-Kram für den offiziellen FQDN erledigen.

Z.B. mit dem Caddy Plugin.

Mache ich hier inzwischen für alles. Tatsächlich waren meine persönlichen Beiträge zum Plugin alle Lösungen für spezielle Anwendungen hier bei mir, z.B. Apache Guacamole.

Nochmal vielen lieben Dank an unser @Monviech für ein geniales Plugin!
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Der tipp mit dem dns auf dem eigenen Handy war gut. Der adblocker war das Problem.


@ Patrick M. Hausen

Quote from: Patrick M. Hausen on December 09, 2024, 11:31:12 PM
Alternative:

Immer auf die externe IP-Adresse auflösen und dort, statt sich mit NAT Reflection herum zu ärgern einfach einen Reverse Proxy aufsetzen. Der kann dann auch gleich den SSL-Kram für den offiziellen FQDN erledigen.

Z.B. mit dem Caddy Plugin.

Mache ich hier inzwischen für alles. Tatsächlich waren meine persönlichen Beiträge zum Plugin alle Lösungen für spezielle Anwendungen hier bei mir, z.B. Apache Guacamole.

Nochmal vielen lieben Dank an unser @Monviech für ein geniales Plugin!

Das mit dem caddy plugin habe ich bisher nicht zum laufen gebracht. Mein dyndns Account ist von do.de die auch ein api für lets entcrypt anbieten aber do.de ist nicht in den settings verfügbar und es soll zwar manuell möglich sein den hinzuzufügen aber hinbekommen habe ich es nicht. Caddyfile ? Wo und wie anpassen? Oder json anpassen aber wo, wie und was eintragen?

Das wäre aber die wohl beste Lösung



Nein man kann im Caddyfile nichts anpassen um einen DNS Anbieter hinzuzufügen der nicht existiert.

Die sind reinkompiliert: https://github.com/opnsense/tools/blob/0c2f10b26b6ed9ff7c9b8202b6413bdfc6985cc3/config/24.7/make.conf#L98-L139

Man kann auch das externe ACME und Dyndns plugin nutzen, und die Zertifikate einbinden im Auswahlmenü beim anlegen einer Domain in Caddy.
Hardware:
DEC740

Wenn du DynDNS bereits konfiguriert hast, braucht du das in Caddy nicht. Der kann Letsencrypt dann einfach über HTTP-01 machen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

den dyndns account habe ich in der fritzbox eingetragen sowie die ports freigegeben und in der opnsense weiter geleitet. funzt einwandfrei.

d.h ich brauche diese dann nicht in caddy eintragen ?
müssen die ports dann noch für die cloud freigegeben werden oder nur für das caddy plugin ?

Nur 80 und 443 für Caddy eingehend.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Wenn die Fritzebox die externe IP hat dann muss die Fritzbox NAT Reflektion machen. Der Proxy löst nur alle Probleme automagisch wenn der Router (OPNsense) die einzige Routing Instanz im Netzwerk ist, mit der öffentlichen und privaten IPs.

Ansonsten muss man wieder Split DNS benutzen.
Hardware:
DEC740

Quote from: Monviech (Cedrik) on December 10, 2024, 07:10:51 PM
Wenn die Fritzebox die externe IP hat dann muss die Fritzbox NAT Reflektion machen. Der Proxy löst nur alle Probleme automagisch wenn der Router (OPNsense) die einzige Routing Instanz im Netzwerk ist, mit der öffentlichen und privaten IPs.

Ansonsten muss man wieder Split DNS benutzen.
ok, aber nur so zum verständniß.
die fritzbox gibt doch durch die geöffneten ports (80,443) die öffentliche ip an die opnsense weiter.
in der nextcloud (hinter der opnsense mit weiter geleiteten ports) kann ich die öffentliche ip sehen. muß ich mir das dann so vorstellen wie ein langes reihenhaus mit vielen türen zur strasse und durch die geöffneten türen nr. 80 und 443 kann ich die strasse (öffentliche ip) sehen ?

Nein die öffentliche IP wird nicht weitergegeben. Sie bleibt dort wo sie ist.

Was gemacht wird ist NAT:

https://de.m.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung

Der Rest ist Routing:

https://de.m.wikipedia.org/wiki/Routing
Hardware:
DEC740