Nach Tausch von Fritzbox gegen OPNSense - Exposed Host?

Started by mr44er, December 23, 2024, 08:50:05 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 23, 2024, 08:50:05 PM
Der Aufbau ist etwas komplizierter als es der Titel vermuten lässt und normalerweise bekomme ich Probleme immer gefixt, nachdem dann der Groschen fällt wenn ich ausreichend lange in die Firewall-logs schaue. Diesmal komme ich aber einfach nicht drauf.

Ich hatte in der Fritzbox lediglich mein PPPOE-Geraffel dringehabt und als exposed host die CARP-IP von meinen beiden bestehenden Sensen drin und dort den ganzen Portfreigabezoo abgeschmatzt. Funktionierte einwandfrei.

Jetzt habe ich die Fritzbox gegen eine weitere Sense (vor den beiden anderen) ausgetauscht. Diese ist online und soweit passend durchkonfiguriert, das Doppel-Nat "raus" hat direkt geklappt, ich konnte von innen heraus direkt surfen.
Um die Dienste von außen wieder verfügbar zu bekommen, habe ich eine One-to-One Regel gesetzt. External meine WAN-IP/32, Internal die CARP-IP/32. Als Firewall-Regel Durchzug von WAN auf die CARP-IP/32.

Das funktioniert auf den ersten Blick, Dienste von außen sind erreichbar, Mails kommen wieder rein und meinen Matrixserver erreiche ich von extern (Der Federation-Tester sagt auch, dass alles ist wie es soll), aber nicht mehr von intern beim Ansurfen auf app.element.io
Der Matrixserver wird via HAProxy rausgeleitet, mit den nötigen Zertifikaten ausgestattet, diese sind auch aktuell. HAProxy selbst lauscht auf der CARP-IP.
Damit das von innen über app.element.io klappte, hatte ich im unbound einen host override von matrixserver.meinedomain.de auf die CARP-IP gesetzt.

Jetzt die Preisfrage...was machte die Fritzbox anders?

Woran könnte es noch liegen, was übersehe ich?
December 23, 2024, 09:12:17 PM #1
NAT Reflection?

Rein neugierhalber: was soll das ganze? Weshalb einen redundanten HA-Cluster hinter einem einzelnen SPoF?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 23, 2024, 09:49:32 PM #2
Quote from: Patrick M. Hausen on December 23, 2024, 09:12:17 PMNAT Reflection?

Mhm, das ist eine Sache mit der ich weniger fit bin und glaube sie nicht so ganz verstanden zu haben. Mir leuchtet auch nicht ein, weshalb app.element.io darauf zugreifen können sollte. Das ist doch ein komplett externer Dienst, der von extern auf mein WAN zugreift und ich greife nur auf deren Homepage zu. Ich bin da auch etwas überfragt auf welcher Sense ich da gucken müsste, bevor ich mir die config zerschieße.

Quote from: Patrick M. Hausen on December 23, 2024, 09:12:17 PMRein neugierhalber: was soll das ganze? Weshalb einen redundanten HA-Cluster hinter einem einzelnen SPoF?
Ich habe eigentlich MultiWAN, längere Geschichte, Nachbar ist weggezogen, derzeit mindestens aber noch LTE als Fallback. Ansonsten aber persönliche Spielerei. :)
December 25, 2024, 03:46:40 PM #3
Von Webkram habe ich wenig Ahnung, aber ich bekam von anderer Stelle noch etwas Hilfe beim Debuggen. Die Netzwerkanalyse im Firefox (F12) brachte dann "CORS failed" hervor, was uns eine definitive Antwort brachte.
Die eingeloggte Sitzung bei Matrix habe ich daraufhin verworfen (wieder neu authentifizieren geht mit matrix ja vorzüglich), aber der Servername wurde abgelehnt.

Nachdem mich dann der Rappel gepackt hatte, habe ich alle 3 Senses nochmal frisch aufgesetzt. Irrtümlicherweise anders als von mir angenommen läuft app.element.io mehr lokal als remote, also reicht definitiv ein host overwrite im unbound...und es funktioniert wieder.

Ich vermute, dass es das jetzt nicht mehr default aktivierte "X-Forwarded-For (DEPRECATED)" in Kombination mit einer neuen Sitzung war, kann es aber nicht genau sagen. (Wahrscheinlich war mein Haupt"fehler" nach dem Tausch der Fritzbox zunächst alle senses upzudaten) :D
Print
Go Up Pages1
User actions