123788
31.05.2017, aktualisiert um 15:52:19 Uhr
6547
11
0
Nextcloud über 2 versch. IPs
Moin zusammen,
folgende Situation:
Betreibe einen Nextcloud-Server (auf Debian), der in einer DMZ an einer Firewall hängt. In der DMZ ist sonst nichts, ist also ein 30er-Netz.
Momentan ist Nextcloud mit entspr. Firewall-Regeln aus dem LAN verfügbar. Die Clients nutzen dazu die IP, welche Nextcloud in der DMZ hat (192.168.3.2).
In Zukunft soll die Cloud aber auch über VPN erreichbar sein. Dazu existiert bereits ein openVPN-Server, welcher auf der Firewall läuft. Der NC-Server und alle Clients können sich zu diesem verbinden.
Mein Problem nun: Wie regel ich das mit den Clients? Denn diese sind WLAN-Laptops und müssten im eigenen Hause mal die LAN-IP nutzen und mal von extern die VPN-IP des NC-Servers (172.16.16.3).
Klar: Ich könnte den VPN in die DMZ routen lassen. Das könnte aber Probleme verursachen, wenn die Clients mal in Netzen sind, welche zufällig denselben IP-Bereich verwenden.
DNS ist momentan nicht im Einsatz, die Konfiguration dessen wäre auch mittelmäßig aufwendig.
Habt ihr Ideen? Ruhig auch ausgefallene...
folgende Situation:
Betreibe einen Nextcloud-Server (auf Debian), der in einer DMZ an einer Firewall hängt. In der DMZ ist sonst nichts, ist also ein 30er-Netz.
Momentan ist Nextcloud mit entspr. Firewall-Regeln aus dem LAN verfügbar. Die Clients nutzen dazu die IP, welche Nextcloud in der DMZ hat (192.168.3.2).
In Zukunft soll die Cloud aber auch über VPN erreichbar sein. Dazu existiert bereits ein openVPN-Server, welcher auf der Firewall läuft. Der NC-Server und alle Clients können sich zu diesem verbinden.
Mein Problem nun: Wie regel ich das mit den Clients? Denn diese sind WLAN-Laptops und müssten im eigenen Hause mal die LAN-IP nutzen und mal von extern die VPN-IP des NC-Servers (172.16.16.3).
Klar: Ich könnte den VPN in die DMZ routen lassen. Das könnte aber Probleme verursachen, wenn die Clients mal in Netzen sind, welche zufällig denselben IP-Bereich verwenden.
DNS ist momentan nicht im Einsatz, die Konfiguration dessen wäre auch mittelmäßig aufwendig.
Habt ihr Ideen? Ruhig auch ausgefallene...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339431
Url: https://administrator.de/contentid/339431
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
11 Kommentare
Neuester Kommentar
wenn die Clients mal in Netzen sind, welche zufällig denselben IP-Bereich verwenden.
Das ist ja aber ein hausgemachtes Problem wenn man dümmliche 192.168er IPs verwendet 
Dazu gilt immer die goldene Regel:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit dem .3er Netz bist du aber knapp aus dem Rahmen der 08/15 IP Adressen der Massenrouter so das es sicher nur in Ausnahmefällen passiert.
Aber da du ja eh ein /30er Netz hast mit maximal 2 popeligen IP Adressen die dann zu ändern sind, ist das ja dann auch ne Lachnummer die 2 IPs schnell auf ein etwas "exotischeres" IP Netz umzustellen.
Damit wärst du dann sicher vor solchen Dopplungen. Denn die Chance das jemand sowas wie 172.23.243.176 /30 usw. vergeben hat dürfte reichlich gegen Null gehen
Der andere (einzige) Ausweg wäre dann bidirektionales NAT was dann in eine elende Fricklei ausartet. Dann lieber 30 Sekunden die beiden IPs ändern. Keep it simple stupid...
Recht hast du, die beiden IPs zu ändern geht natürlich sehr fix.
Das Problem ist nur: Es ist eben ein DMZ-Server. Deshalb nutzen Clients anderer VLANs den Server über die momentane IP im 30er Netz.
Und natürlich kann ich's auch dort überall ändern, das wird danna ber eben doch schon ein gutes Stück mehr Arbeit.
Das Problem ist nur: Es ist eben ein DMZ-Server. Deshalb nutzen Clients anderer VLANs den Server über die momentane IP im 30er Netz.
Und natürlich kann ich's auch dort überall ändern, das wird danna ber eben doch schon ein gutes Stück mehr Arbeit.
Hallo,
warum greifst Du über die IPs zu?
Wenn Du über einen Hostnamen darauf zugreifst kannst Du doch für jedes Segment diesen Hostnamen anders auflösen?
Stichwort Split-DNS
Als Name z.B. cloud.firma.de
Stefan
warum greifst Du über die IPs zu?
Wenn Du über einen Hostnamen darauf zugreifst kannst Du doch für jedes Segment diesen Hostnamen anders auflösen?
Stichwort Split-DNS
Als Name z.B. cloud.firma.de
Stefan
Oder z.B. Squid Reverse Proxy mit Client Zertifikat
mit ACME ( let´s encrypt).
Wenn man z.B. eine PFsense hat, ist aber nicht ganz vollständig.
der Horst
mit ACME ( let´s encrypt).
Wenn man z.B. eine PFsense hat, ist aber nicht ganz vollständig.
der Horst
Split-DNS klingt gut. Wie richte ich das unter pfSense denn ein?
Finde nämlich nur die Möglichkeit, generell Host/Domain-Overrides zu machen.
Per VPN muss ich den DNS-Server dann auch an meine Clients pushen, richtig?
Finde nämlich nur die Möglichkeit, generell Host/Domain-Overrides zu machen.
Per VPN muss ich den DNS-Server dann auch an meine Clients pushen, richtig?
Moin,
also nochmal vollständig:
- ich pushe die Route in die DMZ auf die Clients, per OpenVPN-config
Die Anleitung habe ich mir angeschaut. Was ich nicht verstehe: Im Beispiel wird ja die 192.168.1.200 verwendet. Setze ich dort die IP meines NC-Servers ein?
also nochmal vollständig:
- ich pushe die Route in die DMZ auf die Clients, per OpenVPN-config
Die Anleitung habe ich mir angeschaut. Was ich nicht verstehe: Im Beispiel wird ja die 192.168.1.200 verwendet. Setze ich dort die IP meines NC-Servers ein?
Muss ergänzen, denn ich stelle einen unbeabsichtigten Fehler in meiner Darstellung fest:
Der VPN-Server läuft auf einer entfernten Firewall. Das bedeutet: Der Nextcloud-Server hängt garnicht an dieser. Sondern er verbindet sich lediglich auch als Client (per openVPN) dorthin.
Das Pushen der Route wird also nicht viel bringen, denn der VPN-Server kennt dieses LAN ja garnicht?
Gibt's also irgendeine Möglichkeit, das zu tun? Es gibt inter-client-communication bei openVPN. An die Nextcloud heranzukommen ist über die VPN-IP also kein Problem. Bloß wär das im LAN nicht gerade ne performante Variante...
Meine Idee ist jetzt: Ich kann doch den DNS-Server (die VPN-Firewall) einfach auf die Clients pushen und den DNS-Namen des Nextcloud-Servers auf dessen VPN-IP setzen?
Der VPN-Server läuft auf einer entfernten Firewall. Das bedeutet: Der Nextcloud-Server hängt garnicht an dieser. Sondern er verbindet sich lediglich auch als Client (per openVPN) dorthin.
Das Pushen der Route wird also nicht viel bringen, denn der VPN-Server kennt dieses LAN ja garnicht?
Gibt's also irgendeine Möglichkeit, das zu tun? Es gibt inter-client-communication bei openVPN. An die Nextcloud heranzukommen ist über die VPN-IP also kein Problem. Bloß wär das im LAN nicht gerade ne performante Variante...
Meine Idee ist jetzt: Ich kann doch den DNS-Server (die VPN-Firewall) einfach auf die Clients pushen und den DNS-Namen des Nextcloud-Servers auf dessen VPN-IP setzen?
Das Pushen der Route wird also nicht viel bringen, denn der VPN-Server kennt dieses LAN ja garnicht?
Das ist richtig und dann aber auch gar nicht erforderlich, denn dann ist der NextCloud Server ja direkt mit seiner VPN IP Adresse zu erreichen.Wenn du OpenVPN als VPN Protokoll verwendest musst du dann aber die Client zu Client Kommunikation am Server aktivieren im Setup. Per Default ist die deaktiviert und so können dann die Clients nicht untereinander kommunizieren.
Das müssen sie hier aber zwingend, denn dein Nextcloud Server ist ja dann auch ein Client.
Ergänze also client-to-client im Konfig File, dann klappt das auch sofort
Genau, das habe ich jetzt gemacht
Funktioniert auch. Ich pushe den DNS-Server an die Clients und lasse dann den Hostnamen des NC-Servers darüber auflösen.
Frage: Wie bekomm' ich das bei pfSense hin, dass er in verschiedenen Subnetzen den Hostnamen verschieden auflöst?
Edit: Jetzt habe ich folgendes Problem: Auf dem DNS-Server werden noch andere Domainnamen überschrieben und mit lokalen IPs aufgelöst.
Das macht natürlich auf einem externen VPN-Client nun Probleme... wie kann ich das regeln?
Funktioniert auch. Ich pushe den DNS-Server an die Clients und lasse dann den Hostnamen des NC-Servers darüber auflösen.
Frage: Wie bekomm' ich das bei pfSense hin, dass er in verschiedenen Subnetzen den Hostnamen verschieden auflöst?
Edit: Jetzt habe ich folgendes Problem: Auf dem DNS-Server werden noch andere Domainnamen überschrieben und mit lokalen IPs aufgelöst.
Das macht natürlich auf einem externen VPN-Client nun Probleme... wie kann ich das regeln?
Du musst dazu den DNS Server auf der pfSense entsprechend customizen.
Besser ist es aber du nutzt einen zentralen DNS Server für die Clients und nicht den der pfSense wenn du solch komplexere Anforderungen an dein DNS System hast.
Besser ist es aber du nutzt einen zentralen DNS Server für die Clients und nicht den der pfSense wenn du solch komplexere Anforderungen an dein DNS System hast.
