3
Opnsense "DNS Rebind attack"-Problematik für interne VMs
Hallo alle zusammen,
ich habe ein Problem Opnsense richtig zu konfigurieren.
Zu meiner Problematik:
In Opensense sind IP-Aliase eingerichet.
Auf diese IP-Aliase verwiesen öffentliche DNS-Einträge und der Traffic der IP-Aliase wird per NAT One-to-One an interne VMs weitergeleitet.
Rufe ich jetzt die Domains außerhalb des Opnsense-Netzwerk auf, funktioniert alles einwandfrei. Ich kann auf den Webseiten surfen und auch sonst alles benötigte machen.
Rufe ich jetzt aber die Domains (z.B. nextcloud.extern.net) innerhalb des Opnsense-Netzwerk auf, so leitet Opensense den Traffic um und sagt, es gibt ein DNS Rebind attack. Das sorgt dafür, das die Domain/Webseiten nicht genutzt werden können. Zu Testzwecke habe ich den Schutz vor DNS Rebind attack deaktiviert, das hilft leider nicht.
Könnte mir jemand sagen, wie ich dies Problem behebe.
Vielen Dank
jeschero
ich habe ein Problem Opnsense richtig zu konfigurieren.
Zu meiner Problematik:
In Opensense sind IP-Aliase eingerichet.
Auf diese IP-Aliase verwiesen öffentliche DNS-Einträge und der Traffic der IP-Aliase wird per NAT One-to-One an interne VMs weitergeleitet.
Rufe ich jetzt die Domains außerhalb des Opnsense-Netzwerk auf, funktioniert alles einwandfrei. Ich kann auf den Webseiten surfen und auch sonst alles benötigte machen.
Rufe ich jetzt aber die Domains (z.B. nextcloud.extern.net) innerhalb des Opnsense-Netzwerk auf, so leitet Opensense den Traffic um und sagt, es gibt ein DNS Rebind attack. Das sorgt dafür, das die Domain/Webseiten nicht genutzt werden können. Zu Testzwecke habe ich den Schutz vor DNS Rebind attack deaktiviert, das hilft leider nicht.
Könnte mir jemand sagen, wie ich dies Problem behebe.
Vielen Dank
jeschero
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 516499
Url: https://administrator.de/contentid/516499
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
du könntest hairpin NAT nutzen.
Ansonsten ist deine WAN IP nicht von intern aufrufbar.
Ansonsten musst per SplitDNS die Adresse auf die Interne IP des Servers/Ressource auflösen lassen.
Ich würde hairpin NAT bevorzugen. Kann aber zu Problem führen wenn du die Funktion nicht auf dem Schirm hast.
Die Meldung wird überigens angezeigt da du von intern über die WAN Adresse auf die Webseite der Sense geleitet wirst. Dort greift das portforwarding nicht!
Gruß
Spirit
du könntest hairpin NAT nutzen.
Ansonsten ist deine WAN IP nicht von intern aufrufbar.
Ansonsten musst per SplitDNS die Adresse auf die Interne IP des Servers/Ressource auflösen lassen.
Ich würde hairpin NAT bevorzugen. Kann aber zu Problem führen wenn du die Funktion nicht auf dem Schirm hast.
Die Meldung wird überigens angezeigt da du von intern über die WAN Adresse auf die Webseite der Sense geleitet wirst. Dort greift das portforwarding nicht!
Gruß
Spirit
Erst versucht man es ewigkeit und es klappt nicht und bittet dann im Forum um Hilfe.
Kaum hat man den Beitrag im Forum geschrieben, findet man die Lösung ;).
Man muss unter "Firewall: Settings: Advanced" "Reflection for 1:1" erlauben und schon geht es.
Danke
Kaum hat man den Beitrag im Forum geschrieben, findet man die Lösung ;).
Man muss unter "Firewall: Settings: Advanced" "Reflection for 1:1" erlauben und schon geht es.
Danke
Geht auch. Schöner ist "NAT Reflection mode for port forwards = Pure NAT".
